¿Qué es la seguridad del IoT?

Introducción

El "Internet de las cosas" describe directamente un riesgo de seguridad en su nombre. Conectar a Internet dispositivos que antes eran locales, por desgracia, conlleva riesgos. Al instalar dispositivos inteligentes adicionales a otros dispositivos, se puede acceder a ellos en cualquier parte del mundo. Un buen ejemplo son las plataformas de car sharing que instalan sistemas de control inteligente en sus coches para poder rastrearlos y controlar las cerraduras a distancia. Básicamente, esto convierte tu coche, que era inaccesible a distancia, en un dispositivo inteligente, pero hackeable, que tiene conexión con Internet.

¿Qué es la seguridad de IoT?

Como los dispositivos IoT están conectados a Internet, pueden enfrentarse a muchos problemas de seguridad. Debido a su naturaleza, suelen estar hechos para ser lo más rentables y energéticamente eficientes posible. Y sencillos en general, lo que hace que la seguridad rara vez sea una prioridad.

Dado que Internet te permite acceder a tu dispositivo de forma remota, también permite que otros lo hagan. Por lo general, son los grupos maliciosos los que intentan acceder a tu dispositivo para utilizarlo con sus propios fines perversos. De este modo, tu dispositivo puede verse comprometido y utilizado para otros fines sin que tú lo sepas. Además, dependiendo del dispositivo IoT, tu información sensible y privada podría verse comprometida, lo que supone un gran riesgo.

Asegurar tu dispositivo IoT significa que tomas algunas medidas adicionales para asegurar que no pueda ser fácilmente atacado por entidades maliciosas.

¿A qué ataques son más vulnerables los dispositivos IoT?

Vulnerabilidad del firmware

Acceso no autorizado

Hay muchos dispositivos que simplemente se dejan desatendidos sin ninguna protección. A veces basta con conectarse a una red Wi-Fi abierta para poder acceder a los dispositivos conectados a la misma red. No hay elementos de seguridad para impedir que alguien haga algo así. Una vez que se tiene acceso a los dispositivos no seguros, se puede instalar malware y tener el control del dispositivo, incluso si alguien logra asegurar estos dispositivos más tarde. También es posible que el propio dispositivo o su firmware sea defectuoso y su seguridad pueda ser burlada con unas pocas líneas de código.

Autenticación débil

Una de las formas más frecuentes de acceder de forma maliciosa a los dispositivos IoT es simplemente probar un montón de nombres de usuario y contraseñas diferentes con la esperanza de que funcionen. Además, mucha gente tiende a utilizar la misma contraseña para muchos servicios diferentes. En caso de que uno de estos servicios sea hackeado y su contraseña se filtre, corre el riesgo de que sus otros servicios se vean comprometidos. Para protegerse de ello, es necesario utilizar contraseñas diferentes para cada servicio. Los programas de gestión de contraseñas son excelentes para esto.

Puertas traseras ocultas

Una puerta trasera es un tipo de código adicional en el sistema del dispositivo que permite acceder a él sin ninguna autorización. A veces ese código lo dejan los propios fabricantes. Este tipo de puertas traseras tienen usos legítimos, como proporcionar un medio para que el fabricante recupere las contraseñas de los usuarios. Sin embargo, si los fabricantes pueden tener acceso a ellas, también pueden hacerlo los hackers, suponiendo que sepan cómo hacerlo.

Los hackers también pueden instalar la puerta trasera ellos mismos llegando físicamente al dispositivo o consiguiendo de alguna manera instalar esa puerta trasera de forma remota. Puede haber virus dentro de su ordenador u otro dispositivo que esté utilizando para acceder a su dispositivo IoT y al conectarse con su dispositivo IoT el virus carga automáticamente archivos maliciosos en su dispositivo sin que usted lo sepa.

Hashes de contraseñas

La mayoría de las veces las contraseñas están encriptadas (hash), por lo que si alguien tiene acceso a tu red o ha infectado tu dispositivo con un virus, puede ver la contraseña que estás introduciendo de forma encriptada. Por lo tanto, puedes enviar una "contraseña" a tu dispositivo para acceder a él, pero los hackers verán un galimatías como "5F4DCC3B5AA765D61D8327DEB882CF99". Se podría pensar que esto es genial, ya que no se conoce tu contraseña, pero en realidad no necesitan saber tu contraseña: simplemente pueden intentar pasar esa contraseña con hash tal cual para poder acceder a tu dispositivo, ya que los dispositivos IoT no cuentan con muchas medidas de seguridad para evitar este tipo de ataques.

