Los riesgos del Internet de las cosas

¿Sabemos cómo nos pueden hackear? ¿Somos conscientes de todos y cada uno de los dispositivos que tenemos conectados a internet? Una encuesta de seguridad ForeScout IoT declaró que “los encuestados, que inicialmente pensaban que no tenían dispositivos IoT en sus redes, en realidad tenían ocho tipos de dispositivos IoT (cuando se les pidió que eligieran de una lista de dispositivos) y sólo el 44% de ellos tenían una política de seguridad conocida para IoT” [1].

El 21 octubre de 2016, se produjo un ciberataque que dejó sin servicio a Dyn, proveedor de DNS, y como consecuencia a decenas de servicios, webs y redes sociales como Twitter, Amazon, Spotify, etc. Este fue un ataque DDoS, ataque de negación de servicio distribuido, que se produjo gracias al malware Mirai. Este malware está publicado como software libre, es decir, cualquier persona sin grandes conocimientos informáticos puede descargarlo y utilizarlo para dirigir ataques de este tipo. Este ataque en concreto, fue posible porque había vulnerabilidades en los dispositivos conectados a internet, en concreto, en routers y cámaras de vigilancia [2].

Un informe de julio de 2014 sobre la seguridad de los dispositivos IoT de HP encontró 25 vulnerabilidades de media por dispositivo. Por ejemplo, el 80% de los dispositivos no requieren contraseñas suficientemente complejas y largas, el 70% no cifra las comunicaciones de tráfico locales y remotas, y el 60% contenía interfaces de usuario vulnerables y/o firmware vulnerable [3].

Seguro que hay muchas personas que, en su día, conectaron la impresora que tienen en casa a internet y en este momento están imprimiendo algo sin darse cuenta de que está conectada realmente. Ahora, imagina que esto pasa en una empresa cualquiera, puede que, hasta una empresa de tecnología. Un dispositivo conectado a la red de tu empresa sin cortafuegos. Seguro que a los ordenadores de la empresa si se les ha puesto un antivirus. Entonces, ¿por qué a la impresora no se le ha puesto o no se le ha actualizado? Simplemente no le damos importancia. ¿Qué mal puede hacer una impresora conectada a internet? Una impresora solo imprime, ¿no?

Pues no os digo nada, si ahora conectamos absolutamente todo a internet y el proveedor de IoT no genera actualizaciones de su software de seguridad. En cualquier momento un malware como Mirai puede aprovechar una vulnerabilidad y acceder a esa impresora, proyector, cámara, botón, zapatillas, paraguas, etc. que tenemos conectado a internet.

Otra pregunta, ¿has cambiado la contraseña por defecto del router que te facilitó tu compañía de teléfono? Parece que las contraseñas por defecto son lo suficientemente seguras, pero la gran mayoría no lo son. Si queremos tener una contraseña segura, debe tener al menos 8 dígitos, compuestos por mayúsculas, minúsculas, números y caracteres especiales. No tendría ni que recordar, que no debemos usar la misma en varios sitios, ni tenerla apuntada en un post it pegado al ordenador. Si alguna de tus contraseñas no cumple alguno de estos requisitos, ya puedes estar pensando en cambiarla y si crees que no te vas a acordar de una contraseña así, ya te puedes descargar un gestor de contraseñas. Si no lo haces, estás dejando una vulnerabilidad en tu red.

Estos son los principales riesgos de los dispositivos IoT, que prácticamente los podemos agrupar todos en un gran riesgo importantísimo: ciberseguridad. Si ni siquiera sabemos qué dispositivos tenemos en nuestra casa o en nuestra oficina conectados a internet, cómo vamos a acordarnos de actualizarlos o cambiar su contraseña para evitar un ciberataque.

Aun así, esto no es todo. En la Unión Europea está prohibido que los artículos tengan activado el RFID (identificador por radiofrecuencia) una vez salen de la tienda. Es decir, se desactiva cuando el cliente compra el artículo. Pero, ¿si no lo desactivaran? Cualquiera con una antena podría saber que lleva encima todo el que pase por delante.

Empresas como Google, quieren que sus asistentes personales estén escuchando 24h, no solo cuando tú los actives. Es decir, que si estás hablando con un amigo de hace cuanto no comes pizza, te puede preguntar de inmediato si quieres que pida una pizza para cenar. Pero, ¿si escuchase otro tipo de conversación?

Los dispositivos IoT suponen un riesgo para la privacidad. Todavía no está claro dónde está la línea hasta la que puede llegar la funcionalidad y accesibilidad sin atacar a la privacidad de sus consumidores. Los datos cada vez están más cotizados, las empresas quieren saber cosas de nosotros para mejorar sus servicios, por eso nos piden permisos e información. Pero una vez que todas las cosas conectadas a internet emitan información sobre nosotros, ¿dónde estará el límite? Y, aunque nosotros demos el permiso y facilitemos la información necesaria, ¿esa información queda de forma segura entre el cliente y la empresa?

 

Referencias:

[1] IoT Needs Better Security – ISACA Journal Volume 3, 2017 https://www.isaca.org/Journal/archives/2017/Volume-3/Pages/iot-needs-better-security.aspx

[2] Mucientes, E. (2016). Así se gestó el ciberataque más grave de los últimos 10 años. El Mundo. https://www.elmundo.es/tecnologia/2016/10/22/580b10e5268e3e06158b45e0.html

[3] Bertino, E., & Islam, N. (2017). Botnets and Internet of Things Security. Computer, 50(2), 76-79.