Columnas
¿Qué tan fácil es hackear un dispositivo IoT?
Por Ricardo Céspedes, gerente senior de ciberseguridad de EY
A medida que nos movemos a un mundo cada vez más digitalizado, debemos reflexionar sobre cómo aparecen nuevas amenazas que pueden afectar desde temas tan simples como un sobreconsumo eléctrico por alteración del sistema automatizado de una casa, hasta situaciones de riesgo de vida por ataque a los sistemas interconectados en vehículos autónomos o dispositivos médicos.
Los dispositivos vinculados al Internet de las Cosas (IoT, su sigla en inglés) poseen diversas funcionalidades y están cambiando la forma en cómo la tecnología se integra en los ámbitos personales, de negocios y de los gobiernos, ofreciendo múltiples capacidades relacionadas a la automatización, la salud personal, monitoreo de procesos, ciudades inteligentes y el transporte público, entre otros aspectos. Para 2020, se espera que 50 mil millones de dispositivos estén conectados a internet, donde el 80% de éstos se comunicará entre sí y no a través de las personas, lo cual representa diversos desafíos desde la mirada de los riesgos que surgen.
¿Qué tan fácil es hackear un dispositivo IoT? No es tan complejo, dado que se trata de dispositivos que, en general, no se diseñaron con capacidades de seguridad que permitan protegerlos. En muchas ocasiones, los controles de seguridad son básicos o inexistentes, el control de calidad y revisión del software es nulo, la disponibilidad de actualizaciones es muy limitada y las interfaces y protocolos de comunicación no se encuentran estandarizados. Estas situaciones dejan brechas para los atacantes y complican la posibilidad de tomar acciones correctivas una vez que salen al mercado.
Con tantos dispositivos la probabilidad de un ataque es muy alta, tanto así que Gartner predice que el 25% de los ataques en 2020 se originará por medio de dispositivos IoT. En muchos casos, se parte por un ataque directo al hardware identificando puertos expuestos, lo que permite realizar un proceso de ingeniería inversa y obtener características del dispositivo, como contraseñas por defecto, que luego pueden servir en cualquier otro dispositivo de iguales características. También se pueden explotar las interfaces de administración, interfaces de programación que tengan vulnerabilidades y servicios inseguros en ejecución, y monitoreo de transmisiones -que salen y llegan del dispositivo- que contengan información confidencial.
Las principales preocupaciones actuales están por el lado de la privacidad, pero no es el único punto a considerar. También se deben tomar en cuenta los aspectos legales, regulatorios y de estandarización para generar un entorno confiable y seguro. Las estrategias para lograr esto parten por manejar credenciales de acceso únicas para cada dispositivo, actualizaciones periódicas, conectarlos en redes aisladas y usar fabricantes reputados. Adicionalmente, se deben realizar evaluaciones de riesgo, controlar el ciclo de vida de los dispositivos, ejecutar pruebas de vulnerabilidad y, finalmente, mantener un monitoreo con uso de técnicas especializadas que incluyan analíticas de datos para aumentar la capacidad de detección de actividad maliciosa.
El IoT es algo inevitable, por lo que debemos activamente adecuarnos para enfrentar este nuevo entorno maximizando los beneficios que nos ofrece esta nueva tendencia, salvaguardando nuestra privacidad y garantizando las operaciones.
SIGA LEYENDO: https://digital.elmercurio.com/2019/09/25/EMXX-Y/EMXX-Y-20190925-011#zoom=page-width