Ciberseguridad IoT. Dispositivos IoT en la empresa: brechas de seguridad y protección

Implementar dispositivos IoT dentro de la empresa, implica ir más allá de las necesidades técnicas y prestar especial atención al nivel de protección ante ataques que puedan afectar a la privacidad de los datos, de la empresa y de sus clientes, o impedir el correcto funcionamiento de su actividad.

Ciberataques a IoT, una amenaza a considerar

Ante el aumento de las vulnerabilidades en este tipo de dispositivos debemos tener en cuenta las necesidades técnicas y considerar como algo vital el nivel de protección ante ataques que puede obtener datos privados de la empresa o sus clientes.

Según uno de los últimos informes de Trend Micro, un 63% de las compañías asegura que «las amenazas relacionadas con IoT han aumentado en el último año (2018)».

Muchos dispositivos IoT no incorporan la seguridad como elemento básico en su diseño, fabricación y ciclo de vida

Dispositivos IoT en la empresa: sí pero con garantías de ciberseguridad

Las organizaciones que conectan a sus redes dispositivos IoT (Internet of Things) o IIoT (Industrial Internet of Things) deben tener en consideración la importancia de blindar la seguridad de las mismas, a través de:

• Correcto dimensionamiento y fortalecimiento de la red donde se conectan los dispositivos.
• Análisis y configuración personalizada de los mismos.
• Implementación de políticas de control de endpoints o cortafuegos para monitorizar el tráfico y la actividad de cada uno de ellos.
• Diseño de planes de gestión de incidentes, así como sistemas de monitorización y control de cualquier posible brecha de seguridad.

Conscientes de esta realidad, el 40% de las empresas* consideran necesarios mecanismos de cifrado y autenticación segura de los dispositivos, así como más herramientas anti-malware.
* THALES/Thales Data Threat Report (2019).

Los CISOs deben velar por la seguridad en el despliegue de dispositivos IoT en la red corporativa

La Transformación digital de la empresa, especialmente en la industria, ha desembocado en una digitalización y automatización de los procesos de producción y gestión, dando lugar al despliegue masivo de dispositivos IoT.

Esta realidad presenta un nuevo reto a los CISOs de cualquier empresa que deben analizar las vulnerabilidades y establecer las políticas adecuadas para prevenir los posibles escenarios de ataque. Deben proteger todos sus recursos, más aún cuando estos pueden servir como puerta de entrada para recabar información confidencial sobre la propia organización o sus clientes.

Aquellos dispositivos IoT, IIoT (Industrial Internet of Things) o IoMT (Internet of Medical Things) que manejen u obtengan datos privados, por ejemplo, los RFID, dispositivos de identificación o presencia, se verían afectados por la nueva aplicación de la normativa RGPD y el tratamiento de datos personales que se puedan llevar a cabo mediante los mismos.

Los dispositivos de bajo coste o que no contemplen la seguridad como modelo de diseño, fabricación y uso, constituyen el elemento más vulnerable actualmente.

Escenarios habituales a la hora de proteger una red IoT ante eventuales ataques:

Modificación contraseñas

Modificación de las contraseñas por defecto de los dispositivos, que pueden facilitar ataques por fuerza bruta o accesos indebidos por las credenciales de fábrica. No es raro el día en el que se reciban alertas e informes avisando de ello y es la primera práctica a realizar.

Un nuevo router o cámara IP que se instale en la red, vendrá con unas credenciales por defecto que son fáciles de averiguar, o son públicos en Internet.

Prueba de ello son los ataques provenientes por malware a IoT, donde «un 75% es debido al abuso de credenciales Telnet, ataques con diccionarios de passwords conocidos, y sin modificar» *.
*KARPESKY / New trends in the world of IoT threats (sep. 2018)

Configuración

Configuración o limitación de los servicios configurados en el dispositivo para evitar accesos externos y una exposición innecesaria. Al igual que se deben alterar las credenciales de acceso, se pueden desactivar aquellos servicios que no utilicemos. En caso de ser necesarios, se debe fortalecer la red a la que se conecten para controlar su uso, segmentándola adecuadamente.

Plataformas como Shodan o Censys son ejemplos claros de la recolección de servicios expuestos a Internet, que cualquiera puede utilizar para comprobar la seguridad de estos dispositivos accesibles y accediendo a su red, en aquellos casos en los que no hayan sido protegidos.