Claves de cifrado

El protocolo de red Secure Shell (SSH) se utiliza a menudo para el acceso remoto seguro a sistemas informáticos remotos. Para descifrar y cifrar la red se necesita una clave SSH. Hay dos tipos de claves SSH: privadas y públicas. Las claves privadas son las más importantes, por lo que deben almacenarse de forma segura. Las claves públicas pueden ser compartidas y almacenadas en múltiples dispositivos, ya que las claves públicas tienen una lista de claves privadas autorizadas. Cuando se tiene una clave privada, se puede acceder de forma remota al dispositivo.

Por lo general, las claves privadas son robadas debido a una forma inapropiada de almacenarlas. A veces se suben a Internet por accidente y se roban así o un simple virus en su dispositivo roba su clave privada. Una vez que la clave es robada, los hackers pueden entrar en tu dispositivo cuando quieran ya que tienen la misma clave que tú.

Desbordamientos del búfer

El desbordamiento del búfer se produce cuando un programa intenta escribir más datos en un bloque de memoria fijo (búfer), de los que ese bloque está asignado para contener. Lo que sucede es que cualquier dato adicional que no pueda ser almacenado en un búfer asignado será trasladado a otro bloque de memoria. Enviando una entrada cuidadosamente escrita a una aplicación, un hacker podría engañar a la aplicación para que ejecute código arbitrario y potencialmente tomar el control del dispositivo.

Código fuente abierto

En lugar de tener que desarrollar su propio código, algunos fabricantes de dispositivos IoT pueden optar por utilizar código abierto en su dispositivo, ya que es gratuito. Esto puede ser tanto bueno como malo. El código abierto significa que cualquiera puede acceder al código y ver cómo funciona e incluso copiar el código por sí mismo. Cuando todo el mundo puede ver el código, puede haber muchos desarrolladores que pueden trabajar en ese código específico y encontrar las vulnerabilidades que puedan estar presentes. Sin embargo, los piratas informáticos también tienen una ventaja, ya que conocen el código completo y pueden trabajar fácilmente en la búsqueda de cualquier vulnerabilidad antes de que otros la detecten y la parcheen. A veces, el código abierto deja de ser atendido, lo que significa que ya no se actualiza, y los hackers pueden utilizar esto en su beneficio, tomándose su tiempo para encontrar posibles vulnerabilidades.

Ataques basados en credenciales

Cada nuevo dispositivo que se adquiere viene con un nombre de usuario y una contraseña por defecto. Eso incluye, pero no se limita a las cámaras de CCTV, routers, rastreadores y demás. Los fabricantes ponen el mismo nombre de usuario y contraseña por defecto ya que es realmente conveniente hacerlo, porque no necesitan modificar ningún código y pueden simplemente montar el dispositivo tal cual. Desgraciadamente, mucha gente no decide cambiar las credenciales por defecto por algo más seguro y eso hace que un dispositivo IoT sea lo más vulnerable posible. Cada nombre de usuario y contraseña por defecto para cada dispositivo está disponible en línea y si su dispositivo IoT está conectado a Internet - encontrarlo es fácil. Una vez que alguien encuentre su dispositivo, se le pedirá que inicie sesión y puede intentar utilizar el nombre de usuario y la contraseña por defecto. Este método no requiere casi ningún conocimiento técnico, por lo que es un método de ataque muy popular.

Ataques en ruta

Los ataques en ruta se producen cuando alguien intercepta tu conexión interponiéndose entre dos partes: el emisor y el receptor. Lo que ocurre es que, en lugar de enviar los datos directamente a donde tú quieres, envías sin saberlo datos al hacker, que los transfiere a donde tú quieres, de modo que tanto tú como el receptor pensáis que os estáis comunicando, pero en realidad vuestros mensajes solo se retransmiten. Eso significa que quien retransmite la información puede cambiarla por lo que quiera y ver el contenido de la información que envías (como tus contraseñas).

Ataques físicos al hardware

Los dispositivos IoT se dejan a menudo sin vigilancia, lo que significa que si se encuentra en un lugar público y se puede acceder a él fácilmente, corre el riesgo de ser hackeado. Si alguien consigue llegar a su dispositivo físicamente, puede emplear diferentes métodos para acceder a él. El acceso físico permite a los hackers conectarse al dispositivo por cable y luego editar el firmware del dispositivo en tiempo real o pueden restablecer la configuración de fábrica del dispositivo y utilizar un ataque basado en credenciales cuando utilizan el nombre de usuario y la contraseña por defecto.

