IoT, ¿más riesgos que beneficios?

Download PDF

Hace un año presenciamos como la red Mirai[1] formada por dispositivos IoT fue utilizada para realizar un ataque DDoS que dejo sin servicio a un gran proveedor de servicios y de esta manera afecto a grandes páginas web como Reddit o Spotify. Este es solo un ejemplo de las maldades que se pueden conseguir al aprovecharse de las vulnerabilidades que los dispositivos IoT tienen. Estos dispositivos, en algunos casos, están todavía en un estado de madurez muy temprana por lo que crean algunos riesgos en las empresas en las que son colocados. Por ejemplo, tanto en una empresa como en una casa, el nivel de seguridad con el que cuenta un ordenador de sobremesa no se puede comparar con el que dispone un termostato. Esto hace que estos dispositivos se sitúen en una posición muy anterior a los ordenadores tradicionales de hoy en día y que les sea mucho más fácil de vulnerar a las personas que deseen hacerlo. ¿Y cuáles son estos riegos?

En esta sociedad en la que la información es la moneda de cambio, el primer miedo que tienen las empresas es que esta pueda ser robada, es aquí donde los IoT pueden jugarles una mala pasada. Podemos encontrarnos enemigos en dispositivos de los que nunca sospecharíamos, como puede ser el caso de las impresoras multifunción[2]. Desde hace ya bastantes años, estos dispositivos están conectados a la red de manera que, las personas autorizadas para ello puedan imprimir desde su puesto de trabajo sin que la impresora este físicamente conectada a su ordenador. Si nos paramos a pensar un poco ya podemos deducir un gran problema en este modelo, el robo de información en el proceso de enviar los documentos a la impresora. Los empleados de una empresa tendrían muy sencillo acceder a la configuración de la impresora, si conocen de las credenciales, par de datos que en muchas organizaciones y hogares sigue siendo el predeterminado, y añadir una redirección a su carpeta de los documentos que se envían a la impresora.

Por otra parte, también podemos temer de los vehículos de empresa. Si nuestra empresa subcontrata a otra para adquirir los vehículos durante un tiempo específico y tienen algún tipo de sistema inteligente, el robo de datos puede darse de varias maneras. Los coches, al conectarnos a ellos mediante nuestro smartphone, nos solicitan varios permisos para que puedan desarrollar sus funciones. Es muy bonito pensar que nuestro coche es totalmente seguro y que no va a escuchar las llamadas que realizamos por las manos libres ni guardar un registro de los mensajes y puntos GPS en los que nos hemos detenido.

Tampoco podemos olvidarnos del riesgo que existe de que las personas y los equipos sufran daños físicos. En este ejemplo nos encontramos con un termostato controlado por una aplicación que es vulnerada y cae en manos de gente que no debería. Si el aire acondicionado está colocado en un armario de servidores es muy fácil apagarlo, o activar el modo de calor para que los servidores se quemen y queden inhabilitados. Ahora, si cambiamos el armario de servidores por un despacho con cerradura controlada vía wifi, que también es vulnerada, el daño puede ser aún mayor.

También nos podemos encontrar con otros riesgos como la posibilidad de que nuestros dispositivos sean controlados desde fuera de nuestra organización como fue el caso de R. Martin[3]. Martin compro un dispositivo que le permitía controlar la puerta del garaje a demanda desde su smartphone. Al ver que la aplicación no le funcionaba, decidió colocar comentarios en la página de Amazon y el foro de la herramienta. Al ver la mala educación de este usuario el creador de la herramienta decidió bloquear ese dispositivo de los servidores, por lo que quedó inutilizado.

Para terminar, nombrar un par de usos más que se han hecho de los dispositivos IoT para fines no correctos. Como ya he nombrado al principio, los dispositivos se pueden utilizar para ser añadidos a redes zombis desde las que lanzar posteriormente ataques DDoS. También se pueden crear puertas traseras a otros dispositivos al conseguir acceder a uno de los que está dentro de la organización, en este caso, el eslabón mas débil de la cadena, el dispositivo IoT menos experimentado.

 


[1] <<El Internet de las Cosas fue usado para el último gran ataque DDoS y no podemos hacer nada para impedirlo>> HiperTextual, acceso el 12 de Noviembre de 2017, https://hipertextual.com/2016/10/mirai-ddos-internet-cosas

[2]<<¿Sabías que hasta las impresoras necesitan medidas de ciberseguridad?>>, Incibe, acceso el 12 de Noviembre de 2017, https://www.incibe.es/protege-tu-empresa/blog/sabias-las-impresoras-necesitan-medidas-ciberseguridad

 

[3]<<Los riesgos del IoT: un vendedor inutiliza la puerta del garaje de un cliente por una opinión negativa en Amazon>> Gizmodo, acceso el 12 de Noviembre de 2017, http://es.gizmodo.com/los-riesgos-del-iot-un-vendedor-inutiliza-la-puerta-de-1794002365

<<La internet de las cosas llega a las empresas: estos son los riesgos que la acompañan>> Panda Security, acceso el 12 de Noviembre de 2017, https://www.pandasecurity.com/spain/mediacenter/seguridad/la-internet-las-cosas-llega-las-empresas/

<<IoT: riesgos del internet de los trastos>>, Incibe, acceso el 12 de Noviembre de 2017, https://www.incibe.es/protege-tu-empresa/blog/iot-riesgos-del-internet-los-trastos

The following two tabs change content below.

Rubén Sánchez Corcuera

Latest posts by Rubén Sánchez Corcuera (see all)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *