Publicado informe de estado del arte de “Seguridad en Internet de las Cosas”

Hace unos días el Centro de Seguridad TIC de la Comunidad Valenciana (CSIRT-CV) publicó un informe de “Seguridad en Internet de las cosas”, en el que podemos encontrar una guía sobre el estado del arte de seguridad sobre este tipo de dispositivos cada vez más extendidos en la red.

Básicamente, el término IoT (Internet of Things) se atribuye a un conjunto muy grande de dispositivos conectados a Internet y no son ordenadores convencionales. Pero, ¿por qué llamarlo Internet de las Cosas? Éste término se acuñó cuando el número de dispositivos superó al número personas conectadas a Internet, por lo que ya no se podía asumir que Internet estaba formado por personas interconectadas a través de sus dispositivos, sino que realmente existen dispositivos “autónomos” conectados a la red. No nos alertemos; no estamos ante una rebelión de las máquinas (todo se andará), sino de dispositivos desatendidos que se conectan a Internet con alguna finalidad como puede ser compartir información, o facilitar acceso remoto al dispositivo.

Estos dispositivos comprenden relojes, neveras, hornos, coches, sistemas de control domótico, wearables, sistemas de control de tráfico, etc. Todos hemos visto u oído hablar, e incluso disponemos de dispositivos de este tipo, pero la mayoría no somos conscientes de las implicaciones de seguridad y los riesgos potenciales a los que se enfrentan estos dispositivos, y en consecuencia las personas y organizaciones que los empleen.

Los dispositivos IoT técnicamente no son tan distintos como parece en comparación con sistemas que históricamente han poblado la red de redes, sin embargo, existen diferencias sustanciales que hacen que sea necesario un análisis pormenorizado de los riesgos o ataques que les pueden afectar.

Uno de los puntos más importantes de estas diferencias es que en general los dispositivos IoT son dispositivos empotrados, que son menos complejos que por ejemplo un ordenador personal. Esto es debido a que están diseñados con una funcionalidad específica y no con un propósito general. Se trata de sistemas más heterogéneos puesto que los fabricantes implementan sus propias soluciones, descartando en muchos casos un sistema operativo global o común como sucede con los PCs o smartphones. Esto dificulta en gran medida el establecimiento de políticas de seguridad o la gestión de actualizaciones.

Otro punto fundamental es que, en la mayoría de los casos, el problema no está en las capacidades del dispositivo, sino en las decisiones tomadas por los fabricantes respecto a las configuraciones por defecto de los mismos. En general, los dispositivos IoT no disponen de interfaz de usuario o controles, por lo que tienen que facilitar acceso a sus interfaces de administración mediante otros medios menos amigables para el usuario, por lo que la gran mayoría de ellos (los usuarios) no serán capaces de modificar la configuración de su dispositivo. Este hecho, sumado a que los fabricantes no suelen establecer una configuración de seguridad por defecto adecuada, hace que los dispositivos posiblemente mantengan una configuración potencialmente insegura.

El último de los casos a tener en cuenta es su ubicación física; estos dispositivos normalmente se encuentran altamente distribuidos, por lo que es posible que sistemas “críticos” ya no estén protegidos en un centro de proceso de datos. Este hecho hace que sean más difíciles de proteger, ya que puede ser muy sencillo obtener acceso físico a ellos, lo que entraña uno de los riesgos potenciales más graves de seguridad.

A modo de resumen, el informe publicado por CSIRT-CV aborda los siguientes apartados principales:

  • Alcance y objetivos del informe: Entorno y ámbito actuales, así como la finalidad del propio informe.
  • Riesgos asociados: Identificación de los riesgos potenciales que afectan a estos dispositivos, distinguiéndolos claramente del resto de los que se encuentran conectados a la red.
  • Vectores de ataque a las IoT: Posibles ataques o vulnerabilidades aprovechables que se podrían aprovechar para comprometer este tipo de dispositivos.
  • Recopilación de incidentes: Casos reales de incidentes de seguridad relacionados con IoT.
  • Prevención y salvaguardas: Listado de buenas prácticas para mejorar la seguridad en el uso de este tipo de dispositivos.

En la actualidad, el número de dispositivos IoT que empleamos va en aumento y se espera que la tendencia se acentúe los próximos años, especialmente los wearables, de los que no paran de surgir nuevos tipos y clases. Del mismo modo, algunos dispositivos de este tipo se están integrando en el ámbito corporativo. Este hecho supone un avance y a la vez un reto para las empresas ya que a pesar de la evolución y las ventajas puede que aportar, existe una elevada preocupación por las amenazas de seguridad que conlleva.

Por ello, debemos ser conscientes de la existencia de “Internet de las Cosas”, así como de la problemática y las recomendaciones de seguridad que se requieren para que su uso sea un avance global y no un retroceso en la seguridad, confidencialidad y libertad de las personas y organizaciones. Si el tema os ha resultado interesante os recomendamos encarecidamente la lectura de dicho informe, que os permitirá ampliar vuestros conocimientos en la materia.

El informe de “Seguridad en Internet de las Cosas” se encuentra disponible en este enlace [PDF], dentro del portal web de CSIRT-CV, y también desde su sección de descargas.

Si no tenéis nada que hacer, esta es una buena lectura para las navidades :)

Comments

  1. El documento es un buen acercamiento al mundo de Internet of things aunque apenas profundiza.
    Las vulnerabilidades, riesgos y mitigaciones mostradas son prácticamente las habituales del mundo de seguridad TI ó Scada.
    En un futuro cercano el IoT va a estar en nuestras vidas como hoy lo están los smartphones y sinceramente creo que va a ser una locura. Se sigue priorizando la ‘experiencia de usuario’ a la seguridad y la concienciación en seguridad del usuario apenas mejora. Las vulnerabilidades de IoT son las de toda la vida y las que todos los días se están produciendo. El usuario busca disfrutar de la tecnología despreocupándose de la seguridad; si no hay seguridad en el dispositivo el usuario (por supuesto hay excepciones) no la implementará con VPN, passwords seguras, autenticacion en varios pasos, bastionado de servicios, etc.
    Los problemas de seguridad se van a multiplicar y la pérdida de privacidad va a ser algo común. Los beneficios que nos brinda la ‘tecnología’ son cada vez más etéreos, más intangibles.

Trackbacks

  1. […] Publicado informe de estado del arte de “Seguridad en Internet de las Cosas” – SecurityArt… […]