Las 5 principales amenazas del ‘Internet de las Cosas’

Internet de las Cosas 5 riesgosEl término “Internet de las Cosas” (Internet of Things o IoT) se refiere a una masa de miles de millones de dispositivos conectados, desde automóviles a dispositivos inalámbricos, mucho de los cuales llevaremos puestos. El Internet Business Solutions Group de Cisco estimó que en 2010 existían 12,500 millones de dispositivos conectados en todo el mundo y que la cifra se doblaría a los 25,000 millones en 2015.

A la luz de este mercado emergente, la revista CSO, publicación hermana deComputerworld en Estados Unidos, identificó cinco categorías de dispositivos IoT con riesgo para el próximo año. Con esta guía, los Chief Security Officers (CSO) que estén al tanto de las amenazas y peligros potenciales para sus organizaciones podrán prepararse de forma adecuada.

In-Car WiFi

En 2013, los beneficios provenientes de los vehículos conectados pudieron haber alcanzado los 21,700 millones de dólares, de acuerdo con analistas de la empresa Visiongain, cifra que sería superada por las previsiones para 2014. En este año, Ford y General Motors aumentarán su oferta de In-Car WiFi, y convertirán sus vehículos en puntos de acceso móviles donde los pasajeros podrán conectar sus smartphones, tablets y otros dispositivos a Internet, comenta John Pescatore, director de tendencias emergentes en el Instituto SANS.

Pero In-Car WiFi tiene las mismas vulnerabilidades y problemas de seguridad que los puntos de acceso WiFi tradicionales. Sin firewalls e instalaciones WiFi para pequeñas empresas, los dispositivos y datos usados en el vehículo podrían estar en peligro. Una vez dentro de la red, un atacante podría “engañar” al coche, explica Pescatore.

Este es sólo un ejemplo, pues sólo la imaginación puede limitar la clase de ataques que serían posibles en el momento en el que un hacker consiga acceso a la WiFi de un vehículo, a los dispositivos de sus pasajeros y a la identidad del auto (a través de spoofing).

“Los CISO y CSO de las empresas con personal que viaja con frecuencia deberían preocuparse por estas vulnerabilidades, ya que los hackers pueden utilizar estos ataques para acceder a información de la empresa”, afirma Jerry Irvine, CIO de Prescient Solutions.

Aplicaciones mHealth / Dispositivos médicos móviles

“El mercado de los dispositivos inalámbricos wearable utilizados en el campo del deporte, fitness y mHealth (mobile health) crecerá de 42 millones de dispositivos en 2013 a 171 millones en 2018”, asevera Jonathan Collins, analista jefe de ABI Research.

A partir de 2014, los hackers aumentarán sus ataques a dispositivos médicos móviles que ejecuten Windows, como los marcapasos, añade Rodney Joffe, experto en tecnología de Nuestar. Los fabricantes tradicionales utilizan sistemas embebidos propietarios que son difíciles de hackear debido a su código fuente cerrado y sus restricciones. Sin embargo, los fabricantes de dispositivos no tradicionales a menudo utilizan Windows.

“Windows es muy popular entre estos dispositivos porque es barato, está en todas partes y es muy conocido entre los programadores”, explica Joffe, quien también afirma que, a diferencia de los sistemas Windows de escritorio, no hay mecanismos para instalar parches para los Windows instalados en estos dispositivos. Cuantos más de estos dispositivos estén conectados a Internet a través de frecuencias inalámbricas como WiFi, más virus se extenderán entre ellos.

Los CSO deberían preocuparse por el acceso remoto a estos dispositivos porque son un objetivo potencial de ataques maliciosos a los empleados, fugas de información relacionada con la salud y ataques a altos ejecutivos para influir o controlar la estabilidad financiera de la empresa, concluye Irvine.

Dispositivos wearables, Google Glass

Según datos de Visiongain, el mercado global de tecnología wearable habría alcanzado los 4,600 millones de dólares en 2013, y continuará creciendo en 2014. En este mercado, dispositivos como los Google Glass son los mejores objetivos para un ataque, ya que se conectan automáticamente Internet e incluyen muy pocas soluciones de seguridad.

Hackear los Google Glass puede ofrecer a los atacantes información corporativa confidencial y datos de propiedad intelectual. Una empresa podría desconocer qué clases de datos o cuántos absorbe un usuario utilizando Google Glass a medida que se mueve por las oficinas y otros ámbitos de la empresa. Un hacker podría copiar todo ese audio y video.

“Todas las organizaciones deberían definir políticas para los dispositivos wearable que limiten hasta dónde pueden utilizarse, cuándo y cuál es su uso aceptable”, añade Irvine.

