Noticias
Redes locales, la gran amenaza del Internet de las Cosas
La protección de dispositivos de Internet de las Cosas ha sido tradicionalmente motivo de preocupación para sus usuarios, especialmente si están conectados a una red local, ya que la mayoría no cuenta con un nivel de protección especial, justo con lo que muchos fabricantes de aparatos de IoT se han propuesto acabar.
Y es que los ataques y accesos no autorizados realizados a través de estas cuentas, cuya existencia es en muchos casos desconocida por sus propietarias, son numerosos. Un ejemplo de ello es la vulnerabilidad que localizó, en noviembre, Invincea, que permitía a los hackers infectar los interruptores y enchufes inteligentes WeMo de Belkin con malware. Esta vulnerabilidad se debía a un protocolo de configuración para la conexión de los aparatos a una red local y que no precisaba contraseña. También la creación de botnets a través de cámaras de seguridad.
Otro ejemplo que recoge Computerworld: en 2015, investigadores de Rapid7 analizaron 9 monitores infantiles conectados a Internet, y encontraron contraseñas predefinidas en cuatro de ellos que daban acceso a otras tantas cuentas, con las que se conseguía acceso a otros dispositivos conectados a la misma red.
Este problema de seguridad no solo se encuentra en aparatos destinados al consumidor final, sino también en sistemas destinados al uso empresarial, lo que hace que el peligro aumente. A principios de diciembre de 2016, varios investigadores de la consultora SEC avisaron de que 80 modelos de cámaras de seguridad profesionales Sony, que utilizan habitualmente empresas y agencias gubernamentales, tienen cuentas ocultas con escasa protección. Y solo es uno de los muchos casos que han visto la luz el pasado año.
Estas vulnerabilidades no son resultado de una programación insegura, algo en lo que también caen muchos fabricantes, sino de los fallos a la hora de diseñar productos. La buena noticia es que pueden eliminarse con más facilidad que los problemas de seguridad provocados por fallos en el código, cuya eliminación precisaría revisiones de seguridad y una preparación específica para los desarrolladores.
Es decir, que estas configuraciones inseguras desaparecerían si los fabricantes integrasen los ataques a través de las redes locales en su lista de amenazas. No obstante, muchos todavía tratan estas redes como entornos de confianza, y creen que los atacantes solo se ocupan de atacar dispositivos que pueden conectarse a Internet. Pero esto hace tiempo que dejó de ser así, puesto que los ciberdelincuentes utilizan los navegadores de los usuarios cuando estos visitan webs infectadas con malware para atacar routers y otros dispositivos a través de las redes locales.
Otras formas de infectar
Los atacantes también se dedican a infectar ordenadores o móviles con malware que buscan otros dispositivos conectados a redes locales, utilizándolos como ataque de forma permanente. Este panorama debe desembocar en un cambio de mentalidad de los fabricantes para que protejan sus equipos. Según Craig Young, investigador principal de seguridad de Tripwire, «esta mentalidad de confianza en la red local es la predominante. El riesgo de falsificación de peticiones en sitios cruzados (CSRF) o apps de smartphone comprometidas es enorme, y nadie parece darse cuenta de ello. En muchos casos, la red local no necesita contar con vulnerabilidades, porque los dispositivos ni siquiera precisan que los conectados a su red local cuenten con contraseña para acceder a ellos«.
Muchos fabricantes de Internet de las Cosas se defienden de estas acusaciones argumentando que sus aparatos están pensados para instalarse con un router como «protección», en lugar de centrarse en proteger directamente los dispositivos. Tal como afirma Brian Knopf, director senior de Investigación de Seguridad y Arquitecto de Internet de las Cosas de Neustar, «esta forma de pensar de los fabricantes es ignorante, y lo único que podrá cambiar estas creencias retrógradas es que se pongan en marcha requerimientos obligatorios por ley, con sanciones para los que no los cumplan. Hay empresas de Internet de las Cosas que hacen lo que deben, pero son muchas más las que no lo hacen».
