[IT}– Una llamada de atención para Internet de las Cosas (IoT)

05 diciembre 2016

Ahmed Banafa

Bienvenidos al mundo de Internet de la Cosas (IoT: Internet of Things), donde una avalancha de dispositivos con conexión a Internet irradia cantidades masivas de datos.

El análisis y el uso de estos datos tendrán un impacto positivo real en nuestras vidas, pero quedan muchos obstáculos que superar antes de ganarse las medallas; el primero es la gran cantidad de dispositivos que no disponen de una plataforma unificada, lo cual comporta graves problemas para los estándares de seguridad, algo que dificulta el progreso de IoT.

Encuesta

El concepto de Internet de las Cosas presenta un amplio abanico de nuevos riesgos de seguridad y retos para los dispositivos IoT, así como para las plataformas y los sistemas operativos, las comunicaciones e incluso los sistemas a los que están conectados. Se requerirán nuevas tecnologías de seguridad para proteger los dispositivos y las plataformas IoT, tanto de los ataques informáticos como de la manipulación física, para encriptar sus comunicaciones y abordar nuevos retos tales como la suplantación de “cosas”, los ataques de denegación del sueño para agotar las baterías, o los ataques de denegación de servicio.

Pero la seguridad en relación con IoT se complicará debido al hecho de que muchas “cosas” utilizan procesadores simples y sistemas operativos que posiblemente no soporten enfoques de seguridad sofisticados. Además de todo esto, “los especialistas en seguridad experimentados relacionados con Internet de las Cosas son escasos, y las soluciones de seguridad actualmente están fragmentadas e implican a muchos proveedores”, afirmó el Sr. Jones, de Gartner, y añadió: “desde el momento presente hasta 2021 surgirán nuevas amenazas cuando los hackers encuentren nuevas formas de atacar a los dispositivos y los protocolos de IoT, así que es posible que las ‘cosas’ duraderas necesiten hardware y software actualizable para adaptarse a lo largo de su periodo de vida útil”.

Un mapa con las zonas afectadas en la caída de Internet producida el viernes 21 de octubre de 2016 Fuente: Downdetector

Este miedo brotó con un ataque por denegación de servicio  distribuido masivo que paralizó los servidores de servicios como Twitter, NetFlix, NYTimes y PayPal en todo EE. UU. el 21 de octubre de 2016. Fueron las consecuencias de un ataque de grandes dimensiones que incluía a millones de direcciones de Internet y software malicioso, según Dyn, la principal víctima de este golpe.

“Una fuente del tráfico para los ataques eran dispositivos infectados por la red de robots de Mirai”. He aquí el vínculo al código fuente del malware Mirai en GitHub. El ataque se produce en un contexto de miedo creciente por la seguridad cibernética y un mayor número de infracciones a la seguridad de Internet. Los primeros indicios señalaban que innumerables dispositivos de Internet de las Cosas que se utilizan en tecnologías de uso cotidiano, como cámaras de circuito cerrado y dispositivos domésticos inteligentesm estaban pirateados por el malware y se utilizaron para atacar a los servidores.

“Mirai rastrea la red en busca de dispositivos de IoT protegidos con poco más que nombres de usuario y contraseñas predeterminadas desde fábrica y, después, alista a los dispositivos en ataques que lanzan tráfico basura a objetivos en línea hasta que dejan de aceptar visitantes o usuarios legítimos”, explica Krebs en un artículo.

Lo que hace que este ataque resulte tan interesante es que los dispositivos “secuestrados” han sido configurados en red para crear la IpT. En este caso, el agresor actuó como los grabadores de vídeo digital, esos descodificadores que permiten grabar televisión en vivo y saltarse los anuncios, y las webcams, como las que se utilizan para monitorear distintas partes de los hogares para mejorar la seguridad.

Todos estos dispositivos eran como zombis bajo el control de personajes malvados decididos a tomar sitios web individuales o incluso porciones de Internet, como con el ataque a Dyn.

Teniendo en cuenta las tendencias en conectividad, esto sólo es una muestra de lo que vendrá. El despliegue de IoT está superando con mucho el despliegue de cualquier otro sistema en red. Gartner estima que, para 2020, 50.000 millones de dispositivos estarán conectados a Internet. Esto representa 50.000 millones de cómplices nuevos de los que se puede servir un pirata para someter a servidores fundamentales en el funcionamiento de Internet.

Datos procedentes de: Gartner varios/Gráfico: Telecom TV

Junto a esta explosión respecto a los dispositivos conectados (y potencialmente comprometidos) cabe destacar la naturaleza cada vez más sofisticada y sistemática de los ataques recientes. Bruce Schneier, experto reconocido internacionalmente en el campo de la tecnología y la seguridad, recientemente ha hecho sonar la alarma en relación con este problema.

El hecho de que exista un grupo dedicado de participantes junto con el aumento importante de los medios para atacar redes debería ser un buen motivo de preocupación para todos nosotros.

