La Internet de las Cosas (IoT) es una masa de miles de millones de dispositivos conectados, desde automóviles hasta productos portátiles inalámbricos. El Grupo de Soluciones de Negocios de Internet de Cisco estimó que hay 12 mil 500 millones de dispositivos conectados actualmente a nivel global desde el 2010, y la cifra se duplicará a 25 mil millones para el 2015.
A la luz de este floreciente mercado, los directores de seguridad (CSO) identifican cinco categorías de dispositivos IoT en riesgo este año. Los CSO que están conscientes de estas amenazas y del daño potencial a sus organizaciones se pueden preparar adecuadamente.
Wi-Fi en el automóvil
Una vez contada, la facturación por los autos conectados deberían alcanzar los 21 mil 700 millones de dólares, de acuerdo a los analistas de Visongain, LTC, con ingresos en 2014 subiendo aún más. A partir del año nuevo, Ford y GM incrementaron su oferta de Wi-Fi en el auto, convirtiendo a los carros en hotspots móviles y conectando los smartphones, tabletas y otros dispositivos de los pasajeros a la Internet, de acuerdo a John Pescatore, director de Tendencias Emergente en el SANS Institute.
Pero el Wi-Fi en el auto tiene las mismas vulnerabilidades de seguridad que los hotspots tradicionales. Sin firewalls presentes en conjunto con las instalaciones de Wi-Fi de los pequeños negocios, los dispositivos en el auto y los datos pueden estar en riesgo. Una vez dentro de la red, un atacante puede hacerse pasar por el carro, conectarse a fuentes externas de datos como servidores OnStar, y recolectar información personal del dueño, como datos de la tarjeta de crédito, explica Pescatore.
Ese es solo un ejemplo. Solo la imaginación puede limitar el tipo de ataques que pueden ser posibles, cuando un hacker se apodere de los dispositivos Wi-Fi de los pasajeros y de la identidad del carro (vía suplantación).
“Los CISO y los CSO en las organizaciones con personas que viajan por el país deberían preocuparse acerca de estas vulnerabilidades, ya que los hackers pueden usar estos ataques para acceder a información de la compañía”, señala Jerry Irvine, CIO de Prescient Solutions.
Aplicaciones mHealth / Dispositivos Médicos Móviles
“El mercado de los dispositivos para llevar puestos inalámbricos para deportes, gimnasio y mHealth (salud móvil) crecerá de 42 millones de dispositivos en el 2013 a 171 millones en el 2018”, señala Jonathan Collins, analista principal en ABI Research. Para el 2014 los hackers incrementarán los ataques a dispositivos médicos móviles que corran con Windows, incluyendo marcapasos, de acuerdo a Rodney Joffe, tecnólogo senior en Nuestar. Los fabricantes tradicionales usan sistemas incorporados propietarios que son difíciles de hackear, debido a que su código fuente es cerrado y con restricciones. Pero los fabricantes de dispositivos no tradicionales frecuentemente usan una forma de Windows.
Windows es muy popular para estos dispositivos porque es barato, está en todas partes y es muy bien conocido entre los programadores”, explica Joffe. Pero, a diferencia de Windows en una computadora de escritorio, no hay un mecanismo de parches para Windows en estos dispositivos, agrega Joffe. Cuanto más estos dispositivos se conecten a la Internet a través de frecuencias inalámbricas como Wi-Fi, más virus se esparcen entre ellos.
Los CSO deberían estar preocupados por el acceso remoto a esos dispositivos, dado el potencial de ataques maliciosos a empleados, filtraciones de información de salud y ataques a ejecutivos clave, con el fin de influenciar o controlar la estabilidad financiera de la organización, de acuerdo a Irvine.
Los dispositivos para vestir, Google Glass
Se espera que el mercado global de tecnología para vestir haya terminado en los 4 mil 600 millones de dólares en valor en el 2013, de acuerdo a Visiongain, LTD, y continuará creciendo en el 2014.
En ese mercado, dispositivos como los Google Glass, son un flanco principal de ataque porque se conectan automáticamente a la Internet. Y esos dispositivos tienen muy poca, si acaso la tienen, soluciones de seguridad en ellos.
Hackear los Google Glass le proporciona a los atacantes información corporativa confidencial y propiedad intelectual. Una organización puede que no sepa qué tipo de datos o qué tanto un portador absorbe usando los Google Glass mientras se desplaza por las oficinas y otros ambientes en la empresa. Un hacker podría copiar ese audio y video.
“Todas las organizaciones deberían escribir políticas para estos dispositivos, especificando el límite de donde se pueden usar esas cosas, cuándo se pueden usar y cuál es su uso aceptable”, señala Irvine.
