Luego de hablar con varios expertos en tecnología sobre el estado de la seguridad en el ámbito del Internet de las Cosas, hemos descubierto lo bueno, lo feo y lo muy malo. El mayor peligro llegará cuando los hackers exploten las vulnerabilidades de falsificación de petición del lado del servidor y puedan llevar a cabo ataques encadenados.
Los ejemplos comienzan a surgir: el ciberataque que sufrió la compañía Dyn hace unos meses por parte de un grupo de hackers supuso el “fin del mundo” para mucha gente que hacía uso de las webs que se cayeron, así como de servicios como Netflix, Twitter o Spotify. Sin embargo, los profesionales de seguridad aseguran que esta interrupción del servicio no fue más que un “ataque molestia” en comparación con el daño potencial que pueden desencadenar miles de millones de dispositivos del Internet de las Cosas (IoT) conectados que no sean seguros.
Aun así, la preocupación por el peligro que conlleva tener miles de millones de dispositivos conectados a Internet con poca o ninguna protección de seguridad cibernética es evidente.
Según Gartner, 20.8 mil millones de dispositivos podrían estar conectados para el año 2020, lo que significará que aparecerán alrededor de 5.5 millones de aparatos del Internet de las Cosas diariamente. Hemos hablado con varios expertos en tecnología sobre el estado de la seguridad en el ámbito del IoT y hemos descubierto lo bueno, lo feo y lo muy malo.
El Internet de las Cosas Inseguras puede llegar a afectar a miles de dispositivos que se encontrarán conectados a Internet, lo que podría provocar un desastre con consecuencias difíciles de calcular.
¿Atacados por cámaras?
A finales del año pasado fuimos testigos de algunos de los mayores ataques DDoS jamás registrados, que procedían de lugares un tanto extraños.
Un servicio de hosting francés se vio afectado por una oleada de tráfico de una red de bots compuesta en parte por grabadores de video digitales hackeados, y parece que el mismo grupo podría haber hackeado brevemente también a CrebsOnSecurity.
Las cámaras hackeadas son un ejemplo perfecto de dispositivo IoT: un aparato que se puede conectar a Internet, que se configura con sólo encenderlo y que luego se olvida, convirtiéndose en un blanco perfecto para los hackers.
El IoT no tiene área de TI
Aquí está el primer problema: muchos dispositivos IoT, como esas cámaras, son para el gran público, lo que significa que sus dueños no tienen un departamento de TI preocupado por la seguridad. “Un particular no tiene el mismo poder adquisitivo que una gran empresa, explica John Dickson, director de Denim Group. “Por lo tanto, no puede exigir a un proveedor de software o de productos las funciones de seguridad o las protecciones de privacidad que exigen las grandes empresas”.
Dodi Glenn, vicepresidente de Ciberseguridad de PC Pitstop, señala que muchos compradores de dispositivos IoT descuidan las medidas de seguridad básicas, como cambiar la contraseña obvia que viene por default. E incluso, aunque quisieran proteger sus dispositivos, sus opciones son limitadas. “Estos dispositivos no se pueden proteger con aplicaciones antivirus”.
La inseguridad es inevitable
Como el IoT es un ámbito nuevo, está dominado por empresas que no tienen la misma forma de pensar que los fabricantes de servidores de misión crítica, y eso puede implicar problemas. “Muchas veces, los creadores de dispositivos inteligentes son startups pequeñas”, comenta Vasyl Diakonov, CO de KeepSolid. “No tienen los recursos ni conocimientos suficientes para construir una seguridad sofisticada”.
Ben Desjardins, director de soluciones de seguridad de Radware, subraya la importancia del software en esta ecuación. “El aspecto más desafiante es que muchos dispositivos IoT están fabricados por empresas nuevas en el mundo del desarrollo de software, por lo que son propensas a tener códigos vulnerables y procesos de gestión de parches inmaduros”.
Las actualizaciones son complicadas
Las amenazas de seguridad van cambiando, y en el mundo del IoT no hay casi nada, o nadie, capaz de estar al día. Eso es algo que tiene que cambiar.
“Sabemos que se están identificando continuamente vulnerabilidades en los sistemas operativos de todos los productos de servidor y escritorio importantes, y que empresas como Microsoft publican parches todos los meses”, explica Deral Heiland, director e investigador de Rapid7. “¿Por qué no esperamos que los productos IoT tengan el mismo problema?”. La solución es esperar que los proveedores de tecnologías IoT implementen soluciones a modo de parches que nos permitan identificar y parchear sus productos de manera efectiva y rápida, exactamente igual que los proveedores de sistemas operativos”.
