Temas de seguridad en IoT.
Prepare sus dispositivos IoT.
Este artículo es una recopilación objetiva de distintos informes que he tenido la suerte de leer y de los cuales recojo textualmente alguna parte, respetando su autoría, resaltando y entrecomillando dichas alusiones.
Si usted ha adquirido un dispositivo Alexa o le han regalado uno de esos con los que le da órdenes y le responde fielmente, sepa que puede comunicarse vía Internet, vamos de los conocidos IoT (Internet de las cosas), o si es lo último que usted mismo con sus conocimientos y habilidades ha construido, indudablemente en algún momento ha aceptado los términos de uno de estos servicios y seguramente no ha leído los términos de estos documentos completo, encontrará que «las empresas podrían utilizar los datos recopilados que los consumidores ofrecen voluntariamente para tomar decisiones de empleo», le aseguro que lo que sigue le interesa. Siga leyendo, no se sorprenda de lo que se describe en las siguientes líneas y no lo dude. Le estamos observando.
© Eyal Ronen, Colin O’Flynn, Adi Shamir y Achi-or Weingarten
«En los próximos años, miles de millones de dispositivos IoT poblarán densamente nuestras ciudades. En este documento describimos un nuevo tipo de amenaza en el que los dispositivos de IoT adyacentes se infectarán entre sí con un gusano que se propagará de forma explosiva en grandes áreas en una especie de reacción en cadena nuclear, siempre que la densidad de los dispositivos de IoT compatibles supere una cierta masa crítica. En particular, desarrollamos y verificamos dicha infección utilizando las populares lámparas inteligentes Philips Hue como plataforma.
El gusano se propaga saltando directamente de una lámpara a sus vecinos, utilizando solo su conectividad inalámbrica ZigBee incorporada y su proximidad física. El ataque puede comenzar conectando una única bombilla infectada en cualquier lugar de la ciudad, y luego se extenderá catastróficamente en cualquier lugar en cuestión de minutos, lo que permitirá al atacante encender o apagar todas las luces de la ciudad, bloquearlas de forma permanente o explotarlas en un ataque masivo de DDOS.
Para demostrar los riesgos involucrados, usamos los resultados de la teoría de la percolación para estimar la masa crítica de los dispositivos instalados para una ciudad típica como París, cuya área es de aproximadamente 105 kilómetros cuadrados: la reacción en cadena se detendrá si hay menos de, aproximadamente 15.000 unidades luces inteligentes ubicadas al azar en toda la ciudad, pero se difundirán en todas partes cuando el número supere esta masa crítica (que casi con toda seguridad ya se ha superado).«
El mundo está cambiando y las cosas de Internet (el famoso IoT) son las cosas que más van a influir en los próximos años, si no lo está siendo ya. Según los expertos en pocos años en el mundo habrá alrededor de 24 mil millones de estas «cosas» del Internet. Sin duda es un tema muy del momento, tener una casa inteligente es genial y presumir ante sus invitados, cómo la iluminación inteligente puede reducir el consumo total de energía y reducir tu factura eléctrica, está bien alardear, pero ¿hasta dónde está seguro?¿quién vigila sus instalaciones?
Alguno de sus vecinos ya dispone de un automóvil conectado a la infraestructura de la ciudad, la que ya están diseñando los nuevos políticos, para crear un ecosistema inteligente que ayude al habitual desplazamiento entre puntos de la ciudad. De la misma forma los sistemas sanitarios de atención médica están conectados, para un mejor conocimiento de la propia salud como nunca antes hemos dispuesto.
Y aquí se enmascara el riesgo que conlleva la conectividad, ya que los hackers y ciberdelincuentes dispondrán de más puntos de conexión. Ya se tiene conocimiento de algún ataque a la red eléctrica de una ciudad, dejando sin servicio a toda la ciudad, son tantas formas de atacar infraestructuras críticas, como presas hidroeléctricas, plantas depuradoras de aguas y, lo peor, es que estas sólo son algunas de las posibilidades.
El consumidor medio, por sus limitados conocimientos sobre la seguridad en Internet, no percibe el grado de inseguridad en el que se mueve. Y mientras tanto nos dirigimos o nos dirigen consciente o inconscientemente a ese mundo verdaderamente conectado. Como digo, el consumidor inexperto no percibe que un gran porcentaje realmente alto de dispositivos conectados, pueden ser vulnerables a redes de hackers y ataques cibernéticos. Un estudio en el Reino Unido sugiere que sólo un 30% de los consumidores actualiza el firmware de sus dispositivos IoT, tan pronto como las actualizaciones estén disponibles.
El mismo estudio indica que un 30% de los usuarios de IoT no han actualizados nunca el firmware en sus dispositivos y un 40% de los consumidores está convencido que la actualización del firmware le corresponde a la empresa desarrolladora del software o del fabricante de los dispositivos. Estos datos nos indican claramente la desinformación que nos rodea y surgen unas cuantas preguntas.
Vulnerabilidad en manos de «piratas». Vaya expectativa. Si esto era capaz de hacer una entidad como la CIA en 2012, cito: ®«Los piratas informáticos de la Agencia Central de Inteligencia han desarrollado malware que puede convertir los televisores inteligentes de Samsung en dispositivos de escucha, según revelaron documentos filtrados publicados por WikiLeaks el martes». «La empresa de seguridad ReVuln descubrió problemas similares que permitían acceder al micrófono y la cámara de un televisor Samsung». En la actualidad qué estarán logrando, frente a esto, ¿qué podemos hacer los usuarios individualmente?
