JOSÉ MESA, COORDINADOR DE INVESTIGACIÓN DE CIBERSEGURIDAD EN INGENIA

Los aspectos de seguridad a considerar cuando se permite la conexión de dispositivos IoT (Internet of Things) a la red de una empresa son múltiples: correcto dimensionamiento y fortalecimiento de la red donde se conectan los dispositivos, análisis y configuración personalizada de los mismos e implementación de políticas de control de endpoints o cortafuegos para monitorizar el tráfico y la actividad de cada uno de ellos.

Además, se debe tener en mente planes de gestión de incidentes y sistemas de monitorización y control de cualquier posible brecha de seguridad. No se pueden considerar estos elementos como algo trivial que se deban dejar a un arbitrio, ya que muchos de estos dispositivos no tienen en cuenta la seguridad como esquema de diseño durante su fabricación o incluso su ciclo de vida, aunque se esté invirtiendo cada vez más en ello.

Deben ser los departamentos de Seguridad quienes definan las políticas adecuadas para prevenir los posibles escenarios de ataque que se pueden sufrir. Es algo que los CISOs de cualquier empresa están empezando a tener muy en cuenta dadas las repercusiones que pueden acarrear a aquellas firmas que no protejan adecuadamente sus recursos, más aún cuando estos pueden servir como puerta de entrada para recabar información sobre los clientes mediante diferentes tipos de ataques. Aquellos dispositivos IoT o IIoT (Industrial Internet of Things) que manejen u obtengan datos privados, por ejemplo, los RFID, dispositivos de identificación o presencia, se verían afectados por la nueva aplicación de la normativa RGPD (Reglamento General de Protección de Datos) y el tratamiento de datos personales que se puedan llevar a cabo mediante los mismos.

Escenarios habituales

Basándose en lo anterior, es importante conocer los escenarios habituales a la hora de proteger una red IoT ante eventuales ataques:

Modificación de las contraseñas por defecto de los dispositivos, que pueden facilitar ataques por fuerza bruta o accesos indebidos por las credenciales de fábrica. No es raro el día en el que se reciban alertas e informes avisando de ello, y es la primera práctica a realizar. Un nuevo router o cámara IP que se instale en la red vendrá con unas credenciales por defecto que son fáciles de averiguar o que son públicos en Internet.

Configuración o limitación de los servicios configurados en el dispositivo para evitar accesos externos y una exposición innecesaria. Al igual que se deben alterar las credenciales de acceso, se pueden desactivar aquellos servicios que no utilicemos. En caso de ser necesarios, se debe fortalecer la red a la que se conecten para controlar su uso, segmentándola adecuadamente.

Plataformas como Shodan o Censys son casos claros de la recolección de servicios expuestos a Internet que cualquiera puede utilizar para comprobar la seguridad de estos dispositivos accesibles. Además, aquellos que no se hayan protegido adecuadamente, se podría entrar dentro del dispositivo y, por ende, de la red.

Un ejemplo palpable fue la intrusión sufrida en 2017 por un casino, a través del controlador de la pecera, que facilitó el acceso a la red interna para posteriormente, mediante vulnerabilidades de otros sistemas adyacentes, acceder a la base de datos de usuarios y filtrar cerca de 10 gigas de datos.

Actualización de los dispositivos para evitar ataques por servicios vulnerables. En muchas ocasiones estos dispositivos se instalan y configuran una vez, y no se les vuelve a tener en cuenta mientras funcionen correctamente. Es necesario estar al tanto de las actualizaciones de firmware del fabricante para evitar ataques futuros. Una red fortalecida puede servir inicialmente, pero un dispositivo vulnerable expuesto es un aliciente para atraer escaneos e intentos de acceso rápidamente.

Así, el ataque Blueborne a dispositivos bluetooth únicamente ha sido posible corregirlo mediante actualizaciones de firmware o del sistema operativo en todos los dispositivos afectados.