Chips con limitaciones energéticas y encriptación pobre
En cualquier caso, las actualizaciones de software no lo solucionan todo. “La característica distintiva de muchos dispositivos IoT es que su potencia computacional es muy limitada”, señala John Michener, científico jefe de Casaba Security. “Normalmente, carecen de funciones de procesamiento auxiliares que permitan hacer cálculos modulares de alto rendimiento (utilizados por la criptografía RSA y ECC) o de circuitos de aceleración AES (utilizados por el algoritmo de encriptación AES)”. Sin acceso a esa encriptación, algunos fabricantes optan por una seguridad basada en una clave previamente compartida, pero como apunta Michener, “ese enfoque exige que la empresa responsable tenga un centro de distribución de contraseñas clásico que gestione las contraseñas PSK de todos los dispositivos IoT (una tarea operativa considerable) o utilizar passwords PSK compartidas, lo que provoca que todo el despliegue sea vulnerable en cuanto se ve afectado un solo dispositivo”.
Herramientas compartidas = peligro compartido
Michener se refirió a un inquietante estudio que realizó su firma basado en diferentes dispositivos IoT. “Casaba ha realizado pruebas de penetración en el ámbito general y hemos descubierto vulnerabilidades muy importantes, algunas en herramientas de software compartido muy habituales utilizadas en el espacio”, explica. “El alcance de esas vulnerabilidades, que se divulgaron sólo en privado y se solucionaron en silencio, no es tranquilizador”.
El terror acecha en el centro de datos
Pero, ¿cómo es un ataque IoT en un ámbito empresarial? Chris Richter, vicepresidente senior de servicios de seguridad global de Level 3 Communications, explica que una empresa con la que habló fue testigo de cómo afectó a sus centros de datos, pero a ninguno de sus servidores. “Estaban experimentando picos de ancho de banda de salida y una auditoría de seguridad descubrió que todas sus fuentes de alimentación (que estaban conectadas por IP, es decir, IoT) habían sido atacadas y formaban parte de una red de bots DDoS. Las fuentes de alimentación son grandes dispositivos que contienen código que les permite regular el flujo eléctrico. Normalmente funcionan con un núcleo Linux que, como en la mayoría de los aparatos IoT, está conectado a una IP, y por lo tanto expuesto a amenazas externas”.
Sea diligente
¿Puede utilizar dispositivos IoT en su empresa de manera segura? Lo primero es hacer un estudio. Robert Siciliano, CEO de IDTheftSecurity.com, cree que se debería estudiar la situación de seguridad del fabricante del dispositivo, es decir, sus instalaciones, y no sólo su filosofía.
“Si la empresa ha sido hackeada”, comenta, “su código puede haber sido publicado, y eso hará que sus dispositivos sean mucho más inseguros”.
IoT en cuarentena
Como los dispositivos IoT son intrínsecamente vulnerables, debe minimizar el contacto entre ellos y el resto de su infraestructura. “Si es posible, limite cómo y dónde se pueden comunicar esos sistemas IoT”, aconseja Daniel Miessler, director de Servicios de Asesoramiento de IOActive. “Si tiene capacidad, asegúrese de que sólo puedan comunicarse los sistemas que necesiten”.
Por otra parte, los sistemas que necesitan conectarse con los dispositivos IoT deberían estar protegidos. “Todo punto final –computadora de escritorio, laptop o servidor– que tenga un papel importante es un controlador/gestor IoT y pueda conectarse a Internet debe bloquearse”, advierte Sebastian Taphanel, arquitecto de soluciones de Evident.io.
Endurezca su red
“El sistema más confiable y sencillo para proteger los dispositivos de punto final y remotos es mediante una Red Privada Virtual (VPN)”, explica Julian Weinberger, director de ingeniería de sistemas de NCP Engineering. “Las soluciones integrales de software VPN encajan fácilmente en la infraestructura ya existente y no requieren hardware adicional. Además, el tráfico de datos del dispositivo queda protegido, asegurando que nunca salga tráfico sin encriptar el punto final. Esto puede ayudarle a mantener el ritmo de las crecientes conexiones IoT, asegurándose al mismo tiempo una experiencia de usuario sin fricciones”.
Vigile la red
Recuerde que las fuentes de alimentación hackeadas mencionadas con anterioridad se descubrieron debido a los picos de ancho de banda misteriosos que generaban. “Busque picos extraños en la actividad de la red, las peticiones a Internet y las conexiones a gamas IP conocidas por ser maliciosas, o cargas maliciosas en el tráfico de red”, aconseja Miessler, de IOActive.
Por su parte, Desjardins, de Radware, afirma que debería invertir en “una solución de seguridad que inspeccione el tráfico encriptado cuando deja la red, porque esa es una táctica habitual del malware para exfiltrar datos”.
