Esto no lo arregla un antivirus: los problemas de seguridad del Internet de las Cosas

La facilidad a la hora de instalar un nuevo dispositivo IoT (Internet of Things) en casa nos ha llevado a olvidar lo inseguros que pueden ser. Estamos hablando de esos inofensivos cacharros como las cámaras IP de seguridad, las bombillas inteligentes, los robots de limpieza, los modernos electrodomésticos como lavadoras, tostadoras o frigoríficos. Y un largo etcétera de dispositivos en los que confiamos ciegamente.

Definitivamente, nos hemos olvidado de esa época en la que lo primero que hacíamos al configurar un PC era instalar un antivirus temerosos de que alguien nos atacara.

A pesar de todo, un antivirus tradicional queda muy alejado de este nuevo concepto de dispositivos inteligentes. La industria del Internet de las Cosas está trabajando en ello, tanto los tradicionales fabricantes de antivirus como muchos otros más especializados en distintas áreas. Para entender el riesgo que supone tener un cacharro inseguro, vamos a repasar algunos de los problemas y ataques a los que estás expuesto.

Las vulnerabilidades acechan a cualquier dispositivo IoT

El simple hecho que tus dispositivos tengan acceso a internet los hace inseguros (más por WiFI o bluetooth). Esa es una máxima en la industria de la seguridad informática que se aplica con certeza en este caso del Internet of Thing.

Los ataques DDoS que crean botnets formados por dispositivos IoT son posibles y ya están sucediendo. Ya os contamos en Xataka como un malware llamado Mirai había infectado más de 145.000 cámaras IP y dispositivos grabadores para tumbar Dyn, un importante proveedor de DNS que da servicio a clientes como Netflix, Twitter o Spotify.

Otro ejemplo de vulnerabilidad “silenciosa” fue el malware conocido como ProxyM que utilizaba frigoríficos y cualquier dispositivo IOT basado en Linux para distribuir spam a través de los puertos SMTP abiertos inocentemente. Miles de dispositivos fueron afectados y utilizados para enviar cerca de 400 mails por día. Así que, tu frigorífico puede estar mandando mails de spam sin que tú lo sepas.

La forma de actuar de los hackers es básicamente escanear dispositivos que aún tengan las claves por defecto configuradas o firmwares vulnerables y, una vez descubiertos, instalar scripts maliciosos. Sin ninguna anomalía visible para el usuario, el cual podría estar usando el aparato sin problema, enviando ciertos datos a los ciberdelincuentes. El modus operandi suele ser dejar los dispositivos en modo stan by o zombie hasta que llegue el momento preciso para realizar el ataque coordinado de DDos, por ejemplo.

El caso de las bombillas Hue y cómo fueron hackeadas

Un ejemplo ilustrativo para comprender cómo puede funcionar un ataque a un dispositivo IoT es el experimento con las bombillas LED conectadas, siendo uno de los objetos más populares y que rápidamente han adoptado los usuarios como los primeros dispositivos IoT en el hogar.

Este hack fue documentado para demostrar la importancia de la seguridad en este tipo de dispositivos. Fue realizado por Nitesh Dhanjani, un afamado investigador de seguridad y autor del recomendadisimo Abusing the Internet of Things. Consistió en utilizar un malicioso script capaz de apagar y encender las bombillas Philips Hue de su víctima. Y es que las bombillas Hue, como muchos dispositivos IoT, se han diseñados con una API abierta que confía en cualquier dispositivo conectado en la misma red local.

Nitesh Dhanjani desarrolló un malware para infectar a los usuarios del experimento a través de una web comprometida. Con ello fue capaz de encontrar una dirección MAC válida y tomar el control, apagando las luces una y otra vez sin que el usuario fuera capaz de saber que estaba ocurriendo.

En el siguiente vídeo podéis ver la demostración de Nitesh Dhanjani y el malware que tuvo en un quebradero de cabeza a las citadas bombillas inteligentes.

Una de las conclusiones es que estos dispositivos están menos protegidos debido a su bajo coste y sus limitaciones funcionales. ¿En cuántas ocasiones nos hemos encontrado la misma clave para enlazar un dispositivo? ¿El simple hecho de conectarlo a la Wifi sirve para poder entrar en él como usuario autenticado? ¿Os imagináis instalando un antivirus a cada bombilla de casa? La verdad es que no.

Estamos hablando de dispositivos que dependen al 100% de que el fabricante actualice el firmware. El usuario apenas puede hacer nada por protegerlo, es decir, sin usar herramientas externas de las cuales hablaremos más adelante. Un usuario medio es incapaz de llevar el control de los parches de seguridad que debería instalar ante las vulnerabilidades que aparecen de cada uno de sus dispositivos inteligentes. Es fácil quedar desactualizado en poco tiempo.

Los antivirus del futuro para el IoT no son un paquete de software simplemente

Los antivirus tal como los conocemos a día de hoy no sirven para el Internet of things

Como mencionamos al principio, los antivirus, tal como los conocimos en el pasado, no sirven de mucho en la heterogeneidad de dispositivos, fabricantes y entornos que existen en el Internet of Things. Los omnipresentes Kasperky o Panda se están poniendo las pilas ante el aluvión de amenazas que los dispositivos IoT pueden traer consigo, pero hay otros actores en la industria que están presentando soluciones en distintos ámbitos.

Según el informe Forrester sobre la seguridad en Internet of Thing, podemos extraer estas 6 áreas de investigación y desarrollo.