Control de accesos indebidos mediante vulnerabilidades en las interfaces web o cloud de los dispositivos. Esto va unido a la constante actualización del dispositivo, ya que, si su interfaz de acceso y configuración es vulnerable a ataques de inyección de código, podría comprometerse el dispositivo y tener control del mismo o utilizarlo para realizar ataques masivos a otros dispositivos, como pueden ser los ataques realizados por botnets.

Mirai y el evento que puso en evidencia la capacidad de los ataques a dispositivos IoT en general sigue siendo el máximo exponente hoy en día. Esta botnet que utiliza dispositivos IoT como routers, discos duros en red o cámaras IP es capaz de comprobar y comprometer dispositivos online para añadirlos a su propia red y realizar ataques de denegación de servicio globales o distribuir malware una vez se apoderan del dispositivo.

Correcto aislamiento de los dispositivos para intentar evitar la alteración de las mediciones realizadas o el tráfico del dispositivo. Existen dispositivos IoT encargados de realizar mediciones que pueden ser influidas por ataques de denegación de servicio que bloquearían su funcionamiento adecuado, o por intrusiones que alterarían los datos de medición.

Abuso de los protocolos de conexión o de las API utilizadas por el dispositivo. El hecho de poder abusar de ciertos protocolos o comprometer las comunicaciones puede suponer el acceso a información privada o el control total del dispositivo. Los investigadores de Checkpoint publicaron recientemente una investigación de cómo una falla en el sistema de identificación de los drones de DJI les permitió acceder a la base de datos del usuario, mostrando los vuelos, fotografías o vídeos realizados.

Estos escenarios sirven para poner en contexto la necesidad de utilizar herramientas y metodologías que permitan controlar, mediante plataformas de inventariado y gestión de vulnerabilidades, todos los activos IoT que dispongamos. Existen multitud de herramientas de protección de endpoints que facilitan esta tarea, pero es necesario aplicar un control exhaustivo de las redes a las que se conectan, así como un plan de choque en el momento en el que se detecte una vulnerabilidad que ha sido explotada, ya que utilizar solo VPN o segmentar la red no basta.

Prevención

Un esquema genérico de protección ayudaría en la tarea de prevenir y controlar estos ataques:

Estudio de los dispositivos a implementar: es primordial que el dispositivo seleccionado  provenga de proveedores conocidos y con cierto soporte, lo cual evitará posteriores quebraderos de cabeza al no obtenerse las actualizaciones adecuadas o ser vulnerables de serie a cualquier tipo de ataque.

Políticas de instalación y uso: solo los departamentos adecuados deben implementar, instalar y configurar este tipo de dispositivos, evitándose así que cualquier usuario pueda introducir un nuevo dispositivo en la red sin el conocimiento de los administradores, con los peligros que puede acarrear.

Identificación de dispositivos: si ya estuvieran implementados, se deberían descubrir e identificar todos y cada uno de los dispositivos presentes en la red.

Inventariado: si no se mantiene un exhaustivo compendio de los dispositivos, no se podrá gestionar adecuadamente su control, actualizaciones o gestión de vulnerabilidades.

Segmentación: para poder controlar adecuadamente estos activos, deben estar configurados en su propia red aislada. Esto facilitará la tarea de llevar un mejor control de los mismos y protegerse ante eventuales ataques o filtraciones de datos, al poder desconectar o bloquear el tráfico adecuadamente.

Monitorización: se debe llevar un control del tráfico para detectar anomalías en base al comportamiento y el intercambio de indicadores de compromiso, así como la detección de nuevos dispositivos en la red no autorizados.

Protección: el control de estos dispositivos es vital, ya que muchos de ellos, al no estar orientados a la seguridad, al no ofrecer actualizaciones o, simplemente, han dejado de tener soporte, suponen una clara exposición en el futuro. También es importante hacer hincapié en la seguridad física del dispositivo, ya que puede ser modificado o bloqueado por terceros.

Fuente: Red Seguridad