8.8 Security: Millones de dispositivos con Internet de las Cosas están vulnerables por fallas de seguridad

Durante la séptima versión del 8.8 Computer Security Conference, expuso el boliviano Israel Araoz Severiche, quien abordó una de las conflictivas más alarmantes de los últimos años: la seguridad en los dispositivos conectados al Internet de las Cosas (IoT). En una charla titulada “Todos tus dispositivos nos pertenecen”, presentó las principales vulnerabilidades y errores al manejar estos elementos.

La fijación de Araoz por la seguridad de los dispositivos conectados a internet, se agudizó cuando fue padre, hace algunos meses. Según contó el boliviano, le regalaron un dispositivo para comunicarse con su bebé, que también podía conectarse a la red. Al querer saber más sobre su funcionamiento, comenzó a investigarlo mediante el sitio del proveedor y se encontró con que no había mucha información y que incluso el firmware (programa que controla en un bajo nivel el funcionamiento de los artefactos electrónicos), no estaba liberado. Esta situación lo alertó, principalmente por el funcionamiento desconocido y potencialmente vulnerable del dispositivo.

No había firmware en internet, no traía información técnica y sólo había un correo del fabricante. La tecnología ya es parte de nuestras vidas, pero no nos detenemos a pensar qué se hace con la información que se recoge. Hay muchos problemas en las IoT, principalmente dados por firmware no protegido.

El funcionamiento de los dispositivos en red y la información que recogen de sus usuarios, puede ser potencialmente benéfica como también representar un alto riesgo. Los aparatos que se conectan a internet, cuentan con procesadores, memorias, sensores y chips, hardware que puede ser utilizado para múltiples propósitos si no se cuenta con una seguridad apropiada. Softwares fraudulentos que realizan operaciones indebidas, ataques de denegación de servicio, robo de información, televigilancia e incluso minado de criptomonedas, pueden tener lugar cuando la criptografía de los dispositivos es endeble.

Vulnerabildades y precauciones

El mes de septiembre se hizo conocida llamada Iot_reaper, una botnet (conjunto de red de robots informáticos automátizados), que ha infectado ascendentemente a dispositivos propios del Internet de las Cosas. La red compuesta, principalmente de cámaras de seguridad IP, grabadoras de video en red (NVR) y grabadoras de video digital (DVR), ha llevado las vulnerabilidades del IoT un punto crítico, generando una red zombie de miles de dispositivos. El asumo adquiere aún más relevancia, considerando que par el 2020 habrá 50.000 millones de dispositivos conectados al IoT.

Más vale prevenir que curar, dicen. Según la exposición de Araoz, para estudiar el comportamiento de un dispositivo de este tipo se puede realizar una intervención a nivel físico, estudiando el hardware para identificar la morfología de los microchips (aunque se tiene como riesgo el perder la garantía asociada) y a nivel software, donde se analizan las vulnerabilidades del código informático.

Los dispositivos IoTs pueden ser atacados de múltiples formas: a nivel de ecosistema, a nivel de dispositivo, a nivel firmware, con información almacenada, o los mecanismos de actualización, etc. No sé si hay un estándar para investigar, pero si funciona el ensayo prueba y error. Muchas actualizaciones de firmware no son firmadas, por eso se recomienda implementar plataformas para autentificación de servicios.

Dentro de las dinámicas para atacar estos dispositivos, usualmente se buscan vulnerabilidades en nivel firmware y se desarrollan exploits para doblegar el funcionamiento. Los dispositivos más afectados suelen ser los que ocupan plataformas X86, ARM, ARM, MIPS y MIPSEL. Al mismo tiempo, los routers son los más transgredidos, pues la mayoría funcionan bajo protocolos estándar.

La seguridad en IoT está en auge, representando casi un problema de salud cibernética, donde los principales desafíos involucran generar un trabajo conjunto entre los proveedores de dispositivos IoT y expertos en ciberseguridad, incentivar a los investigadores a reportar vulnerabilidades, y educar a los vendedores y comunidad, sobre todo en cuestión de actualizaciones.

The post 8.8 Security: Millones de dispositivos con Internet de las Cosas están vulnerables por fallas de seguridad appeared first on FayerWayer.