Los dispositivos inteligentes conectados en red, como cámaras de vigilancia y lámparas controladas por aplicaciones, pueden ser fácilmente hackeados. Particularmente en el caso de dispositivos IoT económicos, la contraseña está, con frecuencia, predeterminada en el firmware y no se puede modificar.

¿Qué hacer con los viejos dispositivos IoT?

Una investigación de Limited Results ha demostrado que los dispositivos IoT pueden revelar datos sensibles incluso luego de haber sido desechados. En un experimento, se pusieron lámparas inteligentes en funcionamiento y luego las desarmaron, les quitaron las placas de circuito e intentaron leerlas. El resultado fue que en todas las lamparas se encontraron casi las mismas brechas de seguridad.

En muchos casos, los datos no estaban encriptados y hasta se podía leer la contraseña de la red WLAN utilizada por el usuario. Uno de los dispositivos hasta reveló una clave privada para la codificación de RSA. Este procedimiento relativamente simple significa que por lo menos la red WLAN queda abierta a los hackers cuando toman estos dispositivos de la basura.

¿Se necesita ser todo un especialista para extraer información útil de estos dispositivos? Aparentemente no. El equipo probado ha sido tan mal programado y desarrollado que una persona con un poco de experiencia puede acceder fácilmente a información sensible, a pesar de que esto ya se sabe desde hace varios años y ha sido aprovechado innumerables veces para realizar ataques. 

OWASP, el Proyecto Abierto de Seguridad de Aplicaciones Web, ha compilado una lista de 10 puntos, que representan los mayores peligros en las redes IoT basadas en dispositivos IoT. La lista es la siguiente:

1. Contraseñas poco seguras, predecibles o con codificación fija.
2. Servicios de red inseguros.
3. Interfaces de ecosistemas inseguras.
4. Falta de mecanismos de actualización seguros.
5. Uso de componentes inseguros o desactualizados.
6. Insuficiente protección de la privacidad.
7. Transferencia y almacenamiento de datos inseguro.
8. Falta de gestión de dispositivos.
9. Configuración predeterminada insegura.
10. Falta de refuerzo físico de la seguridad del sistema.

Una vez más se advierte el peligro de la inadecuada protección de las contraseñas de los dispositivos IoT. A fines del año pasado, se promulgó una ley en el Estado de California de Estados Unidos que regula la seguridad de los dispositivos conectados en red. Concretamente, está previsto que a partir del año 2020 no se permitirá entregar dispositivos con contraseñas estándares. Lo que no está todavía claro es cuándo se aplicarán normas similares en otros lugares.

Por David Montoya, Director Regional de Paessler América