Mantenga al día su caja de herramientas
Leon Adato, experto informático de SolarWinds, sugiere tres herramientas importantes que pueden ayudarle a vigilar sus dispositivos IoT: “Un analizador NetFlow puede rastrear los cientos o miles de conversaciones breves que general los dispositivos IoT, y monitorizar qué sitios externos están recibiendo conexiones desde el interior de su entorno”.
“Una herramienta de gestión de direcciones IP (IPAM) es útil porque los dispositivos ocupan muchas direcciones IP. Su herramienta IPAM puede ayudar a identificar e informar automáticamente sobre los dispositivos IoT en el curso de operaciones normales”.
Evaluación rigurosa
Si está configurando un ambiente IoT, pruébelo y evalúelo de extremo a extremo. “Un marco IoT típico consiste en dispositivos periféricos, como sensores, adaptadores, etc.; una puerta de enlace para comunicar con esos dispositivos; y un servidor backend en la nube o en las instalaciones”, comenta Mandeep Khera, CMO de Arxan. “Las empresas tiene que ocuparse de cada sección por separado y abordar las cuestiones seguridad de todas ellas. Por ejemplo, tiene que tener una prueba de penetración de seguridad para descubrir si los dispositivos de punto final pueden ser secuestrados y explotados por hackers”.
¿Quiere hacerse cargo de una infraestructur IoT ya existente? Según Jerry Irvine, CIO de Prescient, tiene que saber en qué se está metiendo: “debería documentar todos los dispositivo, así como la versión de su firmware y aplicaciones. Una vez documentados, el hardware, firmware y aplicaciones de todos los dispositivos se tienen que revisar, para asegurarse de que estén actualizados y para definir todas las vulnerabilidades conocidas”.
Automatización al rescate
“La automatización es una de las claves para aumentar la eficacia”, explica Cody Cornell, CEO de Swimlane. “Un sistema de respuesta a incidentes automatizado puede identificar y rsolver tareas de baja complejidad y alto volumen con poca o ninguna intervención humana, dejando más tiempo al personal experto en seguridad para gestionar las cuestiones más complejas o con más matices. Esto es fundamental, no sólo porque más dispositivos generan más tareas, sino porque los ataques son cada vez más sofisticados”. Muchos expertos con los que he hablado afirman que muchos proveedores ya están trabajando en soluciones de automatización destinadas específicamente a procesar las grandes cantidades de datos generadas por los dispositivos IoT, para poder monitorizarlos y protegerlos.
Preparar el terreno
A pesar de todos los poblemas tratados, la verdad es que estamos en los albores de la era IoT y todavía estamos a tiempo de darle forma de una manera más segura. “Mientras el IoT esté en sus primeras etapas, si empezamos a prepararnos ahora mismo, tenermos la oportunidad de construir nuevos enfoques de seguridad”, opina Steve Durbin, director gerente del Information Security Forum. “Los equipos de seguridad deberían tomar la iniciativa de investigar las mejores prácticas de seguridad para proteger estos dispositivos emergentes, y prepararse para actualizar sus políticas de seguridad a la medida que se interconecten más dispositivos a las redes empresariales”.
Las normas se están poniendo al día
Con el tiempo, quizá haya regulaciones que ayuden a dominar el salvaje oeste del IoT. “Conforme más reguladores se den cuenta del caos que puede provocar la información sensible almacenada y procesada de forma insegura, exigirán más transparencia a las empresas e impondrán multas más altas”, comenta Durbin.
Y puede que esto se aplique también a los usuarios. “Sospecho que las agencias reguladoras de protección al consumidor se implicarán más, porque intentarán proteger más a los compradores individuales de riesgos de privacidad o seguridad inadvertidos”, estima Dickson, de Denim Group. “Como muchos IoT están fabricados en países con protecciones de seguridad menos estrictas que las europeas y estadounidenses, cuando empiecen a acumularse las historias de hackers y deslices de privacidad IoT, las agencias reguladoras tendrán que implicarse más activamente”.
Lo peor no ha pasado, todavía
Los grandes hackeos basados en lo que hemos visto hasta ahora han sido en su mayoría ataques DDoS. “En este momento, el uso más rentable de estos dispositivos suele ser reclutar una red de bots para vender el ancho de banda y el tiempo a otros”, explica Nathan Elendt, analista de seguridad de Bishop Fox.
Por su parte, Miessler, de IOActive, prevé un futuro en el que los hackers exploten las vulnerabilidades de falsificación de petición del lado del servidor y extraigan datos sensibles de las redes internas. “Para eso hace falta que se estandaricen las pilas tecnológicas hasta tal punto que los ataques se puedan encadenar”, comenta, y eso no ha sucedido todavía. Pongamos nuestras casas en orden antes que suceda eso.
Josh Fruhlinger, CSO/Computerworld.es