  • Seguridad de red: Proteger y securizar las conexiones de red entre los dispositivos y los sistemas back-end es vital. Las redes IoT tienen una mayor complejidad que las tradicionales debido al amplio abanico de protocolos, estándares y capacidades. Lo que provoca estar expuesto a una enorme cantidad de problemas. Los principales puntos de seguridad residen en los firewalls que tienen que incorporar analizadores de tráfico y detectar posibles malwares o intrusiones en cada paquete de datos enviado a internet. En este campo nos encontramos a clásicos como Cisco, Bayshore Networks, Darktrace o Senrio.

  • Autenticación: en este caso debemos tener en cuenta cómo los usuarios pueden acceder a usar los dispositivos. Existen un amplio abanico de posibilidades desde los clásicos passwords, PIN o hasta lo más complejos 2FA, certificados digitales o biométricos. Proveer un sistema confiable en el que los usuarios puedan acceder a los distintos dispositivos es vital, así como la autenticación entre dispositivos distintos para poder comunicarse entre sí. Entre las compañías que desarrollan** soluciones se encuentran: BlueId, Covisint, Gemalto y Entrust Datacard.

  • Encriptación: Una de las formas más eficaces de prevenir posibles ataques es asegurar la integridad de los datos y evitar que los hackers pueda interceptar las comunicaciones. Para ello se utilizarán los algoritmos criptográficos. Aunque, el gran problema sigue siendo el gran número de dispositivos y la capacidad de muchos de ellos para proveer el suficiente procesamiento. Sin ello, es inviable tener un ciclo completo de encriptación extremo a extremo. Algunos de los fabricantes más destacados en el desarrollo de soluciones son: Symantec, Lynx Software Technologies y los antes mencionados Cisco o Gemalto.

  • PKI (Public Key Infraestructure): fundamental para verificar que los dispositivos IoT con los que nos estamos comunicando tienen la identidad correcta y nadie nos está engañando. Para ello es necesario la generación, distribución, gestión y revocación de claves públicas y privadas. Muchas de las alternativas en el mercado buscan poder tener un mecanismo en que cualquier dispositivo pueda instalar un certificado digital a través de un third-party seguro. Algunas de las compañías implicadas son WISekey o HPE.

  • Análisis y monitorización. Este es el área que es capaz de predecir los posibles ataques, incluso cuando están enmascarados de forma sigilosa. Recolectando, agregando, monitorizando y normalizando esos datos para poder ser procesados por aprendizajes de machine learning que detecten cualquier anomalía. No ha sido una práctica habitual en los firewalls tradicionales, basados en reglas estáticas de control. Pero la IoT requiere de un modelo de análisis más dinámicos que pueda ver si hay algún comportamiento no esperado. De este modo evitaremos gran parte del malware que hace uso sigiloso de los dispositivos evitando ser detectado por las herramientas de análisis tradicionales. Aquí destacan Kasperky, SAP, Aperio System o Indegy.

  • Seguridad en las API de comunicación. Es fundamental que las APIs de comunicación, ya sean REST, GraphQL, Webservices deben ir autenticadas, con las suficientes medidas de autorización y revocación. De este modo, los desarrolladores y los usuarios pueden estar seguros que las aplicaciones se comunican con dispositivos autorizados evitando ataques o posibles hackers interceptando dichas comunicaciones. Aquí nos podemos quedar con algunos nombres conocidos como Amazon AWS, Google Cloud IoT, Apigee, AKana, Mashery, MuleSoft o WSo2.

Algunas de las plataformas para desarrolladores como Amazon y Google están viendo el potencial de securizar la heterogeneidad de dispositivos. Y de paso están ayudando a crear un sistema que ayude a comunicarse entre los dispositivos y analizar más fácilmente qué están haciendo, colaborando entre sí ante una amenaza o un comportamiento inesperado.

Por ejemplo, AWS IoT Core pone a disposición de los desarrolladores una plataforma para securizar las conexiones de los dispositivos mediante tokens y certificados confiables para enrutar los millones de mensajes que comparten los dispositivos IoT. Además de proveer una plataforma de lectura y procesamiento para que los diferentes dispositivos conectados colaboren entre ellos.

AWS IoT Core ofrece autenticación y cifrado integral en todos los puntos de conexión, a fin de que los datos nunca se intercambien entre dispositivos y AWS IoT sin una identidad probada. Asimismo, puede proteger el acceso a dispositivos y aplicaciones mediante políticas con permisos granulares.

La falta de regulación entre fabricantes IoT y los problemas de firmware son el verdadero lastre de la seguridad

Si los fabricantes de sistemas IoT no aplican mecanismos de seguridad se deberá regular tarde o temprano por alguna entidad certificadora. Del mismo modo que puedo confiar en que mi tostador tradicional no me va a freír cuando lo conecte a la red eléctrica, los consumidores necesitan tener la seguridad que sus dispositivos son seguros.

En noviembre de 2017 fue presentado ante al IETF (Internet Engineering Task Force) una propuesta para regulación del proceso de actualización del firmware de IoT que contempla algunas de las medidas de seguridad que deberán ser de obligado cumplimiento por los fabricantes. Entre ellas se encuentra una guía para tener un arquitectura común entre fabricantes, poder asegurar la actualización vía bluetooth, WiFi, UART y USB, facilitar la firma de los firmware o proveer de mecanismos de actualización masiva de dispositivos conectados a la misma infraestructura.

Seguimos esperando la aparición de algún sistema de certificación por parte de los fabricantes IoT para tener la confianza suficiente para encender un dispositivo y no temer las consecuencias por fallos de seguridad. El futuro en el desarrollo de antivirus para la Internet of Thing es un campo bastante amplio en el que desarrollar soluciones eficaces.

Ver todos los comentarios en https://www.genbeta.com

VER 6 Comentarios

Portada de Genbeta