Cuando empleamos el concepto Internet de las Cosas (Internet of Thinks, IoT), no nos referimos a tecnología del futuro, es el presente, una realidad. En este artículo vamos a describir el futuro a corto plazo de esta tecnología, sus carencias, ventajas e inconvenientes, junto con algunas recomendaciones que el usuario debe tener en cuenta para implantar unas medidas básicas de seguridad.

[read more=»Leer más…» less=»Leer menos…»]

Para empezar a hablar de la Internet de las Cosas (IoT), inicialmente debemos buscar una definición que nos introduzca de que estamos hablando. Una posible definición podría ser la siguiente; “concepto que se refiere a la interconexión digital de objetos cotidianos con Internet”. En algunos foros se define como la siguiente Revolución Industrial debido al impacto que tendrá en la forma de vida cotidiana del ser humano. Pues bien, complementando en cierto modo esta definición, podemos considerar la IoT como un conjunto de sensores interconectados capaces de recolectar información de cualquier tipo. Se trata de un concepto relativamente nuevo, que en el ámbito de la ciberseguridad actualmente no se está lo suficientemente preparado y no se están tomando las medidas adecuadas para hacer frente a todas las amenazas que actualmente representan. Normalmente se tiende a vender a los ciudadanos las bondades que ofrece este tipo de tecnología pero en muy contadas ocasiones se está informando de las terribles consecuencias que tendría para ciudadanos, empresas, administraciones, infraestructuras, etc., la falta de implementación de medidas de seguridad adecuadas, tanto en cada una de las fases del ciclo de vida de desarrollo de los equipos (desde la fase inicial de estudio de viabilidad hasta el mantenimiento de los mismos), como en su fase de despliegue en el ámbito en el que vaya a desarrollar sus actividades. Se destaca como una de sus mayores ventajas la conexión a Internet, pero no se menciona en ningún momento la vulnerabilidad que supone para nuestros sistemas de información, intimidad, identidad digital, huella digital, etc.

Reflexionemos en el sentido que, a través de este tipo de dispositivos, en definitiva sensores, estamos lanzando al mundo -Internet- una ingente y valiosísima cantidad de información personal, relativa a nuestros hábitos y más íntimo estilo de vida. Esto supone una recolección masiva de datos y metadatos, ante lo cual se debe valorar en que situación queda el derecho a la privacidad y la intimidad del usuario. Nuestro derecho a la intimidad puesto en entredicho con el simple hecho de tener conectados a Internet un despertador inteligente, smartwatch, webcam, abrigo inteligente, colchón inteligente capaz de monitorizar nuestro patrón de sueño, el controlador central de una casa domótica, un robot de cocina inteligente, nevera inteligente, centralita de control de alarmas. En definitiva, todos nuestros dispositivos inteligentes conectados y listos para ser programados y controlados remotamente y tener acceso de manera inmediata a cada uno de ellos desde cualquier parte del mundo. Indiscutiblemente es fantástico, maravilloso tener a nuestra disposición todas estas comodidades que la tecnología nos ofrece, pudiendo disfrutar de lo que conocemos como una vida cotidiana asistida, pero la parte negativa se presenta cuando todos estos dispositivos no son convenientemente protegidos y pueden llegar a ser empleados por ciberdelincuentes. Hemos de tener en cuenta que cuanto mayor cantidad de dispositivos tengamos conectados a Internet, más aumenta nuestra superficie de exposición a los ciberataques.

Llegados a este punto se nos podría plantear la pregunta de porqué y para qué un ciberdelincuente podría querer entrar en mi sistema, controlar todos y cada uno de mis dispositivos IoT conectados directamente a Internet. Pues bien, a continuación se exponen algunas razones por las cuales un ciberdelincuente se puede sentir tentado a acceder y tomar el control de tus dispositivos.

En primer lugar, son bien conocidas las denominadas botnets, redes compuestas por cientos o miles de dispositivos -bots- controlados remotamente y preparados para ser empleados en cualquier momento para llevar a cabo ataques de denegación de servicios distribuidos (DDoS). En el momento de efectuarse el ataque el usuario/propietario del dispositivo, independientemente del tipo que sea, ordenador personal, webcam, impresora, etc., lo más que puede percibir es que su dispositivo va algo más lento que de costumbre. La apropiación fraudulenta de dispositivos -bots- por parte de ciberdelincuentes con el fin de hacerse con una importante botnet puede suponer para este desde rercibir una sustanciosa cantidad de dinero poniéndola a la venta en la Deep Web o Internet profunda, hasta alquilarla para llevar a cabo un ataque de DDoS por el motivo que sea, ya sea puramente político, activista, de extorsión a la víctima para no inutilizarle sus sistemas, reivindicativas, etc. Por otra parte, estas botnets pueden ser empleadas para el envío masivo de correos electrónico no solicitados, conocido como spam, derivando en otro tipo de ataques ampliamente conocidos en la actualidad como son el phishing o el spare phishing.

En las últimas semanas se ha hablado mucho en los medios de comunicación sobre Wannacry, Petya o NotPetya, como consecuencia de los ataques ransomware o secuestro de información almacenada en ordenadores personales, servidores de grandes o pequeñas empresa, corporaciones, etc. Pues bien, con el IoT se abre una nueva forma de llevar a cabo este tipo de ataque ransomware, basándose fundamentalmente en el secuestro el dispositivo IoT, denegando permanentemente el servicio que este preste hasta que se realice el pago del rescate. En ciertos casos la solución podría parar por instalar de nuevo el firmware y reiniciar el dispositivo, pero la clave está en que no en todos los dispositivos puede resultar una tarea sencilla y que ciertos dispositivos podrían prestar servicios lo suficientemente críticos como para prescindir temporalmente de ellos (el tiempo necesario para llevar a cabo la instalación del firmware y el posterior reinicio). En este panorama nos encontramos que en ciertos ámbitos el secuestro de dispositivos IoT puede derivar en grandes pérdidas económicas, incluso pérdidas de vidas, como por ejemplo se podría dar en el caso de un marcapasos conectado a Internet, donde el portador del mismo puede ser extorsionado por un ciberdelincuente para que pague un rescate, o de lo contrario podría ser desconectado o manipulado, llegando incluso a producirle la muerte.

