D铆a: 13 septiembre, 2018

驴Qu茅 tan f谩cil es hackear un dispositivo de IoT?

La digitalizaci贸n est谩 progresando y con ella tambi茅n Internet de las Cosas, IoT. Los dispositivos inteligentes se comunican entre s铆 y conectan en red incluso en 谩reas muy sensibles, para facilitar la vida de los usuarios. Sin embargo, tambi茅n tiene una desventaja, ya que en los 煤ltimos meses un gran n煤mero de ciberataques han demostrado el peligro que puede surgir de estas redes cada vez m谩s amplias. Pero, 驴qu茅 tan f谩cil es hackear un dispositivo de IoT?

En resumen: es comparativamente simple. Una vez que los ciberdelincuentes descubren dispositivos de IoT vulnerables, s贸lo necesitan saber c贸mo hackear el dispositivo, y eso es sorprendentemente r谩pido. La forma m谩s f谩cil de ingresar un dispositivo inteligente es utilizar el m茅todo de fuerza bruta para determinar la contrase帽a o utilizar los datos de inicio de sesi贸n predeterminados de f谩brica. Los botnets que pueden conseguirse en lo que se denomina 鈥渓a red oscura鈥 facilitan la infecci贸n de miles de dispositivos de una sola vez. Porque est谩 claro que muchos fabricantes usan los mismos datos de inicio de sesi贸n est谩ndar para todos sus dispositivos por razones de costo, en lugar de definir una contrase帽a diferente para cada uno.

 

驴Qu茅 podemos aprender del pasado?

Lo primero que pensamos es que los dispositivos de IoT nunca han sido realmente seguros. Y es obvio que ciertos riesgos se intensificar谩n. Una de las peores amenazas en Internet de las Cosas en los 煤ltimos dos a帽os ha sido el BotnetMirai, que infect贸 miles de dispositivos inteligentes al desencadenar ataques DDoS masivos usando inicios de sesi贸n est谩ndar.

Se ha demostrado que los productos chinos baratos, como las webcams, se encuentran entre los dispositivos de IoT m谩s vulnerables.

La mayor铆a de estos son productos que 煤nicamente deber铆an usarse en un entorno aislado. Desde que se public贸 el c贸digo fuente de Mirai, pr谩cticamente todo el mundo puede operar su propio botnet IoT o reescribir el c贸digo de programaci贸n arbitrariamente, por lo que han surgido numerosas mutaciones de Mirai. Otras formas de infectar un dispositivo de IoT son mucho m谩s complejas y s贸lo est谩n disponibles por un costo alto y, por lo tanto, son menos comunes. La ingenier铆a inversa del firmware o del sistema operativo requiere profundos conocimientos t茅cnicos e inversiones de tiempo. Sin embargo, aqu铆 es exactamente donde se pueden aplicar las estrategias de seguridad.

驴Qu茅 hacer al respecto?

Una soluci贸n posible y efectiva para mejorar la seguridad en IoT ser铆a permitir a los usuarios cambiar f谩cilmente los datos de inicio de sesi贸n para sus dispositivos inteligentes. Esto s贸lo ayuda con los m茅todos m谩s simples utilizados por los hackers, pero estos han sido y son, precisamente, los m谩s utilizados.

Por ejemplo, los fabricantes podr铆an “forzar” a sus clientes a cambiar los datos de inicio de sesi贸n de sus dispositivos haciendo que la entrada de una contrase帽a 煤nica y “s贸lida” sea un paso obligatorio en la puesta en marcha inicial del dispositivo. De hecho, cambiar los datos de inicio de sesi贸n reducir铆a significativamente la cantidad de dispositivos “vulnerables” y har铆a que a los hackers y bots les resultara mucho m谩s dif铆cil ingresar a los dispositivos de IoT.

Otra de las alternativas es que los fabricantes de dispositivos IoT podr铆an asignar una contrase帽a 煤nica y generada aleatoriamente a cada dispositivo y enviarla al cliente junto con el dispositivo.

 

El problema de las contrase帽as

Integrar la seguridad en los dispositivos desde el principio es m谩s dif铆cil y tedioso de lo esperado. Esto se aplica igualmente a los dispositivos IoT destinados a usuarios finales que a aquellos utilizados en las empresas. Por lo tanto, ser铆a hip贸crita, criticar a todos los fabricantes de dispositivos IoT.

Un ejemplo: cifrado. Existe la capacidad de cifrar datos que un dispositivo IoT recopila mientras est谩 en el dispositivo y tambi茅n cuando se env铆a a otro dispositivo (o se analiza en la Nube). En lo que respecta al cifrado, hay muchas recomendaciones muy buenas sobre qu茅 algoritmos son adecuados y est谩n disponibles con qu茅 longitudes de clave. Adem谩s, hay varias soluciones de cifrado de c贸digo abierto. Pero es mucho m谩s dif铆cil proteger y administrar las claves asociadas a 茅l, y la administraci贸n insuficiente de claves invalida todo el proceso de cifrado.

Una clave mal administrada puede inutilizar los datos cifrados, por ejemplo, si la clave utilizada para encriptar los datos en cuesti贸n no puede estar disponible dentro del proceso de autenticaci贸n. La gran cantidad de dispositivos en IoT aumenta exponencialmente los desaf铆os de encriptaci贸n y administraci贸n de claves.

El punto brillante

Adem谩s, debe decirse aqu铆 que, desafortunadamente, muchos dispositivos IoT son bastante d茅biles para una encriptaci贸n poderosa. Con poco espacio de almacenamiento, una buena implementaci贸n de SSL generalmente no es posible.

Los fabricantes de dispositivos IoT, especialmente para clientes finales, continuar谩n llevando dispositivos al mercado que est谩n mal o nada seguros.

Es as铆, no hay nada que podamos hacer al respecto. Sin embargo, la conciencia de la seguridad del consumidor est谩 creciendo (aunque a煤n no es lo suficientemente fuerte como para cambiar el comportamiento de compra). Las caracter铆sticas m谩s geniales y un precio asequible siguen siendo los factores decisivos para comprar este tipo de dispositivos.

Por primera vez, Amazon Echo y Google Home se encuentran en la parte superior de la lista de deseos de los consumidores conocedores de la tecnolog铆a. Por otro lado, existe un peque帽o pero creciente grupo de consumidores que tienen serias dudas sobre la seguridad de estos productos. Especialmente con dispositivos que escuchan casi todo lo que se habla dentro de su rango. Las primeras grandes olas de ataques, como el BotnetMirai, han atra铆do la atenci贸n de expertos en seguridad.

El consumidor promedio a煤n no es consciente del alcance de este tipo de ataques. Sin embargo, la presi贸n sobre los fabricantes est谩 creciendo y con ella la demanda de mejores medidas de seguridad y protecci贸n de datos.

 

Por David Montoya, Director de Canales de Paessler Latinoam茅rica.