Seguridad en IoT
19 agosto 2020 por Oscar Calcaterra
La seguridad informática es importante en todos los niveles y, lamentablemente, no suele tomarse seriamente en todos los productos, especialmente los que cumplen tareas sencillas cotidianas, usualmente sin interacción gráfica con el usuario, perdidos en el olvido en algún rincón de nuestros hogares u oficinas.
El término IoT, o internet de las cosas, nos ayuda a comprender que existen muchos dispositivos que requieren conectividad para realizar sus tareas: desde una nevera que notifica que la puerta ha quedado abierta hasta un sensor de temperatura en medio de una plantación agrícola remota.
Limitaciones de seguridad en redes IoT
Todo canal de comunicación tiene sus limitaciones —autopistas, televisión, internet— y las redes empleadas para IoT, específicamente las de bajo consumo, tienen grandes desafíos en la implementación de seguridad efectiva.
Los microcontroladores que llevan en su corazón usualmente no son suficientemente potentes para realizar tareas básicas de encriptamiento moderno.
Encriptar mensajes es la base de la seguridad informática actual. Gracias al uso de SSL podemos realizar transacciones seguras en redes públicas, como cuando realizamos una compra en línea usando nuestra tarjeta de crédito.
En teoría es sencillo interceptar un mensaje de terceros en internet, pero al estar encriptado solo las partes involucradas pueden ver su contenido, siendo texto basura para cualquier otra persona —atacante o espía—. Este tipo de implementación ha funcionado bastante bien durante las últimas décadas.
La obsolescencia en los dispositivos, especialmente los no actualizados automáticamente, genera problemas de seguridad importantes. Con el paso del tiempo el poder computacional crece y es posible romper métodos de encriptamiento cada vez más avanzados.
Una nevera que no haya sido actualizada en años y siga usando SSL TLS 1.0 es vulnerable y fácilmente atacada.
Dispositivos IoT conectados: su aparente simplicidad no los exime de ser vectores de ataque.
¿Para qué atacar un dispositivo IoT?
Un dispositivo inseguro en una red segura genera una red insegura, y representa un punto de exposición a ataques y accesos no autorizados. Por eso no debemos dejar puntos vulnerables en una red importante, como puede ser la de una oficina.
La suma de muchos dispositivos comprometidos puede generar grandes ataques. Ya ha ocurrido en el pasado: dispositivos vulnerados e infectados realizan peticiones simultáneas a un mismo punto, fenómeno conocido como DDoS.
El ataque de octubre de 2016
Un viernes de octubre de 2016 fue producto de un interesante ataque descentralizado, originado en miles de conexiones provenientes de todo el mundo a través de dispositivos IoT inseguros, que lograron sacar del aire a Twitter, Spotify y PayPal.
Todo comenzó a las 7 a.m. con un primer ataque que prendió todas las alarmas. Mientras se investigaba la causa, una segunda ola comenzó y fue creciendo hasta terminar con una tercera gran ola a las 11:50 a.m., cuando ya gran parte de la red en distintas partes del mundo había colapsado y quedado paralizada.
La tercera ola fue tan grande que seis horas después recién se comenzó a mitigar el ataque. Para entonces ya se conocía la causa real: millones de dispositivos haciendo peticiones sin cesar a AWS (Amazon), generando el colapso de la infraestructura.
Al final nunca se descubrió quién fue el organizador del ataque. El departamento de seguridad en Estados Unidos abrió investigaciones y lanzó recomendaciones para tomar más en serio estos ataques, que están destinados a ser muy comunes.
Para los ataques DDoS no existe una protección única garantizada.
Un ataque DDoS coordinado desde dispositivos IoT puede colapsar infraestructuras críticas de internet.
El riesgo real de los dispositivos IoT
Aunque los dispositivos IoT pueden parecer demasiado pequeños o demasiado especializados como para ser peligrosos, existe un riesgo real en los que son verdaderos ordenadores de uso general conectados a una red. Incluso el dispositivo más trivial puede llegar a ser peligroso si resulta comprometido.
Los casos van desde el espionaje con monitores de vigilancia para bebés hasta servicios interrumpidos en equipos sanitarios que salvan vidas. Una vez que los atacantes tienen el control, pueden robar datos, interrumpir la entrega de servicios o cometer cualquier otro ataque posible desde un computador.
Los ataques que comprometen la infraestructura de IoT causan daños no solo mediante brechas de datos y operaciones no confiables, sino también daños físicos en las instalaciones o, peor aún, a las personas que dependen de ellas.
En el mundo SCADA se aplica una implementación de seguridad más amplia y, aunque no del todo efectiva, suele ser suficiente si se toma en cuenta desde el principio de un proyecto.
Usualmente nadie le presta atención a una red insegura hasta que es atacada. Es común ver cómo se toman acciones en materia de seguridad después de un ataque, cuando ya es muy tarde.
OWASP e iniciativas de seguridad
OWASP es una fundación sin fines de lucro que presenta anualmente una lista con las 10 vulnerabilidades más comunes en IoT. Su finalidad es apoyar a fabricantes, desarrolladores y consumidores en el uso seguro de estas tecnologías.
Innotica apoya iniciativas como OWASP y se mantiene informada sobre temas de seguridad informática y transporte de datos.
Este 2020 está cargado de iniciativas interesantes para el sector IoT. Se están construyendo mejores servicios usando infraestructuras ya instaladas —3G, LTE— hasta la implementación de nuevas tecnologías como LoRa, Sigfox y servicios en la nube (Azure, Amazon, Google, IBM), que se encargan del despliegue y la seguridad, permitiéndonos construir los servicios deseados sobre esas infraestructuras pensando solo en el código, es decir, en el servicio y la solución.
Oscar Calcaterra ocalcaterra@innotica.net