¿Cómo se explotan los dispositivos IoT pirateados?

Botnets

Cuando alguien carga código malicioso en su dispositivo IoT, puede convertirlo en un "zombi" o un "bot" que forma parte de otros muchos dispositivos infectados de forma maliciosa. Juntos, estos dispositivos crean una botnet, una red conectada de muchos dispositivos que pueden ser controlados por una entidad. Un solo dispositivo no puede hacer mucho, pero cuando tienes millones de dispositivos haciendo algo de forma coordinada, se convierte en un arma realmente poderosa. Estos son algunos ejemplos de lo que se puede hacer con una botnet:

Ataques DDoS

Negación de Servicio Distribuida (DDoS). Hay diferentes tipos de ataques DDoS, pero todos funcionan igual: enviar muchos datos a un objetivo al mismo tiempo desde muchos dispositivos.

De hecho, estas redes de bots pueden ser tan potentes que pueden ralentizar Internet en todo el mundo. Las cargas de tráfico pueden superar 1 terabyte por segundo y eso es más o menos como descargar 250 películas cada segundo. Obviamente, si el objetivo es un solo servidor o servicio, probablemente no podrá manejar tal tráfico y simplemente se apagará.

Ciberataques

Los botnets pueden utilizarse para cualquier tipo de ciberataque. A menudo, las botnets se utilizan para intentar forzar el acceso a algún tipo de sistema. Por ejemplo, cada dispositivo infectado puede intentar iniciar sesión en un sitio web específico con detalles aleatorios hasta que uno de cada millón de dispositivos logre adivinar la contraseña correcta.

Minería de criptomonedas

Con el auge de la tecnología blockchain, la gente ha empezado a minar diferentes tipos de monedas digitales utilizando CPUs y GPUs. La mayoría de los dispositivos tienen CPUs, por lo tanto, si tu dispositivo está infectado, alguien puede estar usando tu dispositivo para minar criptomonedas. La minería en sí misma afecta al uso de datos, a la velocidad del dispositivo y desgasta el hardware.

Uso de dispositivos IoT para entrar en otras redes

Los dispositivos IoT suelen estar conectados a un router. Normalmente, este es el caso de los routers domésticos y de oficina, porque la gente piensa que no tiene sentido comprar una tarjeta SIM solo para ese dispositivo IoT cuando se tiene cobertura Wi-Fi. Si bien es cierto que es más barato tener tu dispositivo conectado a un router, ya que utiliza el plan de datos de Internet que ya tienes en casa o en la oficina y no pagas ningún extra, hay algunos problemas de seguridad que vienen con eso. Cuando conectas tu dispositivo IoT a un router, ambos dispositivos tienen que ser capaces de comunicarse entre sí. Esa comunicación plantea el riesgo de que si alguien tiene acceso a tu dispositivo IoT, pueda hackear tu router y desde tu router a tus otros dispositivos. Esto supone un gran riesgo, ya que toda tu red (ordenadores, impresoras, dispositivos IoT, etc.) puede ser accedida por un hacker.

Ahí es donde entran las tarjetas SIM. Utilizan su propia red GSM (al igual que tu teléfono), por lo que si tu dispositivo IoT es hackeado, tus otros dispositivos permanecerán a salvo de este tipo de ataques.

Cómo mejorar la seguridad de sus dispositivos IoT

Actualizaciones de software y firmware

Asegúrate de que el firmware y el software estén siempre actualizados, ya que suelen contener muchas correcciones de errores y vulnerabilidades. Asegúrate siempre de comprobar en línea cuál es la versión actual de tu software para compararla con la versión que tiene en tu dispositivo, porque si alguien ya ha hackeado su dispositivo, podría haber desactivado las actualizaciones automáticas de tu software o firmware para tener estas vulnerabilidades presentes.