Para hacer frente a este tipo de amenazas que se nos plantea se aporta una serie de recomendaciones fácilmente implementables por el usuario, como pueden ser las siguientes.

En primer lugar, se recomienda prescindir de todos aquellos dispositivos IoT conectados a Internet que no sean necesarios, de modo que se reduzca la superficie de exposición ante posibles ataques remotos y el robo de información

Con respecto a los dispositivos IoT conectados a Internet, extremar las precauciones estableciendo medidas de seguridad, definiendo autorizaciones de acceso al equipo, dispositivos desde los que se permite acceder y franjas horarias en las que se permita el acceso.

Internet-de-las-cosas

En cuanto a las credenciales de acceso, es imprescindible cambiar las que vienen configuradas por defecto en el dispositivo por otras de cierta complejidad. Se ha de tener en cuenta que cada fabricante emplea credenciales predefinidas y estas son ampliamente conocidas por los ciberdelincuentes, encontrándose además en muchos casos publicadas en Internet.

Debe ser una práctica habitual, no solo para dispositivos IoT, sino para el resto de dispositivos electrónicos, mantener todo su software y firmware permanentemente actualizado. De este modo, se mantendrá el dispositivo protegido con los parches que periódicamente son publicados por el fabricante para resolver vulnerabilidades. Un aspecto importante a tener en cuenta antes de proceder a instalar una actualización en nuestro dispositivo es comprobar la veracidad de esta. Para ello se debe chequear la firma de esta y comprobar que la versión de la actualización es posterior a la versión que actualiza.

Se recomienda deshabilitar las conexiones remotas que ofrezca el dispositivo y que no se vayan a emplear. Estamos hablando de dispositivos bluetooth, localizables fácilmente por otros dispositivos cercanos, como también dispositivos conectados a Internet susceptibles de aparecer fácilmente en buscadores de Internet.

Por otra parte, en caso de que el dispositivo lo permita, se recomienda separar perfectamente los perfiles de administrador y de usuario. Emplear credenciales lo suficientemente robustos para alcanzar ciertos parámetros de seguridad en ambos perfiles, prestando especial atención a las credenciales del perfil administrador.

Otro aspecto a tener en cuenta es la correcta configuración de nuestro dispositivo enrutador. Este es responsable de dar acceso a Internet a nuestros equipos IoT. El enrutador debe ser capaz de filtrar las conexiones que pueda haber hacia y desde los dispositivos IoT a los que da conectividad, estableciendo listas de control de acceso para usuarios, dominios y direcciones IP específicas.

En cuanto a las funcionalidades que ofrezca el dispositivo en cuestión, se recomienda deshabilitar las funcionalidades que no se vayan a emplear, de tal modo que se reduzcan los posibles vectores de ataque susceptibles de ser empleados por el ciberdelincuente.

Existen motores de búsqueda empleados tanto por ciberdelincuentes como por personal experto en seguridad de la información desde donde se pueden identificar, localizar y acceder a multitud de dispositivos vulnerables como pueden ser webcams, routers, cámaras de videovigilancia, cámaras de seguridad, cámaras de control de tráfico, etc. Se recomienda acceder a estos buscadores y realizar la búsqueda de nuestros dispositivos para comprobar si se encuentran entre los vulnerables.

No debemos olvidar la seguridad física de los dispositivos IoT. Para ello se debe evitar, en la medida en que el dispositivo lo permita, desplegarlo en zonas fácilmente accesibles. Además, se recomienda deshabilitar los puertos usb y resto de interfaces en caso de que el dispositivo lo permita y se considere que no se van a emplear. Observar que el o los medios de almacenamiento no son fácilmente extraíbles y por último que la información que almacenan está cifrada.

Por otra parte, la reglamentación existente actualmente en cuanto a fabricación de este tipo de dispositivos con unas medidas de seguridad adecuadas es prácticamente inexistente, con lo cual, en estos momentos supone para los ciberdelincuentes una vía fácil de acceso a la información, en la mayoría de los casos sensible, a nivel personal, corporativo e industrial. Como consecuencia de esta carencia normativa, en la mayoría de los dispositivos IoT que se fabrican no se tiene en cuenta la seguridad, sino que son diseñados y construidos en base a su funcionalidad, la facilidad de uso para el usuario y la rápida distribución en el mercado.

Para finalizar y como conclusión, es evidente que este paradigma tecnológico supone un reto para la ciberseguridad en términos generales y para los responsables en seguridad de la información en particular. La proliferación de dispositivos IoT conectados a Internet es imparable, lo que supone un aumento extraordinario en cuanto a posibles vectores de ataque puestos a disposición de los ciberdelincuentes o personas con conocimientos muy básicos de informática y redes de comunicación.

[/read]

[addthis tool=»addthis_inline_follow_toolbox»]

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información básica sobre protección de datos

  • Responsable Domingo Aguinaco Parejo .
  • Finalidad Moderar los comentarios. Responder las consultas.
  • Legitimación Tu consentimiento.
  • Destinatarios Domingo Aguinaco Parejo.
  • Derechos Acceder, rectificar y suprimir los datos.
  • Información Adicional Puedes consultar la información detallada en el Aviso Legal.