Knopf, que ha trabajado en departamentos de seguridad de producto de empresas como Linksys o Belkin, pone como ejemplo una vulnerabilidad de un bridge de Philips hue que controlaba bombillas inteligentes. Esta vulnerabilidad, producto de un protocolo de gestión inseguro que utilizaba tokens de acceso basados en direcciones MAC físicas para resolver los comandos de autenticación, solo podría explotarse a través de una red local. El investigador que la descubrió codificó un exploit en Java que podía instalarse de forma remota en un ordenador a través de un navegador, con el que conseguía direcciones MAC locales que utilizaba para enviar órdenes falsas al bridge de Philips.
Uno de los principales problemas de los dispositivos conectados es que confían por defecto en otros aparatos que haya en la red local, tal como ha manifestado Ted Harrington, socio de Independent Security Evaluators, una empresa que organiza el concurso de hackeo de Internet de las Cosas en la conferencia Def Con cada año. Esto es problemático por varios motivos, uno de los cuales son los ataques que los hackers lanzan contra sistemas con aparatos conectados que tienen cierto nivel de confianza o acceso al objetivo final de los ataques: el router u otro dispositivo conectado a la misma red.
A primera vista, muchos dispositivos electrónicos pequeños no parecen tener valor para los atacantes debido a su escasa potencia. Pero eso es también un error, que además lleva aparejado que si resultan atacados se suele descubrir el problema con menos probabilidad, y los atacantes puedan utilizarlo para actuar contra objetivos de más valor en la misma red.
Según Carsten Eiram, responsable de Investigación de Risk Based Security, «antes incluso de que Internet de las Cosas se convirtiese en algo popular, los dispositivos integrados ya tenían una seguridad deficiente. Estos aparatos están a menudo 10 años por detrás del software convencional en términos de madurez de código desde la perspectiva de la seguridad. En gran parte, esto se debe a la falta de inspección que reciben en comparación con el software«. Y en su opinión, es complicado saber si el hecho de que los dispositivos de Internet de las Cosas tengan configuraciones inseguras se debe a que sus desarrolladores no tienen en cuenta las amenazas locales o no tienen ni idea sobre seguridad en general.
Eiram sostiene que en este caso «la llamada a la acción para los fabricantes de dispositivos integrados o de Internet de las Cosas no es tanto: tienes que tomarte en serio la seguridad no considerando los ataques basados en red local como un asunto menor» como «tienes que preocuparte por la seguridad, punto». Pero algunos fabricantes sigan considerando los ataques basados en redes locales como algo fuera de su modelo de amenazas, y tienen que empezar a incluirlo«. Muchos ni siquiera creen que se puedan descubrir sus contraseñas por defecto o descifrar sus protocolos de comunicaciones propietarios, y resulta preocupante que muchas empresa no tengan políticas de control de quién y en qué supuestos se pueden integrar dispositivos de Internet de las cosas. Por lo tanto, muchas ni siquiera saben cuáles tienen conectados a sus redes ni hacen seguimientos de su estado.
Los consumidores tienen un problema parecido a la hora de controlar los accesos a su red. Simplemente, conectan este tipo de dispositivos en sus hogares sin restringir quién puede tener acceso a ellos. Esto podría cambiar si los fabricantes se deciden de una vez a proteger los accesos no autorizados a ellos mientras están conectados a una red local. Pero mientras tanto, los consumidores pueden tomar algunas medidas, que pasan en gran medida por asegurar el acceso al router mediante la creación de redes locales virtuales (VLAN) si el router lo permite para aislar los dispositivos de Internet de las Cosas en su propio segmento de red y conectar a ella un smartphone o un ordenador cuando haya que gestionar los dispositivos conectados a dicha red virtual.
-
NoticiasHace 6 días
Siemens pagará 10.000 millones por el grupo de software Altair
-
NoticiasHace 6 días
Nvidia sustituirá a Intel en el índice Dow Jones Industry Average después de 25 años
-
A FondoHace 6 días
Siete tecnologías que tu empresa debería adoptar en 2025 (4): Ciberseguridad adaptativa y cognitiva
-
NoticiasHace 5 días
La Comisión Europea abre una investigación formal a Temu por posible incumplimiento de la DSA