La seguridad no es el único problema

En un estudio exhaustivo sobre IoT que realizó The Internet Society (ISOC), se señalaron problemas de vital importancia que tendrán consecuencias en IpT:

1. Preocupación por la seguridad. Con tantos dispositivos interconectados en el mercado, y más que están por llegar en un futuro cercano, hay que adelantarse a los acontecimientos con la implementación de una directiva de seguridad. Estos son algunos de los problemas que presentan los dispositivos de IoT:

  • Algunos dispositivos son más seguros que otros.
  • Falta de actualizaciones en los dispositivos de Internet de las Cosas.
  • Seguridad de las comunicaciones.
  • Educación al consumidor.

Si los dispositivos de IoT no disponen de la seguridad adecuada, los piratas cibernéticos los utilizarán como puntos de entrada para perjudicar a otros dispositivos de la Red. Esto conducirá a una pérdida de datos personales en el ámbito público y se deteriorará el factor de confianza en su totalidad entre los dispositivos conectados a Internet y las personas que los utilizan.

Para poder evitar estos escenarios, resulta extremadamente importante para garantizar la seguridad, la resiliencia y la fiabilidad de las aplicaciones de Internet promover el uso de dispositivos conectados a Internet entre usuarios de todo el mundo.

Las limitaciones de seguridad para Internet de las Cosas resultan tan importantes que incluso el analista de Gartner adelantó algunos números sorprendentes.

• Según sus datos, el gasto mundial en el mercado de la seguridad de IoT alcanzará los 348 millones de dólares estadounidenses en 2016, un incremento del 23,7% respecto a los 281,5 millones de dólares estadounidenses en 2015.

• Hasta 2018, más del 50% de los fabricantes de dispositivos de IoT no podrán gestionar las amenazas por prácticas de autenticación poco eficaces.

• Para 2020, más del 25% de los ataques identificados a empresas tendrán por objetivo la IoT, sin embargo, tan sólo se destinará un 10% de los presupuestos para iniciativas de seguridad.

Fuente: Hewlett Packard’s Fortify on Demand

2. Problemas de privacidad. La posibilidad de hacer un seguimiento y vigilancia de las personas por parte de los gobiernos y agencias privadas aumenta al estar los dispositivos conectados constantemente a Internet. Estos dispositivos recopilan datos de los usuarios sin su permiso, y los analizan con fines que tan sólo conoce la empresa matriz. La aceptación social de estos dispositivos de IoT hace que las personas no desconfíen cuando recopilan sus datos, sin llegar a comprender las implicaciones futuras.

3. Problemas estándar de interoperabilidad. Lo idóneo sería que el intercambio de información se produjera entre todos los dispositivos de IoT interconectados. Pero el escenario real resulta inherentemente más complejo y depende de distintos niveles de stacks de protocolos de comunicación entre dichos dispositivos. La industria que produce dispositivos preparados para Internet de las Cosas destinados al consumo deberá invertir un montón de dinero y tiempo para crear protocolos estandarizados para todos los dispositivos de Internet de las cosas o bien se producirá un retraso en el despliegue de productos en distintos mercados verticales.

4. Problemas de normativa legal y derechos. No existe una legislación concreta que englobe las diferentes facetas de la IoT en el planeta. La gama de dispositivos conectados entre sí plantea muchos problemas de seguridad y no existe una legislación en estos momentos que aborde tal exposición. Los problemas residen en si las leyes de responsabilidad actuales se ampliarán para incluir dispositivos que estén conectados a Internet constantemente ya que resulta complejo determinar las responsabilidades de tales dispositivos.

5. Economía emergente y problemas de desarrollo. La IoT ofrece una plataforma excepcional para articular el desarrollo social en sociedades diversas de todo el mundo y con la proliferación de Internet en diversos ámbitos de la sociedad en los países en desarrollo, junto con la caída de los precios de los microprocesadores y sensores, los dispositivos de IoT estarán al alcance de familias con rentas bajas.

¿Cómo evitar futuros ataques?

Existen cuatro aspectos interrelacionados que deben cambiar si queremos combatir esta creciente amenaza.

• El primero es que necesitamos cambiar nuestra cultura en lo referente a las tecnologías conectadas a Internet, por ejemplo, no utilizar contraseñas predeterminadas o genéricas, y deshabilitar todos los accesos remotos (WAN) a los dispositivos.

• En segundo lugar, los líderes del sector deben establecer como elementos prioritarios la seguridad y la solidez en los espacios digitales. Cuando se trate de una estrategia global, ya sea para empresas o gobiernos, es preciso que la estrategia cibernética sea de importancia fundamental.

• En tercer lugar, debemos realizar un serio intento de priorizar la seguridad en los despliegues en IoT. Seguridad por diseño, o garantizar que la seguridad se integre en la tecnología desde el principio, por ejemplo en los chips, lo que sería un paso en la dirección correcta.

• Y en cuarto lugar, los innovadores y los reguladores deben cooperar para alinear los estímulos para mejorar la seguridad en IoT, ya que en estos momentos el enfoque supone primero implementar y, después, establecer las medidas de seguridad.

Fuente

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *