Seguridad, la asignatura pendiente de los IoT

network-782707_640Comienzo el día leyendo este genial artículo en Ars Technica. Genial, por la cantidad de información, fuentes y detalles que aporta sobre la situación actual de la seguridad en dispositivos IoT y de las iniciativas que se están poniendo en marcha para intentar mejorarla.
El artículo lleva como imagen de acompañamiento la foto de un niño durmiendo plácidamente en su cuna (y su título deja claro que la foto no la han hecho ni sus padres ni cualquier otro familiar con la intención de compartirla con los lectores, cosa que ya no es tan genial). La foto se ha hecho desde la webcam que sus padres han instalado en su dormitorio para ver a su hijo, pero la jugada no les ha salido bien porque ahora hay más gente que puede verle también.

¿Cuál ha sido el problema? Esos padres han comprado e instalado una webcam que no tiene implementadas por defecto unas medidas de seguridad mínimas que garanticen la privacidad de ese niño en particular, y en general de cualquier zona a la que esté enfocada esa cámara, como se puede apreciar en las demás imágenes que acompañan el artículo.

Los motivos por los que esa webcam (y muchos otros dispositivos IoT) no tienen unas medidas de seguridad coherentes están relacionados con el coste de implementarlas frente al beneficio que la empresa obtiene de la venta del producto. Vamos, que no les sale rentable.

¿Cómo ha sido posible hacer esa foto? Utilizando Shodan, herramienta que hace poco ha incorporado una nueva sección que permite hacer búsquedas de webcams vulnerables.

Tal y como se comenta en el artículo de Ars Technica, las webcams son vulnerables porque utilizan el protocolo RTSP para compartir vídeo sin utilizar ningún método de autenticación asociado, lo que resulta en que ese vídeo está disponible para todo aquel que sepa cómo acceder a él. En concreto, la herramienta de Shodan está disponible para los usuarios de pago aunque los usuarios gratis también pueden usar un filtro específico para realizar este tipo de búsquedas.

De hecho, no sería necesario el uso de Shodan para obtener esta información. Shodan es un facilitador. Si un atacante está interesado en este tipo de información, conseguirá acceder a ella de una manera u otra, ya que la vulnerabilidad sigue existiendo en estos dispositivos.

Los dispositivos IoT ya están plenamente integrados en nuestro día a día y seguirán evolucionando y formando parte de nuestro futuro, por ese motivo, es necesario que la seguridad forme parte obligatoria de esta evolución.

Como en casi todos los aspectos de esta vida, existen diferentes enfoques y opiniones acerca de quién debe asumir la responsabilidad de esta necesidad. Por una parte, están los defensores de que es el consumidor o usuario final el que debe saber qué está comprando y preocuparse de que ese producto sea seguro. Por otra parte, están los que piensan que es la empresa que fabrica el producto la que debe crear un producto seguro y fiable.

Yo creo que estamos hablando de una responsabilidad compartida, aunque en mi opinión no al 50% sino más bien un 40% para los usuarios y un 60% para el fabricante como mínimo.

Por una parte el usuario debe preocuparse de:

  • Formarse en ciberseguridad: no es su obligación ser un experto en seguridad informática pero no está de más que tenga unos conocimientos mínimos para que su seguridad no dependa exclusivamente de la buena voluntad de otros y del azar.
  • Mantenerse al día en ciberseguridad para conocer aunque sea las principales noticias y novedades en este ámbito.
  • Informarse antes de comprar y usar un producto. Buscar información sobre los modelos existentes en el mercado:
    • Características de los modelos: no siempre el más barato es el que más nos conviene.
    • Opciones de configuración: posibilidad de configurar el producto con las medidas de seguridad que nosotros consideremos.
    • Pros y contras a la hora de comparar modelos entre sí teniendo en cuenta siempre las medidas de seguridad que ofrecen unos modelos frente a otros.
    • Opiniones de otros usuarios que ya han usado esos productos para saber si la experiencia ha sido positiva y si no lo ha sido, cuál ha sido el problema.

Si todos hacemos esto cuando nos vamos a comprar un coche, por poner un ejemplo, ¿por qué no lo hacemos cuando vamos a comprar una webcam o una nevera inteligente?