Pero no son solo estos los que están al acecho, en otros casos, como requieren del acceso físico al dispositivo (con una unidad USB infectada), proceden a una desactivación falsa, permitiendo extraer nombres de usuario, contraseñas y claves de Wi-Fi, activar el micrófono incluso después de apagar el televisor, cito: ®«El malware, acuñado «Weeping Angel o Angel que llora», lanzado como parte del volcado de datos «Vault 7″ de WikiLeaks, parece haber sido creado durante un taller conjunto de 2014 con la agencia británica de espionaje MI5.» Permitiendo así, acceder a la red de objetos y dispositivos conectados.
Con estos dispositivos se pone en manos de un «atacante» la capacidad de obtener cualquier archivo de forma remota disponible en el dispositivo objeto, de igual forma a los dispositivos conectados al televisor, como USB, tarjetas de memoria, etc. de manera que dicho «agujero» lo usase para acceder a las cámaras y los micrófonos conectados a los televisores inteligentes, pudiendo espiar a todos bajo su paraguas ilegitimo.
La guerra de la información nunca ha dejado de existir y en el actual campo, es su mejor versión, para un vertiginoso avance por hacerse con la mayor cota de poder siempre deseada.
¿Están listas las empresas para la de ciberseguridad? Un gran porcentaje de las empresas de todo el mundo están en proceso de fabricar dispositivos IoT o tienen la intención de hacerlo con perspectivas de ciberseguridad, y son muy pocas las que confían en poder proteger esos dispositivos contra los piratas informáticos.
¿Qué hay de la privacidad?
Sin lugar a dudas, la cantidad de datos que actualmente pueden generar los dispositivos IoT es asombrosa. Según un informe de la CFC titulado «Internet de las cosas: privacidad y seguridad en un mundo conectado» demuestra que una red de alrededor de 10.000 hogares puede llegar a generar 150 millones de datos diarios, lo cual es un ancho abanico de puntos de entrada de los piratas informáticos, dejando información confidencial y sensible a su alcance.
Una típica escena familiar. En su PC empieza a escribir algo en la barra de búsqueda de Google y comienza a ver los anuncios de su preferencia por todas partes. A veces ni siquiera necesita buscar, Google ya ha analizado sus deseos en función de sus búsquedas anteriores, sus correos electrónicos y su ubicación, esa familiaridad parece mucho más íntima.
Otra empresa muy conocida al parecer, los senadores de EEUU presionan a Amazon, copia literal: ® «Los senadores Jeff Flake (R-Ariz.) Y Christopher Coons (D-Del.) Han escrito una carta a Jeff Bezos de Amazon, después de los informes de que un dispositivo ‘Echo‘ grabó la conversación privada de una pareja y la envió sin avisar a un amigo en su lista de contactos. Flake es presidente del subcomité de tecnología y privacidad del Senado Judicial y Coons está en el panel del subcomité«.
® la carta dice así:
«Mientras que Amazon ha declarado que la compañía está evaluando opciones para hacer que esta serie de eventos tenga menos probabilidades de ocurrir, nos preocupa que el dispositivo en este caso funcionó exactamente como fue diseñado… Sin una acción rápida y significativa, esperamos que instancias adicionales como el que se resume arriba volverá a suceder… La creciente popularidad de los dispositivos conectados a Internet en el hogar y las tecnologías activadas por voz suscita preguntas sobre los tipos de datos que recopilan, almacenan y comparten, y el grado en que los consumidores controlan su información personal. … Las empresas, como Amazon, que ofrecen servicios a través de estos dispositivos deben abordar estas inquietudes priorizando la privacidad del consumidor y protegiendo la información personal confidencial».
De todo esto, se desprende que Amazon, almacena y retiene información del consumidor, incluidos los datos de voz, recopilados y transmitidos por un dispositivo Echo, toda esta información mal utilizada, mal interpretada o compartida sin consentimiento del consumidor. Cabe preguntarse ¿con que propósito? Estos son solo algunos de los problemas que IoT debe resolver para alcanzar una adopción masiva.
¿Qué podemos hacer para mitigar las numerosas amenazas?
Sólo a modo de consejo:
- Debe mantener sus dispositivos actualizados con el último firmware o software en todo momento, ya que las actualizaciones contienen correcciones de seguridad.
- Debe asegurar sus cuentas y su red WiFi doméstica con contraseñas seguras. Las contraseñas seguras son únicas, considere actualizar sus contraseñas periódicamente.
- No guarde copias de sus contraseñas en su PC o móvil.
- Active la autenticación de dos factores (2FA) donde esté disponible para usted. De esa manera, si su contraseña llega a las manos equivocadas, no podrá acceder a su cuenta sin acceso físico a su dispositivo móvil.
- No debe iniciar sesión personal con cuentas en computadoras / dispositivos que no sean de su propiedad, impida que nadie use sus dispositivos fuera de su vista.
Esto y mucho más está en el aire. Cada vez más nos preguntamos ¿dónde esta el límite? Y ¿quién le pone el cascabel al gato? La decisión es suya.
La mente es, por el momento, la última frontera.
Referencias.
- Business Insider
- Motherboard
- El documento técnico de Canonical
- Infowars
- Cryptology ePrint Archive
Corregido por Asís Rodriguez.