La importancia de la seguridad en IoT. Principales amenazas
Los dispositivos IoT han dejado de ser un mercado de nicho. La tendencia de tener todos nuestros dispositivos interconectados, junto con el abaratamiento en la fabricación de estas tecnologías está impulsando enormemente su despegue. Además, se prevé que en un futuro cercano este hecho vaya a más con la implementación del espacio de direcciones IPv6 y el despliegue de tecnologías 5G en las redes móviles.
Surgieron de la convergencia de sistemas microelectrónicos, inalámbricos y servicios de internet, lo que dio lugar a una gran red de objetos del ámbito cotidiano capaces de comunicarse entre ellos, sin necesidad de intervención humana. Desde una nevera que es capaz de informarnos remotamente si está perdiendo frío, hasta un biochip implantado en nuestro cuerpo notificándonos acerca del nivel de glucosa en sangre o del ritmo cardíaco, pasando por la gran moda de los wearables con sus mediciones sobre nuestra actividad física diaria.
-Evolución del número de dispositivos IoT. Fuente: IOT Analytics Research 2018-
Tal y como se muestra en la gráfica superior, la tendencia de crecimiento de los dispositivos IoT es exponencial y se estima que en 2025 estos sean más de 21.000 millones, en comparación con los dispositivos non-IoT los cuales presentan un crecimiento lineal.
La relevancia de las tecnologías IoT, así como las ventajas que ofrecen en nuestro día a día, es una realidad. Sin embargo, también presentan varios inconvenientes a tener en cuenta. La información que manejan estos dispositivos es cada vez más sensible o relevante, por lo que mantenerlos seguros resulta de vital importancia.
El crecimiento de estos dispositivos supone también un incremento en el número de nuevas vulnerabilidades que les afectan.
Llevar a cabo una correcta política de seguridad es una tarea complicada debido al desconocimiento. Esto afecta a los consumidores, pero en mayor medida a los desarrolladores y fabricantes. La fundación OWASP, con su proyecto enfocado en IoT, pretende concienciar sobre estos riesgos.
¿Qué es la fundación OWASP?
La fundación OWASP es una organización sin ánimo de lucro instaurada en los Estados Unidos desde 2001. Se trata de una comunidad abierta que tiene como objetivo apoyar a las empresas y organizaciones en la concepción, desarrollo, operación y mantenimiento de aplicaciones confiables a nivel de seguridad. Todas las herramientas, documentos, foros y capítulos son completamente abiertos para que puedan ser aprovechados por personas interesadas en mejorar la seguridad de las aplicaciones.
¿En qué consiste su proyecto?
El proyecto de IoT de OWASP se presenta como una simple lista con las 10 vulnerabilidades más comunes de cada año. Su finalidad es la de apoyar a desarrolladores, fabricantes y consumidores en el despliegue y uso seguro de estas tecnologías.
También provee información sobre vulnerabilidades, análisis de firmware, debilidades en los ICS/SCADA, guías para diseñar, desarrollar, configurar y testear dispositivos IoT, entre otros.
Top 10 vulnerabilidades en IoT 2018
A continuación, detallaremos cada una de las vulnerabilidades recogidas en la lista del último año:
- Uso de contraseñas débiles o embebidas: el uso de contraseñas que pueden ser fácilmente obtenidas mediante un ataque por fuerza bruta, que por defecto sean la misma para todos los dispositivos o que incluso estén públicas en Internet, son vulnerabilidades bastante arraigadas en las tecnologías IoT por su herencia de los sistemas de control. Esta es una de las vulnerabilidades más graves en el ámbito IoT, puesto que ya ha sido explotada, en ocasiones anteriores, con el fin de realizar ataques de denegación de servicio distribuido utilizando una red de bots formada por dispositivos IoT que tenían una contraseña por defecto en sus accesos. La solución a esta vulnerabilidad es bastante simple: utilizar contraseñas únicas entre dispositivos, asociadas a una cuenta o a un servicio de directorio activo, de tal manera que la contraseña no esté embebida en el dispositivo.