Credenciales sólidas

Una forma de ataque muy común es utilizar la contraseña por defecto del dispositivo para acceder a él. Mucha gente no se molesta en cambiar sus contraseñas y las deja por defecto. Este tipo de dispositivos son la presa más fácil para los hackers malintencionados. Para evitarlo, ten siempre una contraseña fuerte con letras, números y caracteres especiales. Además, intenta que sea única y aleatoria, para que no pueda ser adivinada. Te recomendamos que busques un buen gestor de contraseñas que te ayude a gestionar todas tus contraseñas, almacenándolas de forma segura y creando contraseñas aleatorias para cada sitio web o servicio en el que tengas una cuenta.

Método de autenticación

Existen múltiples métodos de autenticación, el básico es el conocido método de nombre de usuario y contraseña. Además de eso, recomendamos utilizar la autenticación multifactorial (MFA) siempre que sea posible. Funciona proporcionando una forma de autenticar tu inicio de sesión adicionalmente con un código temporal, huella digital o reconocimiento facial en tu móvil u otro dispositivo. De esta manera, aunque un hacker conozca tus credenciales de inicio de sesión, tiene que autenticarse de alguna manera con una de las opciones adicionales para poder entrar con éxito en tu dispositivo.

El informe de Microsoft de 2019 ha concluido que la MFA funciona realmente bien ya que está bloqueando el 99,9% de los ataques automatizados.

Ubicación física

Si sus dispositivos están ubicados en un lugar público, como las cámaras de seguridad, se puede acceder a ellos físicamente y apoderarse de ellos o infectarlos, por lo tanto, es importante colocarlos en lugares de más difícil acceso. Eso asegura que entidades maliciosas no tengan acceso a él, lo que les ayudaría a hackearlo más fácilmente.

Conexión separada

Para proteger toda tu red en caso de que alguien consiga hackear tu dispositivo IoT, deberías utilizar una tarjeta SIM con datos GSM dentro del propio dispositivo. De este modo, el dispositivo comprometido no puede actuar de forma maliciosa hacia tus otros dispositivos, ya que no está en la misma red.

VPN

Utilizar una red privada virtual (VPN) es una buena forma de cifrar tu conexión. En combinación con una tarjeta SIM, te permite que tu dispositivo aparezca desconectado e inaccesible en internet, pero en realidad solo es accesible utilizando un perfil VPN específico al que solo tú tienes acceso.

Ruta IP pública

En lugar de utilizar una tarjeta SIM de IP pública directamente, puedes optar por tener una ruta de IP pública. Cualquier persona puede acceder a la IP pública normal a través de Internet y lo único que protege tu dispositivo es el nombre de usuario y la contraseña. Cuando utilizas la ruta de IP Pública en lugar de conectarte directamente a tu dispositivo IoT, te conectas a nuestro servicio a través de una pasarela que está monitorizada, parcheada y protegida contra ataques maliciosos como el DDoS.

Pasarela NAT

La traducción de direcciones de red (NAT) permite a tus dispositivos IoT acceder a Internet sin preocuparte por la seguridad. Cuando deseas conectarse a internet, el tráfico se dirige a la pasarela NAT, que tiene una dirección IP pública y accede a internet para su dispositivo. Esto protege tu SIM de cualquiera que intente conectarse a tu dispositivo desde Internet.

Por ejemplo: Si tu dispositivo desea visitar Google, esa solicitud se dirige a la pasarela NAT. La pasarela NAT reenvía la solicitud a Google utilizando su propia dirección IP pública y Google devuelve los datos a la pasarela NAT. A continuación, la pasarela NAT envía los datos a tu dispositivo (el sitio web se carga para ti). Mientras estás conectado a Internet, alguna entidad maliciosa intenta acceder a su dispositivo enviando solicitudes a la pasarela NAT, destinadas a su SIM. La pasarela NAT comprueba si tu dispositivo ha solicitado dicho tráfico y simplemente ignora dicha solicitud de no ser así.

Conclusión

Los dispositivos IoT se construyen para ser energéticamente eficientes y lo más sencillos posible, por lo que no siempre se tiene en cuenta la seguridad. Eso significa que los dispositivos IoT pueden ser hackeados y explotados de muchas maneras diferentes. Sin embargo, también hay muchas formas sencillas de evitar que eso ocurra y lo mejor es que la mayoría de estas cosas son fáciles de configurar y totalmente gratuitas. Siguiendo nuestras recomendaciones, puedes implementar estas medidas adicionales que harán que tu dispositivo sea más seguro. Además, Simbase ofrece aún más características de seguridad que pueden ser habilitadas en su tablero. Tomar tiempo para asegurar tus dispositivos puede darte esa ventaja extra sobre los hackers.