Artículo

La seguridad informática es importante en todos los niveles y lamentablemente no suele tomarse seriamente en todos los productos, especialmente los que cumplen tareas sencillas cotidianas, usualmente sin interacción gráfica o con el usuario y perdidos en el olvido, en algún rincón de nuestros hogares u oficinas.

El término IoT o internet de las cosas, nos ayuda a comprender que existen muchos dispositivos que requieren de conectividad para realizar sus tareas, bien sea una nevera para notificar que la puerta ha quedado abierta hasta un sensor de temperatura en medio de una plantación agrícola remota.

Todo canal de comunicación tiene sus limitaciones (autopistas, televisión, internet) y las redes empleadas para IoT, específicamente las de bajo consumo, tienen grandes desafíos en la implementación de seguridad efectiva ya que usualmente los microcontroladores que llevan en su corazón no son suficientemente potentes para realizar tareas básicas de encriptamiento moderno.

Encriptar mensajes es la base de la seguridad informática actual y gracias al uso de SSL podemos realizar transacciones seguras en redes públicas; así como realizamos una compra en linea (internet) usando nuestra tarjeta de crédito.

En teoría es sencillo interceptar un mensaje de terceros en internet, pero al estar encriptado solo las partes involucradas pueden ver el contenido del mismo, siendo texto basura para cualquier otra persona (atacante, espía) y este tipo de implementación ha funcionado bastante bien las últimas décadas.

La obsolescencia en los dispositivos, especialmente los no actualizados automáticamente, genera problemas de seguridad importantes porque con el paso del tiempo el poder computacional crece y es posible romper métodos de encriptamiento cada vez más avanzados. Así que una nevera que no haya sido actualizada en años y siga usando SSL TLS 1.0, es vulnerable y fácilmente atacada.

Bien, la gran pregunta sería: ¿Para qué atacar o tomar control de un dispositivo IoT?

Un dispositivo inseguro en una red segura, genera una red insegura y es un punto de exposición a ataques y/o accesos no autorizados, por lo no debemos dejar puntos vulnerables en un red importante como lo puede ser una oficina.

La suma de muchos dispositivos pueden generar grandes ataques y ha ocurrido ya en el pasado, donde viejos dispositivos vulnerados e infectados, realizan ataques a un mismo punto y esto es conocido como DDNS.

Un viernes de Octubre 2016 fue producto de un interesante ataque descentralizado, producto de miles de conexiones provenientes de todo el mundo a través de dispositivos IoT inseguros y que lograron sacar del aire a Twitter, Spotify y PayPal.

Todo comenzó a las 7 a.m. con un primer ataque, el cual prendió todas las alarmas y mientras se comenzaba a investigar la causa, otra segunda ola de ataques comenzó y fue creciendo hasta terminar con una tercera gran ola a las 11:50 a.m. donde ya gran parte de la red en distintas partes del mundo había colapsado y paralizada producto del ataque.

La tercera ola de ataque fue tan grande e importante que 6 horas después fue cuando se comenzó a mitigar el ataque y para entonces ya se sabía la causa real: Millones de dispositivos haciendo peticiones sin cesar a AWS (Amazon), generando el colapso de la infraestructura.

Al final nunca se descubrió quien fue el organizador del ataque e incluso el departamento de seguridad en estados unidos, abrió investigaciones y lanzó recomendaciones para tomar mas en serio estos ataques que están destinados a ser muy comunes.

Para estos ataques DDNS no hay realmente protección única garantizada.

Aunque los dispositivos IoT pueden parecer demasiado pequeños o demasiado especializados como para ser peligrosos, existe un riesgo en los que son verdaderos ordenadores de uso general conectados a una red que pueden piratear atacantes. Incluso el dispositivo más trivial puede llegar a ser peligroso si resulta comprometido en Internet.

Desde el espionaje con monitores de vigilancia para bebés hasta servicios interrumpidos en equipos sanitarios que salvan vidas. Una vez que los atacantes tienen el control, pueden robar datos, interrumpir la entrega de servicios o cometer cualquier otro ataque que se lleve a cabo con un computador. Los ataques que comprometen la infraestructura de IoT causan daños, no solo con brechas de datos y operaciones no confiables, sino también daños físicos en las instalaciones o, peor aún, a las personas que dependen de esas instalaciones.

En el mundo SCADA se hace una implementación de seguridad más amplia y aunque no del todo efectiva, si suele ser suficiente si es tomada en cuenta desde el principio de un proyecto.

Usualmente nadie le presta atención a una red insegura hasta que la misma es atacada y es común ver cómo se toman acciones en esta materia de seguridad, después de un ataque, cuando ya es muy tarde.

OWASP es una fundación sin fines de lucro y dentro de sus actividades presenta anualmente una lista con las 10 vulnerabilidades más comunes y su finalidad es apoyar a fabricantes, desarrolladores y consumidores en el uso seguro de estas tecnologías.

Innotica apoya iniciativas como OWASP y nos mantenemos muy informados sobre temas de seguridad informática y transporte de datos.

Este 2020 está cargado de iniciativas interesantes para el sector IoT y se están construyendo cada más y mejores servicios, usando infraestructuras ya instaladas como 3G, LTE, hasta la implementación de nuevas tecnologías como LoRa, Sigfox y servicios en la nube (Azure, Amazon, Google, IBM), que se encargan de todo el despliegue y seguridad, ayudándonos a construir los servicios deseados sobre esas infraestructuras, pensando solo en el código, es decir, en el servicio/solución.

REALIZADO POR:
Oscar Calcaterra
ocalcaterra@innotica.net

REFERENCIAS BIBLIOGRÁFICAS

• 1934-survey-finds-security-continues-to-be-top-priority-in-deploying-iot-projects
• owasp.org
• someone attacked a major part of the internets infrastructure
• iot security cybersecurity

*Este blog es de divulgación, por lo tanto Las opiniones expresadas en este artículo son de exclusiva responsabilidad del autor y no necesariamente representan la opinión de la empresa.