No es ningún secreto que la seguridad de los dispositivos del Internet de las Cosas (IoT) supone un enorme reto para muchas organizaciones. La brecha de Verkada en marzo, en la que los atacantes filtraron pruebas de que tenían acceso a más de 150.000 cámaras de IoT, incluidas muchas en hospitales y grandes empresas, fue solo el último de una serie de incidentes crecientes que implican ataques contra dispositivos conectados a la red. Esa brecha ni siquiera ha sido el mayor o más dañino incidente relacionado con el IoT en los últimos años. Algunos recordarán que en octubre de 2016 la botnet Mirai, formada por miles de cámaras conectadas a la red y DVR comprometidas, inició uno de los ataques de denegación de servicio distribuido (DDoS) más potentes de los que se tiene constancia contra el proveedor de servicios DNS Dyn, lo que provocó la caída de docenas de sitios web tan populares como Twitter y Netflix mientras duró el ataque.
La industria del IoT sufre de debilidades crónicas de seguridad que permiten estos incidentes masivos. Antes de que podamos profundizar en lo que los fabricantes y los consumidores pueden hacer para combatir las amenazas, primero tenemos que entender exactamente cuál es el objetivo de los atacantes y por qué.
¿Cuántas veces ha configurado usted o un miembro de su familia un nuevo router en casa accediendo a su interfaz de gestión con el administrador como nombre de usuario y contraseña? ¿Y cuántas veces ha cambiado la contraseña por otra más segura después de hacerlo? Si trabaja en informática, es probable que lo haga siempre, pero para una gran parte de los consumidores no técnicos la respuesta es nunca. Esta tendencia es lo suficientemente común en los equipos de red de consumo y en los dispositivos IoT como para que la ya mencionada botnet Mirai no tuviera que recurrir a la explotación de vulnerabilidades técnicas en los dispositivos a los que apuntaba para añadirlos a su ejército de zombis. En su lugar, Mirai venía con 68 nombres de usuario y contraseñas que probaba, con un éxito abrumador, cada vez que descubría un dispositivo IoT expuesto a Internet.
Las credenciales de gestión poco robustas y codificadas son la principal debilidad de seguridad a la que se enfrentan los dispositivos IoT. Muchos usuarios no se molestan en cambiar las contraseñas por defecto y, en algunos casos, ni siquiera pueden hacerlo. De hecho, la botnet Mirai ni siquiera tenía como objetivo las cuentas de la interfaz web de gestión con la que la mayoría de los usuarios accedían a sus dispositivos. En su lugar, se dirigió a las credenciales codificadas expuestas para el acceso a la gestión de la línea de comandos a través de Telnet y SSH que los fabricantes de dispositivos habían activadas, ya sea por ignorancia o por indiferencia a los problemas de seguridad.
El acceso remoto inseguro es otro punto débil que los actores de las amenazas suelen atacar en los dispositivos IoT. Aunque la mayoría de los equipos se gestionan a través de interfaces web directas, apps y la nube, muchos dispositivos se construyen con distribuciones de Linux estándar que tienen el acceso a la línea de comandos prehabilitado. Si el fabricante no desactiva este acceso antes de distribuir su producto, los usuarios pueden desplegar su nueva tecnología sin saber siquiera que existe la puerta trasera.
Incluso si un dispositivo es inmune a los ataques dirigidos a él mismo, muchos de estos productos informan a las plataformas de gestión en la nube que sufren debilidades. Los actores de la amenaza que atacaron a Verkada no fueron a por cada cámara individualmente. En su lugar, se dirigieron a la propia plataforma en la nube, probablemente explotando una vulnerabilidad similar a la que descubrí en el Portal Web de Amcrest View en 2017, que podría darles acceso a cualquier cuenta que quisieran. Este tipo de vulnerabilidad es habitual en un sector en el que la demanda de los consumidores obliga a los fabricantes a centrarse en sacar los dispositivos al mercado de forma rápida y económica, pero no necesariamente segura.
Mejores praxis y necesidad de regulación
En IoT no todo son aspectos negativos, también tiene sus beneficios. Hay una razón por la que la adopción de IoT sigue disparándose año tras año en todos los sectores. Los dispositivos conectados a la red mejoran la eficiencia y nos ayudan a concentrar nuestros limitados recursos donde más se necesitan. El IoT en los hospitales permite a los profesionales de la salud controlar las constantes vitales en una ubicación centralizada y responder a los problemas con rapidez, mientras que el IoT en la fabricación nos ayuda a producir nuevos e interesantes productos y materias primas a precios asequibles, lo que aumenta el nivel de vida de todos. Esta tecnología ha demostrado sus ventajas, pero las organizaciones deben asegurarse de tener en cuenta los posibles puntos débiles de la seguridad al desplegarla en sus redes.
En primer lugar, hay que asumir que el IoT es inseguro por defecto. Hasta que la demanda de los consumidores cambie o regulaciones como la SB-327 de California se extiendan por todo el mundo, las organizaciones deben tratar el IoT como un sistema no fiable en su red. Esto significa que los administradores deben desplegar el IoT en redes segmentadas, lejos de otras estaciones de trabajo y sistemas. Permita que entren y salgan de la red únicamente los puertos y protocolos necesarios para que la tecnología IoT funcione, y asegúrese de habilitar los servicios de seguridad para inspeccionar y supervisar el tráfico en busca de actividades maliciosas.
En segundo lugar, asegúrese de cambiar las credenciales de gestión siempre que pueda al configurar el dispositivo. También debería considerar el uso de una herramienta como nmap para buscar puertos de gestión ocultos en el dispositivo, de modo que pueda estar al tanto de los servicios adicionales que pueda necesitar para dar cuenta de ellos. Si no puede cambiar la contraseña asociada a la cuenta de gestión, tendrá que asegurarte de bloquear todo el acceso de red a la interfaz de gestión expuesta o arriesgarse a dejar que un atacante entre directamente.
Por último, como consumidor, exija mejores prácticas de seguridad a los fabricantes de IoT. Hasta que no exista la demanda de los consumidores, los fabricantes de IoT no tendrán ningún incentivo para dedicar sus valiosos recursos de desarrollo a la seguridad frente a la usabilidad. Si hay algún resquicio de esperanza en los grandes incidentes de seguridad relacionados con el IoT que se han producido recientemente, es que el público en general está empezando a comprender por fin lo inseguros que pueden ser estos dispositivos.
Marc Laliberte
Senior security analyst de WatchGuard Technologies