Monitoreo y control de inventario de retail, M2M
La facturación mundial de M2M inalámbrico debe de haber alcanzado los 50 mil 100 millones de dólares en el 2013, de acuerdo a Visiongain, LTD. Para el 2014, las tecnologías de administración de inventarios incluirán cada vez más transmisores de datos vía celular 3G en paquetes. Esos transmisores se conectarán a la Internet, haciendo esas aplicaciones vulnerables a ataques basados en la Red, de acuerdo con Pescatore.
“Estos dispositivos rudimentarios permiten la detección, recopilación de información estática, gestión remota y muy poco más”, señala Irvine. Hay pocos, quizás ninguna, soluciones de seguridad para proteger esos dispositivos o limitar el espionaje de los mismos.
El propósito de los nuevos transmisores 3G es reportar constantemente en tiempo real la posición. Pero los hacktivistas que normalmente bombardearían un sitio web con ataques de denegación de servicio, podrían en lugar de ello interceptar esas transmisiones y decirle a los servidores de WalMart, por ejemplo, ventas constantes de sus pelotas de fútbol, lo cual conduciría a despachos masivos de pelotas de fútbol a las tiendas de WalMart por parte de sus proveedores, según Pescatore. “O los hacktivistas u oportunistas podrían influenciar el precio del stock de los cereales, por ejemplo al desabastecer o sobre abastecer las existencias”, añade Pescatore.
Las empresas deben configurar de manera segura los sistemas de control de inventario y las tecnologías M2M, y segmentarlas en frecuencias seguras, inaccesibles y encriptadas. Eso no ocurre hoy. “Yo puedo ir con un escáner de frecuencias inalámbricas y ver la comunicación que está ocurriendo. Una vez que la detecto, puedo ver cuál es la frecuencia y la señal. Y una vez que veo eso, puedo afectar sus comunicaciones”, explica Irvine.
Los drones (vehículos aéreos no tripulados) para uso nacional (no militar)
En febrero del 2012, el Congreso de los EE.UU. estableció la ley de reforma y modernización de las Administración de Aviación Federal (FAA) con numerosas disposiciones sobre vehículos aéreos no tripulados (VANT) con la orientación general de que la FAA acelerará la incorporación de VANT/drones en el espacio aéreo nacional en un plazo de tres años (para el 2015). “Los drones prevalecerán por todo el país en cinco años”, señala Erik Cabetas, socio administrador de seguridad en LLC. Los CSO deberían empezar a planear las medidas de seguridad para los drones ahora.
“Debido a que los drones se basan en señales de telemetría vulnerables, los atacantes pueden aprovecharlos usando cualquiera de los ataques clásicos, incluyendo desbordamiento de buffer, cadenas de formato, inyecciones SQL y bypass de autenticación que existe en el firmware de los drones”, explica Cabetas.
Ya hay registros de ejemplos de ataques exitosos a drones. En el 2009, los insurgentes en el Medio Oriente interceptaron las señales del drone Predator debido a una falla en el uso de los protocolos de seguridad, de acuerdo a Cabetas. Esto permitió que los insurgentes espiaran lo que los Predators estaban espiando (a través del video desde el aire). Sin protocolos seguros, ataques similares son posibles en los VANTs.
Y en un caso del 2012, estudiantes de la universidad Texas A&M, por invitación de Seguridad Nacional, alteraron las señales de GPS del drone de la universidad, dando datos equivocados de ubicación a las computadoras de navegación, terminando en la colisión de los drones, anota Cabetas.
“Pero la cosa más aterradora que hemos visto fue llevada a cabo por el ganador de los DroneGames del 2012, un concurso de programación de drones. El ganador creó un virus que se apoderaba de cualquier drone que se acercara al drone infectado”, señala Cabetas. Usando una vulnerabilidad sencilla en el firmware homogéneo de los drones, un atacante podía llenar los cielos con VANTs listos para seguir cualquier comando.
Y en un par de años, los drones serán componentes estándares en pruebas de penetración física, espionaje corporativo y ataques de hackers, de acuerdo a Cabetas. “Los atacantes podrían tomar fotos y videos en alta resolución en ventanas (buscando passwords o notas adhesivas y otros datos confidenciales). Serán capaces de plantar micrófonos de alta fidelidad para espionaje en el exterior de habitaciones confidenciales (salas de conferencias, oficinas de los CEO”, afirma Cabetas.
Los CSO deberían investigar contra medidas de seguridad física frente a ataques de drones que no poseen o controlan a la vez que implantan protocolos de seguridad para cualquier VANT que desplieguen.
-David Geer, CSO