Monitorización y control del inventario retail, M2M

Los beneficios de las interfaces M2M (máquina a máquina) inalámbricas globales alcanzaron los 50,000 millones de dólares en 2013, según Visiongain. Sin embargo, a partir de 2014, las tecnologías para administrar inventarios incluirán cada vez más los económicos transmisores de datos 3G en sus paquetes. Estos transmisores se conectan a Internet y, de acuerdo con Pescatore, harán que esas aplicaciones sean vulnerables a ataques desde la red

“Estos dispositivos rudimentarios permiten la detección, recuperación de información estadística, gestión remota y más. Pero existen muy pocas soluciones de seguridad para proteger tales dispositivos o limitar su espionaje”, agrega Irvine.

El propósito de los nuevos transmisores 3G es reportar su posición de forma constante y en tiempo real. Pero los hackers que normalmente bombardearían un sitio web con ataques DoS podrían cambiar de estrategia interceptando estos transmisores y, por ejemplo, notificar a los servidores que WalMart está agotando de forma continua sus existencias de balones de fútbol y provocar la llegada masiva de nuevos productos a sus tiendas, asevera Pescatore. “Estos hackers u otros oportunistas podrían influir en las acciones de Kellogg’s, al aumentar o disminuir su producción de Corn Flakes”, concluye.

Por ello, las empresas deben configurar de forma segura sus sistemas de control de inventario y tecnologías M2M, y segmentarlas en frecuencias encriptadas, seguras e inaccesibles. Esto no sucede hoy en día. “Yo puedo ir con un escáner de frecuencias y ver qué comunicaciones encuentro. Una vez detectadas, puedo ver cuál es su frecuencia y señal. Y una vez que tenga esto, puedo afectar a sus comunicaciones”, explica Irvine.

Drones (aviones no pilotados) para uso doméstico

En febrero de 2012, el Congreso de Estados Unidos estableció la FAA Modernization and Reform Act con abundantes provisiones para los dones, con la confianza general de que la Administración Federal de Aviación (FAA) aceleraría la inclusión de drones/vehículos aéreos no tripulados en el sistema aéreo nacional en un plazo de tres años (para 2015).

“Los drones estarán presentes en todo el país dentro de cinco años”, afirma Erik Cabetas, socio administrativo de Include Security. Por lo tanto, los CSO deberían comenzar a planificar medidas para garantizar la seguridad de los drones ahora.

“Debido a que los drones dependen de señales de telemetría vulnerables, los atacantes podrían debilitarlos usando cualquiera de los ataques clásicos tipo buffer overruns, cadenas de formato, inyecciones SQL y bypasses de autenticación sobre su firmware”, explicó Cabetas.

Ya existen ejemplos de ataques a drones. En 2009, insurgentes del Medio Oriente interceptaron señales del drone Predator por culpa de una falla en el uso de protocolos seguros. Esto, según Cabetas, permitió que pudiesen ver lo que los Predators estaban espiando al interceptar sus transmisiones áreas. Sin protocolos seguros sería posible realizar ataques similares en vehículos aéreos no tripulados domésticos.

En 2012, estudiantes del colegio A&M de Texas, por invitación de Homeland Security (Seguridad Nacional) interceptaron las señales GPS del drone de la Universidad insinuando datos de localización erróneos a sus computadoras de navegación, lo que provocó finalmente la colisión del aparato.

“Pero lo más peligroso que he visto hasta ahora fue lo que consiguió el ganador de los DroneGames 2012, un concurso de programación de drones. El ganador creó un virus que se apoderaba de cualquier drone que se acercara al drone infectado”, afirma Cabetas. Al utilizar una única vulnerabilidad en el homogéneo firmware de los drones, un atacante podría llenar el cielo de dispositivos voladores dispuestos a seguir sus instrucciones.

En un par de años, los drones serán componentes estándar de pruebas de penetración física, espionaje corporativo y ataques de hackers, de acuerdo con Cabetas. “Los atacantes podrían tomar fotos de alta resolución y videos a través de ventanas (descubriendo contraseñas apuntadas en post-its y otros tipos de datos sensibles). Serían capaces de incorporar micrófonos de alta fidelidad para escuchar conversaciones desde el exterior de habitaciones específicas (como salas de reuniones o el despacho del CEO)”, asegura.

Los CSO deberían investigar medidas de seguridad física adecuadas para ataques de drones que no posean o controlen, y exigir protocolos de seguridad para cualquier vínculo aéreo no tripulado que se utilice.