Con el auge de la Internet de las Cosas (IoT) se espera que el número y la diversidad de dispositivos conectados aumentará de forma exponencial, alcanzando los 26.000 millones de unidades instaladas en 2020, según Gartner. Si bien este aumento de los dispositivos IoT promete beneficios para los consumidores, también abre las puertas a nuevas amenazas de seguridad, que van desde vulnerabilidades de software que conllevan ataques DDoS a contraseñas débiles y ataques de cross-site scripting. A este respecto, HP ha publicado los resultados de un estudio que revela que el 70% de los dispositivos IoT contienen vulnerabilidades.
“Mientras que la Internet de las Cosas conectará incontables objetos y sistemas, también presenta un desafío significativo, dada la ampliación de la superficie de ataque”, explica Mike Armistead, vicepresidente y director general de productos de seguridad empresariales Fortify de HP. “Con la continua adopción de dispositivos conectados, es más importante que nunca integrar la seguridad en estos productos desde el principio, para evitar la exposición de los consumidores a graves amenazas”.
HP utilizó la solución HP Fortify on Demand para explorar diez de los dispositivos IoT más populares, descubriendo una media de 25 vulnerabilidades por dispositivo. Los dispositivos probados, junto con sus aplicaciones móviles y componentes en la nube, eran de fabricantes de televisores, cámaras web, termostatos, tomas de corriente remota, controladores de riego, centros de control de múltiples dispositivos, cerraduras de puertas, alarmas domésticas y puertas de garaje.
Los fallos de seguridad más comunes detectados incluyen problemas de privacidad, debido a la recopilación de información personal, como nombre, dirección de correo electrónico, domicilio, fecha de nacimiento, credenciales de tarjetas de crédito y datos sanitarios; autorizaciones insuficientes, ya que el 80% de los dispositivos no requieren contraseñas complejas, y muchos permiten contraseñas del tipo “1234”; falta de encriptación, pues el 70% de los dispositivos IoT analizados no encripta las comunicaciones entre Internet y la red local; interfaz web inseguro, ya que en seis de los dispositivos evaluados los interfaces de usuario planteaban problemas como XSS persistente, mala gestión de la sesión, credenciales predeterminadas débiles y credenciales transmitidas en texto claro; y protección inadecuada del software, pues el 60% no usa encriptación cuando descarga actualizaciones de software, permitiendo que puedan ser interceptadas y modificadas.
– Hilda Gómez, CIO España
