Los ataques a los dispositivos de IO constituyen una amenaza creciente. He aquí algunas tácticas expertas para asegurar que los datos y las redes de su empresa estén seguros.
Cómo proteger su Internet de los objetosEl Internet de los objetos es una pesadilla de seguridad. He aquí algunas formas de proteger sus dispositivos y datos.
En el ámbito de la seguridad de la IO se plantean los consiguientes retos. Gartner predice que en los próximos dos años más de la mitad de los fabricantes de IO no podrán contener métodos de autenticación débiles, lo que puede suponer un riesgo para los datos. Estiman que «para 2020, más del 25% de los ataques empresariales identificados afectarán a la IO, aunque la IO sólo representará el 10% de los presupuestos de seguridad de TI». El pasado mes de abril proyectaban que el gasto en seguridad en IO se acercaría a los 350 millones de euros este año, casi un 24% más que el año pasado, pero esto podría no ser suficiente.
Las tácticas apropiadas serán un elemento clave en la batalla por la seguridad. Un artículo reciente de Forbes cubría el tema de la seguridad de la IO, abogando por «normas reguladoras estrictas», la necesidad de «mejorar la seguridad al tiempo que se simplifica el cumplimiento» y la implementación de «un enfoque integral que integre tanto la tecnología de la información como la de las operaciones (OT)».
Veamos algunas de las mejores prácticas para abordar los conceptos de autenticación, privacidad de datos y redes de bots:
Autenticación
Los dispositivos que deben autenticarse frente a otros sistemas (generalmente para acceder a los datos o transmitirlos) deben configurarse para hacerlo de forma segura, por ejemplo, con ID y contraseñas únicas. También puede ser posible implementar claves de encriptación (SSH) para proporcionar la identidad del dispositivo que le permita autenticarse frente a otros sistemas (la seguridad de las claves en sí es obviamente una prioridad crítica para que este modelo funcione. Ejemplos de dispositivos de IO con esta capacidad pueden incluir dispositivos de circuito cerrado de televisión (CCTV) o DVR y equipos de antena de satélite.
En otros casos, los certificados SSL de dispositivos pueden emitirse durante el proceso de fabricación o añadirse posteriormente para establecer la identidad del dispositivo y facilitar el proceso de autenticación. El concepto de integrar la seguridad en el dispositivo desde el principio es un concepto importante que los fabricantes de IO deben tener en cuenta, de modo que en el proceso de diseño se tenga en cuenta una cuidadosa consideración de las posibles vulnerabilidades o defectos. Algunos ejemplos de dispositivos IO que pueden utilizar certificados SSL son el botón IO de Amazon Web Services, los contadores inteligentes y los dispositivos de gestión de la energía doméstica.
Cuando se trata de actualizaciones de dispositivos (software y firmware, por ejemplo), se debe emplear la autenticación siempre que sea posible para asegurar que estos puedan recuperar el código sólo de sistemas aprobados, tales como servidores internos o dispositivos autorizados.
Dependiendo de sus dispositivos de IO, la investigación y aplicación de las capacidades antes mencionadas (si no están ya presentes) sería un buen primer paso en materia de seguridad.
Protección de datos
Los dispositivos IoT pueden utilizar anclajes de confianza basados en hardware, también conocidos como «raíces de confianza», que utilizan un proceso de arranque de confianza para garantizar que los dispositivos funcionan en un estado de seguridad conocido y que su contenido permanece privado. También es posible defenderse contra ataques de software no confiables aislando el código en diferentes ubicaciones de hardware para que no puedan acceder a recursos seguros.
Tanto si los datos se mueven como si están en reposo, deben cifrarse para proteger el contenido siempre que sea posible.
Las memorias en chip de la IO pueden proteger los datos contra el acceso o el robo utilizando la criptografía para cifrar o descifrar la información. La comunicación entre los dispositivos de IO y otros sistemas debe protegerse mediante enlaces cifrados utilizando protocolos como el TLS (Transport Layer Security), que se utiliza habitualmente con los navegadores de Internet, por ejemplo, cuando se realizan transacciones financieras. TLS puede prohibir los ataques «man in the middle», en los que se capturan y analizan los datos en tránsito para obtener material confidencial.