Esto conlleva la exposición innecesaria de servicios, que, debido a su criticidad o manejo de datos privados, no deberían estar accesibles al exterior.

Esta realidad queda corroborada por informes como el del Gobierno de Holanda*, en el que se afirma que el número de notificaciones de intrusiones o leaks se duplicó durante 2018.
*AUTORITEIT PERSOONSGEGEVENS / AP ontvangt bijna 21.000 datalekken in 2018 (2018)

Actualización

Actualización de los dispositivos para evitar ataques por servicios vulnerables. En muchas ocasiones estos dispositivos se instalan y configuran una vez, y no se les vuelve a tener en cuenta mientras funcionen correctamente.

Es necesario estar al tanto de las actualizaciones de firmware del fabricante para evitar ataques futuros. Una red fortalecida puede servir inicialmente, pero un dispositivo vulnerable expuesto es un aliciente para atraer escaneos y e intentos de acceso rápidamente.

Control de accesos

Control de accesos indebidos mediante vulnerabilidades en las interfaces web o cloud de los dispositivos.

Esto va unido a la constante actualización del dispositivo, ya que, si su interfaz de acceso y configuración es vulnerable a ataques de inyección de código, podría comprometerse el dispositivo y tener control del mismo, o utilizarlo para realizar ataques masivos a otros dispositivos, como pueden ser los ataques realizados por botnets.

Mirai sigue siendo el máximo exponente hoy en día y el evento que puso en evidencia la capacidad de los ataques a dispositivos IoT en general.

Esta botnet que utiliza dispositivos IoT como routers, discos duros en red (NAS), o cámaras IP, es capaz de comprobar y comprometer dispositivos online para añadirlos a su propia red y realizar ataques de denegación de servicio globales o distribuir malware una vez se apoderan del dispositivo.

Aislamiento

Correcto aislamiento de los dispositivos, para intentar evitar la alteración de las mediciones realizadas o el tráfico del dispositivo.

Existen dispositivos IoT encargados de realizar mediciones que pueden ser influidas por ataques de denegación de servicio que bloquearían su funcionamiento adecuado, o por intrusiones que alterarían los datos de medición.

Abuso de protocolos

Abuso de los protocolos de conexión o de las APIs utilizadas por el dispositivo.

El hecho de poder abusar de ciertos protocolos o comprometer las comunicaciones puede suponer el acceso a información privada o el control total del dispositivo.

Los investigadores de Checkpoint publicaron recientemente una investigación de cómo una falla en el sistema de identificación de los drones de DJI les permitió acceder a la base de datos del usuario, mostrando los vuelos, fotografías o vídeos realizados.



Estos escenarios sirven para poner en contexto la necesidad de utilizar herramientas y metodologías que permitan controlar, mediante plataformas de inventariado y gestión de vulnerabilidades, todos los activos IoT que dispongamos.

Existen multitud de herramientas de protección de endpoints que facilitan esta tarea, pero es necesario aplicar un control exhaustivo de las redes a las que se conectan, así como un plan de choque en el momento en el que se detecte una vulnerabilidad que ha sido explotada, ya que utilizar solo VPNs o segmentar la red no basta.

Básicos para un esquema de protección:

• Estudio de los dispositivos a implementar: Servidos por proveedores conocidos y con cierto soporte.
• Políticas de instalación y uso: La instalación y configuración de estos dispositivos deben realizarlas sólo los departamentos autorizados, evitando que cualquier usuario pueda introducir nuevos dispositivos a la red.
• Identificación de dispositivos: Identificar todos y cada uno de los dispositivos presentes en la red.
• Segmentación: Para poder controlar adecuadamente estos activos, deben estar configurados en su propia red aislada.
• Monitorización: Debe llevarse un control del tráfico, así como la detección de nuevos dispositivos en la red no autorizados.
• Protección: El control de estos dispositivos es vital. Muchos no están orientados a la seguridad, otros no ofrecen actualizaciones o han dejado de tener soporte; suponiendo una clara exposición en el futuro.
• Seguridad física: Este aspecto es muy importante, ya que éste puede ser modificado o bloqueado por terceros.