Seguridad en dispositivos IoT: ¿Aún a tiempo de ganar la batalla?

Seguridad en dispositivos IoT: ¿Aún a tiempo de ganar la batalla?

Estudios recientes prevén que entre 2018 y el 2023 habrá un aumento de la inversión en seguridad para dispositivos IoT del 300%.

Estudios recientes prevén que entre 2018 y el 2023 habrá un aumento de la inversión en seguridad para dispositivos IoT del 300%.

La (in)seguridad del Internet de las Cosas es algo que, por desgracia, está a la orden del día. Con mayor frecuencia vemos que se producen ataques que afectan a dispositivos IoT o se detectan fallas que las compañías tecnológicas intentan rápidamente solucionar con un parche. Y es que centrados en incorporar nuevas funcionalidades y hacer sus dispositivos más fáciles de usar y conectables, los fabricantes han descuidado casi por completo un apartado crucial como es la seguridad de sus dispositivos.

Los usuarios son conscientes de los problemas de seguridad que afectan a los dispositivos IoT. Y así lo demuestra una encuesta realizada por ESET donde el 70% de los participantes consideró que este tipo de dispositivos no son seguros, fundamentalmente en términos de privacidad; que es donde radica la principal preocupación. Sin embargo, el 62% consideró que no dejaría de comprar este tipo de tecnología por esta razón.

Seguridad en dispositivos IoT: un problema de números

Desde que los ataques al IoT empezaron a hacerse cada vez más comunes, las preguntas sobre su seguridad comenzaron a centrarse en cuándo sucedería el próximo ataque y con cuántos dispositivos contarían los atacantes, en lugar de qué medidas de seguridad se implementarían para evitarlos.

Tenemos tan asimilado que el IoT presenta pocas garantías en materia de seguridad que no deberían sorprendernos noticias acerca de un aumento de la inversión en soluciones de seguridad; tal como revela un estudio reciente donde afirman que el gasto en seguridad para Internet de las Cosas crecerá en un 300% entre 2018 y 2023.

Estos dispositivos conectados de forma insegura representan un serio problema, precisamente porque las vulnerabilidades existentes pueden aprovecharse de forma sencilla por parte de los delincuentes para crear botnets y usarlos en beneficio propio. Desde ataques de denegación de servicio, como Mirai, al minado de criptomonedas, las posibilidades para los atacantes son numerosas y, actualmente, no les van a faltar dispositivos vulnerables de los que aprovecharse. A modo de ejemplo, hace pocos meses se conoció el caso del robo de datos a un casino que fue vulnerado a través de un termostato inteligente en un acuario, donde los cibercriminales lograron infiltrarse en la red y acceder a la base de datos del casino, robando información como los nombres de grandes apostadores, y luego extraerla fuera de la red para finalmente subirla a la nube.

Privacidad: el problema más común en dispositivos IoT

Desde Smart TVs a juguetes conectados, pasando por cámaras IP, dispositivos de grabación y todo tipo de dispositivos imaginables, se calcula que millones de estos dispositivos podrían ser víctima de algún ataque que se aproveche de vulnerabilidades existentes sin parchear o de a una mala política de gestión. Sabiendo los beneficios que podría sacar un atacante de esta mala implementación, es un tema del que deberíamos preocuparnos seriamente.

Para poner un ejemplo del vacío en materia de seguridad que existe en torno al Internet de las Cosas, a principios de este año el experto en seguridad de ESET, Tony Anscombe, realizó una investigación (que derivó en la elaboración de un whitepaper) en la que analizó en profundidad doce productos IoT pensados para la creación de un hogar inteligente. De su análisis pudo confirmar que cada uno de los dispositivos evaluados presentó algún problema en materia de privacidad, aunque un asistente de voz fue el que generó mayor preocupación debido al temor existente de que los servicios comerciales compartan más información de la necesaria y se aprovechen de la insuficiente protección de los datos almacenados.

Soluciones definitivas o parches temporales

Así las cosas, haríamos bien en preguntarnos si esta peligrosa situación tiene alguna solución antes de que ocurra un incidente más grave de los que ya han acontecido. Podríamos dividir incluso los dispositivos IoT entre los que aportan pobres medidas de seguridad (o ninguna en absoluto) y los que pueden configurarse y actualizarse para corregir posibles vulnerabilidades.

Si bien es posible mitigar algunas de las fatídicas consecuencias de contar con un dispositivo vulnerable, este camino no es el ideal e, incluso pudiendo hacerlo, muchos usuarios preferirán no modificar nada de su dispositivo mientras funcione correctamente. Es en este punto donde debemos abordar las dos posibilidades que tenemos para conseguir que el IoT sea algo más seguro de lo que es actualmente.

Por un lado, tenemos aquellos dispositivos que no permiten configurarse de forma segura o que han sido abandonados por sus fabricantes. En estos casos lo mejor es monitorizar su comportamiento, no analizando el dispositivo en sí sino las conexiones que realiza. La mayoría de los ataques actuales permiten dar órdenes a los atacantes desde un centro de mando y control (C&C) por lo que, si se cuenta con una potente inteligencia contra amenazas se pueden bloquear estas comunicaciones entre los dispositivos infectados y los delincuentes, impidiendo así que los aprovechen en su beneficio.

Por otra parte, tenemos las regulaciones y normativas que podrían forzar a los fabricantes a destinar más recursos a hacer sus dispositivos más seguros, en lugar de centrarse en lanzar revisiones de sus productos cada poco tiempo. Este camino es mucho más largo y costoso puesto que no solo se trata de determinar cuáles serían las medidas mínimas que deberían aplicar en un mundo tan cambiante como es el de la seguridad informática, sino que también tendría que adecuarse a la legislación de cada país, algo nada sencillo.

Sea cual sea el método seleccionad para tratar de solucionar esta problemática, lo cierto es que en su solución debemos participar todos los implicados. Desde los fabricantes a los usuarios, pasando por los legisladores y los investigadores que descubren las vulnerabilidades. Además los procesos de revisión deben de ser constantes para estar al día con respecto a las amenazas y ataques existentes.

Conclusión

Independientemente de la solución que se adopte, lo que está claro es que no podemos esperar más a ponerle freno a un problema muy serio y que puede ocasionar muchos quebraderos de cabeza en un futuro inmediato. Lo que se ha visto hasta ahora es tan solo la punta del iceberg de lo que una mala gestión e implementación del IoT puede provocar y hemos de trabajar de forma conjunta para evitar males mayores. Esperemos que las señales de una mayor inversión en seguridad para el Internet de las Cosas sea el comienzo de una nueva etapa.

 

Discusión