También es una buena idea aislar los datos para que sólo estén disponibles para los sistemas que necesitan acceder a ellos. El uso de redes de cortafuegos con sólo los sistemas necesarios es un ejemplo de ello.
Botnets
Los dispositivos de la Internet de los objetos (IO) pueden estar en peligro a causa de las redes de bots (también denominadas «thingbots».) Una red de bots es un grupo de sistemas controlados a través de malware (que previamente ha infestado un dispositivo. Las redes de bots se utilizan a menudo para montar ataques de denegación de servicio distribuidos (DDOS) destinados a incapacitar o paralizar los sistemas objetivo, con fines de venganza, extorsión y perturbación calculada.
Un ejemplo de ello es la red de bots Mirai, que a principios de este año lanzó grandes ataques DDoS contra Imperva, KrebsOnSecurity y Dyn (que afectaron a Twitter, Spotify y otros sitios. El código fuente de Mirai se filtró públicamente y los investigadores de Imperva lo analizaron para entender mejor a Mirai. Uno de los resultados de la investigación fue el desarrollo de un escáner que puede comprobar si los dispositivos de una red están infectados o son vulnerables al malware Mirai. Este escáner, actualmente en modo beta, se puede encontrar aquí.
A continuación se presentan algunas recomendaciones para proteger los dispositivos de IO frente a las amenazas que plantean las redes de bots: Para los propietarios de dispositivos: «Ten cuidado con lo que conectas a Internet. ¿Estás seguro de que necesita estar expuesto a todo el mundo? Si no es así, colóquelo detrás de su router, y en la configuración no lo reenvíe a ningún puerto, ni limite su acceso… Cambie la contraseña predeterminada que viene con el dispositivo a una difícil de adivinar», dijo Ben Herzberg, gerente de investigación de seguridad de Imperva.
Travis Smith, ingeniero superior de investigación de seguridad de Tripwire, comentó que las actualizaciones de los dispositivos de IO también pueden suponer un riesgo para la seguridad:
«La mayoría de los dispositivos se ejecutan en alguna variante de Linux, que puede ser anticuada y altamente vulnerable incluso antes de que el dispositivo sea lanzado. Incluso si un proveedor publica una actualización, no hay directrices sobre cómo gestionar la actualización. Algunos proveedores instalan automáticamente la actualización en los dispositivos a medida que se libera. Sin embargo, la mayoría de los dispositivos nunca lanzan actualizaciones de seguridad o no notifican al propietario del dispositivo sobre la actualización. Los usuarios finales deben estar atentos para averiguar qué dispositivos han instalado y comprobar continuamente si hay actualizaciones de los proveedores».
Para organizaciones: «Debido al aumento de los dispositivos IoT, es más fácil para los atacantes generar ataques DDoS masivos. Por lo tanto, es importante planificar para tales ataques y asegurarse de que el tráfico atacante se mitigue en la nube antes de que llegue a su organización», dijo Herzberg.
Tim Matthews, Vicepresidente de Imperva, declaró: «La seguridad de los dispositivos de IO requerirá tanto una mejor educación de los consumidores como una mayor seguridad mediante el diseño por parte de los fabricantes. Idealmente, las compañías de seguridad y los fabricantes de dispositivos trabajarían juntos para crear estándares de credenciales y acceso similares a los de un sello de conformidad con UL».
La Fundación para la Seguridad del Internet de las Cosas (Internet of Things Security Foundation) también busca abordar estas preocupaciones proporcionando las mejores prácticas, consejos y noticias actualizadas para ayudar a las compañías y a los consumidores a mantenerse al tanto de los peligros de la seguridad. Si usted posee o administra dispositivos de IO, le recomiendo que visite su página regularmente para mantenerse informado sobre los nuevos desarrollos en el panorama de la seguridad de la IO.
Actualización: Se agregó un video a este artículo el 11 de abril de 2019.
Ver también:
Los hackers intentan ataques DDoS en los sitios web de las campañas Clinton y Trump utilizando la red de bots Mirai
El código fuente de Mirai botnet responsable de Krebs On Security DDoS publicado en línea
Cómo la red de bots Mirai casi destruyó un país entero, y qué puede aprender su negocio
La nueva solución de seguridad IoT de Aerohive podría haber bloqueado los ataques Dyn DDoS, afirma la compañía.