Internet de las cosas o Internet of Things (IoT)

Se refiere a la digitalización de todo tipo de dispositivos comunes tales como vehículos, cámaras de grabación, implantes médicos, ropa, entre otros; que permiten enviar y recibir información a través de una red, generalmente Internet, aunque pueden utilizar otras tecnologías, como Zigbee o Bluetooth.

Riesgos en el uso de dispositivos IoT

Los dispositivos IoT son un objetivo para los ciberdelincuentes, pues pueden utilizar este tipo de dispositivos como punto de entrada a las redes de la organización o directamente para aprovecharse de sus recursos. El ciberataque y compromiso de estos dispositivos pueden provocar consecuencias graves para la seguridad de la organización. La conectividad a Internet de los dispositivos IoT es su principal característica pero también su punto débil, pues en caso de que el dispositivo cuente con configuraciones de seguridad deficientes o vulnerabilidades y contraseñas débiles o por defecto, cualquiera podría acceder al dispositivo si se dieran las circunstancias idóneas, comprometiendo así su seguridad y posiblemente la de la organización.

Los dispositivos IoT son utilizados por los ciberdelincuentes para formar una botnet, que se refiere a un conjunto de dispositivos controlados por los ciberdelincuentes para llevar a cabo ataques como envío de spam, lanzamiento de ataques de denegación distribuida de servicio o DDoS, distribución de malware, entre otros, para poner en riesgo la privacidad de las personas usuarias. 

Los posibles ataques que afectan a los dispositivos IoT son:

• Errores en la implementación de los dispositivos IoT dentro de la red, principalmente si no se segmenta de manera adecuada la red, evitando que ante un acceso no autorizado al dispositivo IoT, se tenga además acceso a otros recursos. 
• Si un ciberdelincuente consigue acceso a la red local o LAN, donde se encuentra el dispositivo IoT o al receptor de la información, podría acceder a esta llegando incluso a modificarla. A este tipo de ciberataques se les conoce como hombre en el medio o MitM, por sus siglas en inglés Man-in-the-Middle.
• Acceso no autorizado a la plataforma de administración. Los dispositivos IoT suelen contar con una interfaz web o aplicación móvil para su administración. Si estas cuentan con vulnerabilidades o configuraciones de seguridad deficientes, se podría producir un acceso no autorizado y los ciberdelincuentes podrían controlar el dispositivo. 
• El acceso físico a los dispositivos IoT por parte de los ciberdelincuentes puede ser el origen de un incidente de seguridad. En algunos casos, estos dispositivos se encuentran expuestos a posibles accesos no autorizados a la información que gestionan, robos o vandalismo. 
• Los usuarios también conforman un factor importante en cuanto a la ciberseguridad de los dispositivos IoT de la organización, dado que los ciberdelincuentes pueden llevar a cabo ataques de ingeniería social, con los que fuerzan a las posibles víctimas a realizar acciones maliciosas como facilitar las credenciales de acceso al dispositivo o instalar actualizaciones fraudulentas que contienen algún tipo de software malicioso o  malware.

1. Medidas de seguridad

En los dispositivos IoT, por sus reducidas capacidades de cómputo, no se pueden implementar las soluciones habituales de seguridad tales como los antivirus. Por lo tanto, para suplir estas carencias es necesario aplicar otras medidas de seguridad, que protegerán tanto al propio dispositivo IoT como a la red a la que se conectan:

• Establecer un acceso seguro a la interfaz de administración del dispositivo, especialmente si ésta es accesible desde Internet. Algunas de las pautas a tener en cuenta son:
  • Utilizar como mínimo mecanismos basados en la dupla usuario y contraseñas, y siempre que sea posible, habilitar un segundo factor de autenticación (MFA).
  • Evitar nombres de usuario genéricos, como root, administrador, administrator, entre otros.
  • Establecer una contraseña robusta, que cuente con ocho caracteres como mínimo e incluya mayúsculas, minúsculas, números y símbolos, teniendo siempre en cuenta que cuanto más larga sea mejor.
• En caso de utilizar una aplicación móvil, se debe descargar de repositorios oficiales y siempre mantenerla actualizada a la última versión disponible.
• Implementar canales seguros de comunicación que utilicen técnicas criptográficas para cifrar la información que se envía y recibe desde el dispositivo IoT; por ejemplo, cuando se utilice el navegador web se debe verificar que el protocolo sea “https”. Como alternativa, se puede optar por una VPN o red privada virtual para crear un medio seguro de comunicación.
• Aplicar las últimas actualizaciones y parches de seguridad tan pronto como sea posible. Los dispositivos IoT deben estar contemplados en la política de actualizaciones de software de la organización, contemplando todas las casuísticas posibles, ya que en muchas ocasiones la disponibilidad es clave. Es recomendable comprobar regularmente la web del fabricante del dispositivo para verificar si se está utilizando la última versión de software.
• Dispositivos de seguridad perimetral, como un cortafuegos o firewall, que filtre las conexiones que se establecen desde y hacia el dispositivo. Además, es recomendable ubicar los dispositivos IoT en una zona aislada de la red institucional, denominada DMZ o zona desmilitarizada, y siempre que no sea imprescindible, se deben desactivar las funciones de administración a través de Internet.
• La seguridad física del dispositivo también debe tenerse en cuenta. Por ello, se deben implementar medidas que eviten accesos no autorizados, modificaciones fraudulentas, robo o destrucción.
• Formación y concienciación en ciberseguridad. Los usuarios que gestionan y utilizan los dispositivos IoT deben estar formados en materia de ciberseguridad para evitar situaciones que puedan poner en riesgo la seguridad de la organización.

Fuente: https://www.incibe.es/