Contraseñas débiles hacen vulnerables a los dispositivos IoT

IoT y los problemas de seguridad originados por las contraseñas débiles

¿Qué sucederá cuando los 50.000 o 70.000 millones de dispositivos IoT (dependiendo de las fuentes que proporcionan estos datos) se hayan conectado a la Web en 2020?. Obviamente surgirán nuevos sistemas que permitan mantener los flujos de información en tiempo real, potenciando una estandarización que conecte hardware y software, ya que su ausencia estará frenando el crecimiento de las empresas del sector.  ¿Pero, estarán los proveedores preparados para proporcionar los necesarios sistemas de seguridad para tan variados flujos de información?

Dado que los objetos se están “subiendo” a la red cada vez en más y más variados sitios, las interrogantes se acumulan. Imaginémonos haciendo una búsqueda en Google de nuestro hogar para encontrar el juguete perdido de un hijo. O activando remotamente la secadora para que de otra vuelta a la ropa lavada, luego de que la misma máquina haya enviado texto avisando que está todavía mojada. ¿Qué pasará cuando millones de este tipo de dispositivos se conecten a la red? ¿Cuál será su impacto sobre la sociedad? ¿Qué nuevos modelos económicos surgirán?  ¿Están preparadas las empresas para que millones de objetos cotidianos se conecten a internet?

Seguramente lo estarán, ya que los dispositivos inteligentes conectados son instrumentos que pueden hacer nuestras vidas más fáciles. Pero aquí surge la gran interrogante: ¿hasta qué punto son realmente seguros?  En una era en la que los ataques cibernéticos son cosa de todos los días, ¿cómo se impedirá que un grupo de crackers o un Estado Nación no ataque la infraestructura inteligente de una ciudad?

Contraseñas débiles hacen vulnerables a los dispositivos IoT

En 2015, los analistas de Kaspersky Lab examinaron las amenazas que se pueden encontrar detrás del internet de las cosas (IoT). Los resultados fueron tan preocupantes que, dos años después, se ha vuelto a realizar el mismo análisis. De 8 dispositivos IoT seleccionados al azar, desde una plancha inteligente a un vehículo espía inteligente, la mitad fueron hackeados gracias a la debilidad de las contraseñas (cargador inteligente, asistente personal doméstico, cafetera y cámara IP).

Los dispositivos IOT tienen conectividad de red y están equipados con tecnología integrada que les permite interactuar entre sí o con el entorno. Debido a la gran cantidad y variedad de dispositivos disponibles, el IoT se ha convertido en un objetivo muy atractivo para los cibercriminales. Esto incluye, entre otros, el récord de ataques DDoS lanzados en 2016 con la ayuda de una red botnet masiva, formada por enrutadores, cámaras IP, impresoras y otros tipos de dispositivos. Al hackear con éxito dispositivos IoT, los ciberdelincuentes pueden chantajear a las personas o espiarlas. Otros vectores puedes todavía ser más peligrosos. Por ejemplo, los dispositivos domésticos pueden utilizarse para realizar actividades ilegales, o un cibercriminal que haya obtenido acceso a un dispositivo IoT podría llegar a chantajear y espiar a su propietario o extorsionarlo. El dispositivo infectado puede incluso llegar a romperse, aunque claramente no es lo peor que puede llegar a suceder.

IoT riesgos y amenazas

Teniendo todo esto en mente, los analistas de Kaspersky Lab decidieron comprobar si los estudios sobre productos inteligentes IoT y sobre los incidentes que se han ido produciendo, han cambiado el panorama de la seguridad. Para encontrar la respuesta, analizaron de nuevo varios dispositivos inteligentes seleccionados al azar, entre los que se encontraban un cargador inteligente, un coche de juguete controlado desde una aplicación, un asistente personal (Smart home hub) – nodos que unen en un mismo lugar el intercambio de datos entre múltiples dispositivos inteligentes independientes –, una cafetera inteligente, un aspirador inteligente, una plancha inteligente, una cámara inteligente y un reloj inteligente. Los resultados han sido realmente preocupantes: de los 8 dispositivos examinados sólo 1 llegó a satisfacer las exigencias de seguridad de los analistas.

Además, la mitad de los dispositivos podrían verse comprometidos debido a la falta de vigilancia del proveedor en la configuración de contraseñas. Esto incluía tener una contraseña predeterminada y la imposibilidad de cambiarla, mientras que en algunos casos la contraseña incluso había sido unificada para todos los dispositivos durante su fabricación.

Oleg Zaitsev, experto en seguridad de Kaspersky Lab
Oleg Zaitsev, experto en seguridad de Kaspersky Lab

“En Kaspersky Lab hemos estado monitorizando durante años la ciberseguridad de los dispositivos inteligentes y hemos notado unos crecientes niveles de vigilancia de los fabricantes que han ayudado a disminuir el volumen de dispositivos inteligentes inseguros. Sin embargo, el problema sigue ahí y los dispositivos inteligentes aún pueden perjudicar a sus propietarios, lo que nos sugiere que todavía hay mucho trabajo por hacer conjuntamente por parte  las empresas de ciberseguridad y los fabricantes de dispositivos conectados”, comenta Oleg Zaitsev, experto en seguridad de Kaspersky Lab.

Los analistas de Kaspersky Lab aconsejan a los usuarios tomar las siguientes medidas para protegerse ante la compra de dispositivos inteligentes vulnerables:

  1. Antes de comprar un dispositivo IoT, busca en Internet noticias existentes sobre cualquier vulnerabilidad. El Internet de las cosas es un tema muy candente, y muchos analistas están haciendo un excelente trabajo identificando problemas de seguridad en productos de este tipo: desde cámaras para bebés hasta rifles controlados mediante aplicaciones. Es probable que el dispositivo que vayas a comprar ya haya sido examinado por analistas de seguridad y, a menudo, es posible averiguar si los problemas detectados en el dispositivo han sido parcheados o no.
  2. No es siempre una buena idea comprar los productos que acaban de salir al mercado. Junto con los fallos estándar que se suelen encontrar normalmente en productos nuevos, es bastante posible que los dispositivos lanzados recientemente contengan problemas de seguridad que aún no han sido descubiertos.
  3. Al escoger dónde queremos que nuestra vida sea un poco más inteligente, debemos considerar los riesgos de seguridad existentes. Si nuestra casa es donde almacenamos muchos artículos de valor material, probablemente sería una buena idea instalar un sistema de alarma profesional que pueda reemplazar o complementar el sistema de alarma para el hogar ya controlado por una aplicación, o configurar el sistema existente de forma que cualquier vulnerabilidad potencial no afecte su funcionamiento.

Para superar estas amenazas, Kaspersky Lab ha presentado una versión beta de su solución para el hogar “inteligente” e Internet de las Cosas: el escáner de Kaspersky para el IoT. Esta aplicación gratuita para Android, escanea la red Wi-Fi doméstica e informa al usuario sobre los dispositivos conectados y su nivel de seguridad.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.