Por otra parte el fabricante debe preocuparse de:

  • Desarrollar un producto seguro.
  • Integrar la seguridad como un requisito más de sus productos para que su producto ofrezca un nivel de seguridad adecuado a sus usuarios.
  • Facilitar la configuración del producto a los usuarios con manuales sencillos y bien explicados.
  • Avisar de los riesgos que conlleva usar el producto con una configuración por defecto que no sea segura.
  • No anteponer la rentabilidad del producto a su fiabilidad, a la seguridad y privacidad de sus usuarios o a la integridad y confidencialidad de la información que manejan.

Seguro que se puede encontrar un punto medio en el que tanto fabricantes como usuarios se sientan satisfechos con el producto final.

Personalmente creo que no es justo que todo el peso de la seguridad recaiga únicamente en los hombros y los conocimientos de los usuarios finales.

¿Qué pueden hacer los fabricantes de estos dispositivos? Pues, ponerse las pilas en seguridad, como acabamos de decir. Pero como es muy fácil opinar sin hablar de medidas concretas, voy a recordar una serie de buenas prácticas que publicó la Federal Trade Commission o FTC para integrar la seguridad como un aspecto más a la hora de crear y desarrollar dispositivos IoT. Cito algunas de ellas, aquí está el documento entero por si os interesa:

  1. Fomenta una cultura de seguridad en la empresa: Formar a los empleados para que sepan reconocer vulnerabilidades y recompensarles por informar de ellas pueden ser dos grandes aliados a la hora de mejorar la seguridad de tus productos.
  2. Implementa “seguridad por diseño” en lugar de añadirla al final del proceso como un parche.
  3. Utiliza la estrategia de “defensa en profundidad” para incorporar medidas de seguridad en diferentes niveles.
  4. Contraseñas por defecto: Se hacen públicas rápidamente por lo que dejan mucho que desear como medida de seguridad. No las utilices a no ser que se requiera que el usuario las cambie durante el proceso de instalación o configuración.
  5. Utiliza un método de cifrado robusto para la información que se envía y se almacena.
  6. Diseña tu producto teniendo en mente siempre la autenticación.
  7. Aprovecha las ventajas de las herramientas de seguridad disponibles: escaneo de redes, ingeniería inversa, escaneo de vulnerabilidades, etc. Muchas de ellas son gratuitas y pueden mejorar sustancialmente el nivel de seguridad de tu producto.
  8. Audita y testea la seguridad de tu producto antes de venderlo.
  9. Selecciona la opción segura como configuración por defecto: Pónselo fácil a los usuarios.
  10. Mantén tu producto actualizado para que siga siendo seguro.

El Internet de las cosas cada vez estará más presente en nuestras vidas, así que hagamos lo posible para que eso no implique de forma directa que cada vez estaremos más expuestos.

Sabemos que no es fácil pero sí es necesario.

Imagen: https://pixabay.com/es/red-iot-internet-de-las-cosas-782707/

Comments

  1. Quisquilloso says:

    Se os ha colado el palabro “ecriptación”. Venga, ¡esto no puede pasar en S2Grupo!

  2. @Quisquilloso se nos ha colado “encriptación”, no “ecriptación”. Como ves todos podemos tener algún despiste :)

    En cualquier caso gracias por el comentario, hacemos la modificación oportuna.

  3. Os dejo un link reciente sobre seguridad de cámaras, en él hay un link sobre un estudio de rapid7 de hace unos meses que expone precisamente los fallos de seguridad de varias cámaras de bebés

    http://internetymenores.blogspot.com.es/2016/01/el-riesgo-de-cualquier-camara-que-tiene.html

  4. Recomedaciones y responsabilidades compartidas ademas de concienciacion, ¡¡buena propuesta y buen articulo Patricia!!

  5. Muchas gracias Virginia :)

    Un abrazo!

  6. No podría estar más de acuerdo, especialmente en la parte de la responsabilidad compartida.

    Le voy a pasar el artículo a la gente que me preguntaba por qué no compré para mi bebé una cámara web que pudiera ver desde el móvil…

  7. Gracias por tu comentario M!! Sí, creo que es necesario que todos pongamos un poco de nuestra parte.