Te podrás imaginar que cualquier dispositivo conectado a una red o a Internet será un objetivo para un atacante (sobre todo si le encuentra vulnerabilidades). Antes los únicos dispositivos que tenían conectividad eran servidores, PCs/laptops y celulares, pero últimamente las «cosas» se están conectado a Internet, ofreciendo facilidades y mejoras en la calidad de vida, pero pueden presentar vectores de ataque importantes que pongan en riesgo la seguridad.
El Internet de las cosas (IoT por sus siglas en inglés), es cualquier «cosa» o dispositivo que se conecte a una red o a otros objetos (como un reloj inteligente que se conecta a tu celular) y, por lo general, cuentan con sensores que permiten medir o realizar diferentes actividades (ej. medir la temperatura de una casa y encender/apagar el aire acondicionado).
Una de las grandes ventajas de los dispositivos IoT es su bajo costo, lo que ha hecho que se incremente su uso en hogares, empresas, industrias, el mundo militar y hasta directamente en las personas (ej. marcapasos).
Los dispositivos IoT, al ser equipos electrónicos, que cuentan con procesadores, tarjetas de red, memoria y sistemas operativos, también presentan vulnerabilidades que pueden ser aprovechadas por atacantes. Por esta razón el equipo de OWASP (Open Web Security Project) el 2018 emitió el Top 10 vulnerabilidades en dispositivos IoT, para servirle de guía a usuarios, especialistas y fabricantes para que éstos puedan establecer medidas de prevención y corrección a la hora de usar, implementar y desarrollar los diversos dispositivos.
El OWASP Top 10 de vulnerabilidades IoT es el siguiente:
- Contraseñas Débiles, Adivinables o codificadas: Fáciles de adivinar o que, por defecto, permiten acceder a la configuración del dispositivo
- Servicios de Red Inseguros (o innecesarios): Algunos dispotivos cuentan con servicios de red sin las medidas de seguridad adecuadas o tienen servicios innecesarios que solo los hacen más vulnerables
- Ecosistema de interfaces inseguras: Ocurre cuándo la vulnerabilidad no está en el dispositivo, sino en las aplicaciones que lo administran (ej. un reloj que se conecta a una app insegura en el celular)
- Ausencia de un mecanismo de actualización seguro: Cuándo no se cuentan con mecanismos para realizar una actualización o no son seguros
- Uso de componentes inseguros o desactualizados: Corresponde software o hardware con vulnerabilidades y que son utilizados en los dispositivos
- Insuficiente protección a la privacidad: Algunos dispositivos no cuentan con mecanismos suficientes para proteger y resguardar la información personal y confidencial que se guarda, procesa o trasmite por el dispositivo
- Transferencia y almacenamiento de datos inseguros: Los dispotivos no cuentan con mecanismos para encriptar la data
- Ausencia de gestión de dispositivos: Una vulnerabilidad de gestión en dónde los usuarios y empresas desconocen la cantidad de dispositivos que se conectan a su red y el tipo de información que manejan
- Configuraciones por defecto insegura: Cuándo las configuraciones que vienen en el dispositivo por parte del fabricante son inseguras
- Ausencia de seguridad física: Cuándo se pueden hacer cambios físicos al dispositivo y explotar vulnerabilidades.
Para mayor información de las vulnerabilidades IoT y algunos ejemplos de éstas, puedes ver nuestra presentación OWASP Top 10 IoT, que dimos en los 10 años de OWASP Chile en INACAP Arica (ver minuto 37:35). También estuvieron Juan Carlos Reyes presentando «Ciber Operaciones antifraude» y Mauricio Eastman «Fraude una oportunidad laboral auditándolos», acompañándonos Raúl Herrera (Director del departamento de ingeniería en computación de INACAP), Carlos Allendes (Presidente de OWASP Chile) y Boris Contreras (IACC).
Y si necesitas asesoría para la gestión de seguridad para los dispositivos IoT en tu organización puedes contactarnos y con gusto te asesoraremos.