Hackear un dispositivo IoT ¿es fácil?
La digitalización está avanzando y con ella también el Internet de las Cosas (IoT). Los dispositivos inteligentes se comunican entre sí y conectan en red incluso en áreas muy sensibles, para facilitar la vida de los usuarios. Sin embargo, también tiene una desventaja, ya que en los últimos meses un gran número de ciberataques han demostrado el peligro que puede surgir de estas redes cada vez más amplias. Pero, ¿qué tan fácil es hackear un dispositivo de IoT?
La verdad es que es bastante simple. Una vez que los ciberdelincuentes descubren dispositivos de IoT vulnerables, sólo necesitan saber cómo hackear el dispositivo, y eso es muy rápido. La forma más fácil de ingresar a un dispositivo inteligente es utilizar el método de fuerza bruta para determinar la contraseña o utilizar los datos de inicio de sesión predeterminados de fábrica. Los botnets que pueden conseguirse en lo que se denomina “la red oscura” facilitan la infección de miles de dispositivos de una sola vez. Porque está claro que muchos fabricantes usan los mismos datos de inicio de sesión estándar para todos sus dispositivos por razones de costo, en lugar de definir una contraseña diferente para cada uno.
Con este fácil acceso por parte de los ciberdelincuentes a un dispositivo IoT lo primero que pensamos es que no son realmente seguros. Una de las peores amenazas en Internet de las Cosas en los últimos dos años fue el BotnetMirai, que infectó miles de dispositivos inteligentes al desencadenar ataques DDoS masivos usando inicios de sesión estándar. Uno de los más vulnerables son las webcams chinas.
La mayoría de estos son productos que únicamente deberían usarse en un entorno aislado. Desde que se publicó el código fuente de Mirai, prácticamente todo el mundo puede operar su propio botnet IoT o reescribir el código de programación arbitrariamente, por lo que han surgido numerosas mutaciones de Mirai.
Otras formas de infectar un dispositivo de IoT son mucho más complejas y sólo están disponibles por un costo alto y, por lo tanto, son menos comunes. La ingeniería inversa del firmware o del sistema operativo requiere profundos conocimientos técnicos e inversiones de tiempo. Sin embargo, aquí es exactamente donde se pueden aplicar las estrategias de seguridad.
¿Qué se puede hacer?
Una solución posible y efectiva para mejorar la seguridad en IoT sería permitir a los usuarios cambiar fácilmente los datos de inicio de sesión para sus dispositivos inteligentes. Esto sólo ayuda con los métodos más simples utilizados por los hackers, pero estos han sido y son, precisamente, los más utilizados.
Por ejemplo, los fabricantes podrían “forzar” a sus clientes a cambiar los datos de inicio de sesión de sus dispositivos haciendo que la entrada de una contraseña única y “sólida” sea un paso obligatorio en la puesta en marcha inicial del dispositivo. De hecho, cambiar los datos de inicio de sesión reduciría significativamente la cantidad de dispositivos “vulnerables” y haría que a los hackers y bots les resultara mucho más difícil ingresar a los dispositivos de IoT.
Otra de las alternativas es que los fabricantes de dispositivos IoT asignen una contraseña única y generada aleatoriamente a cada dispositivo y enviarla al cliente junto con el dispositivo.
El problema de las contraseñas
Sin embargo, integrar la seguridad en los dispositivos desde el principio es más difícil. Esto se aplica igualmente a los dispositivos IoT destinados a usuarios finales que a aquellos utilizados en las empresas. Por lo tanto, sería hipócrita, criticar a todos los fabricantes de dispositivos IoT.
Un ejemplo: cifrado. Existe la capacidad de cifrar datos que un dispositivo IoT recopila mientras está en el dispositivo y también cuando se envía a otro dispositivo (o se analiza en la Nube). En lo que respecta al cifrado, hay muchas recomendaciones muy buenas sobre qué algoritmos son adecuados y están disponibles con qué longitudes de clave. Además, hay varias soluciones de cifrado de código abierto. Pero es mucho más difícil proteger y administrar las claves asociadas a él, y la administración insuficiente de claves invalida todo el proceso de cifrado.
Una clave mal administrada puede inutilizar los datos cifrados, por ejemplo, si la clave utilizada para encriptar los datos en cuestión no puede estar disponible dentro del proceso de autenticación. La gran cantidad de dispositivos en IoT aumenta exponencialmente los desafíos de encriptación y administración de claves.
Conclusión
Desafortunadamente, muchos dispositivos IoT son bastante débiles para una encriptación poderosa. Con poco espacio de almacenamiento, una buena implementación de SSL generalmente no es posible.
Los fabricantes de dispositivos IoT, especialmente para clientes finales, continuarán llevando dispositivos al mercado que están mal o nada seguros.
Es así, no hay nada que podamos hacer al respecto. Sin embargo, la conciencia de la seguridad del consumidor está creciendo (aunque aún no es lo suficientemente fuerte como para cambiar el comportamiento de compra). Última tecnología a un precio asequible siguen siendo los factores decisivos para comprar este tipo de dispositivos.
Por primera vez, existe un pequeño pero creciente grupo de consumidores que tienen serias dudas sobre la seguridad de estos productos. Las primeras grandes olas de ataques, como el BotnetMirai, han atraído la atención de expertos en seguridad. El consumidor promedio aún no es consciente del alcance de este tipo de ataques. Sin embargo, la presión sobre los fabricantes está creciendo y con ella la demanda de mejores medidas de seguridad y protección de datos.
ForeScout Technologies, experto en ciberseguridad de IoT y partner tecnológico de Alternativas en Computación, anunció que la solución ForeScout CounterACT®, está redefiniendo la visibilidad de los controles de acceso, data center y cloud para ayudar a mantener las infraestructuras críticas de las empresas seguras.
Te invito a acercarte a un ejecutivo de Alternativas en Computación para platicar un poco más de ForeScout CounterACT®, conocer casos de éxito y ver la forma en la que éste puede beneficiar a tu organización.
Si desea más información, concierte su cita con Altcomp y con mucho gusto lo atendemos.
Fuente: Computer World