- Servicios de red inseguros: se deben evitar aquellos servicios de red innecesarios o inseguros que se ejecutan en los dispositivos en segundo plano y que están expuestos a Internet. Una explotación exitosa de las vulnerabilidades que pudiera haber en dichos servicios podría comprometer la confidencialidad, integridad o disponibilidad de los datos almacenados en el dispositivo o incluso permitir un acceso remoto al mismo. La solución pasa por la deshabilitación de aquellos servicios que no sean necesarios y la solución de problemas de seguridad en aquellos que sí lo sean.
- Interfaces inseguras en el ecosistema IoT: las herramientas externas a los dispositivos como interfaces web, API en el backend o servicios en la nube pueden estar configurados de una manera insegura, lo que comprometería los dispositivos y otros componentes que se gestionan a través de éstas. Adoptar medidas de control de acceso a dichas interfaces, filtrar las entradas y salidas de los servicios y asegurar las comunicaciones añadiendo algoritmos de encriptación son las medidas más efectivas para paliar el problema.
- Falta de mecanismos de actualización seguros: en este apartado se incluye la falta de mecanismos de validación de las versiones de firmware en los dispositivos, medios de transmisión inseguros, falta de mecanismos para evitar la vuelta a versiones previas y, por lo tanto, más inseguras y la falta de notificación sobre los cambios de seguridad que se incluyen tras cada actualización. En estos casos, siempre es recomendable que el dispositivo a actualizar revise la integridad del firmware, así como su procedencia antes de ser instalado, con el fin de evitar que versiones modificadas del firmware puedan ser instaladas.
- Uso de componentes inseguros o desactualizados: el uso de componentes software y hardware inseguros u obsoletos pueden comprometer el dispositivo. La mayoría de los dispositivos utilizan componentes y librerías de terceros, sistemas operativos personalizados, así como componentes hardware de distintos fabricantes. Por ello, es importante asegurarse de que dichas librerías no están obsoletas o pertenezcan a una versión con vulnerabilidades conocidas, así como asegurarse de que los componentes hardware no provienen de un proceso de fabricación que ha sido comprometido. Véase como ejemplo los problemas que está teniendo Intel últimamente con las distintas vulnerabilidades en sus procesadores como Meltdown, Spectre o SPOILER.
- Insuficiente protección de la privacidad: la manera con la que se manejan los datos del usuario almacenados en los dispositivos IoT y en su ecosistema actualmente es insegura, impropia y se suele hacer sin solicitar permiso. Una solución a este problema puede estar en establecer una política para la manipulación de los datos del usuario, de tal manera que solo se pueda acceder a lo que sea estrictamente necesario e informando siempre al cliente sobre a qué parte de su información se tiene acceso para cada servicio.
- Falta de seguridad en el almacenamiento y transferencia de datos: es necesario utilizar algoritmos de cifrado cuando se manejan datos sensibles. También se debe llevar un control de acceso a los mismos dentro del ecosistema IoT. Por ejemplo, en las comunicaciones entre el interfaz web de un sistema domótico y los dispositivos que lo componen.
- Inadecuada gestión de dispositivos: es necesario llevar a cabo controles de seguridad en los dispositivos de producción que incluyan, entre otros, la gestión de activos y actualizaciones, monitorización de los sistemas, políticas de desmantelamiento y borrado seguro de los dispositivos.
- Configuraciones por defecto inseguras: las configuraciones por defecto de los dispositivos suelen ser inseguras. Por ello, es conveniente establecer configuraciones enfocadas a proteger el sistema, aplicar políticas estrictas de filtrado de las conexiones y la gestión de permisos.
- Falta de bastionado físico: incluye la falta de controles sobre el acceso físico al dispositivo, ya que si un atacante consigue este acceso las medidas de seguridad implantadas resultan inútiles. Para evitarlo se debe restringir el acceso físico a los dispositivos a personas autorizadas e implementar medidas adicionales de seguridad, como videocámaras o vigilantes de seguridad.
Conclusiones
En los últimos años, las grandes tecnologías han centrado sus esfuerzos en impulsar el IoT. Gracias a los últimos avances, es una realidad consolidada a día de hoy y, como hemos podido ver en este artículo, la previsión de este fenómeno seguirá creciendo en el futuro.
Sin embargo, a nivel de seguridad parece que aún queda mucho por hacer. La labor de sensibilización que realizan organizaciones como OWASP, así como la divulgación de sus contenidos es muy importante, puesto que la seguridad en IoT es un asunto de todos.