Privacidad en el mundo del Internet de las Cosas

El internet de las cosas ha tenido un crecimiento exponencial en los últimos años, en un corto espacio de tiempo ha pasado de ser un desconocido a ser parte de nuestras vidas: vivimos rodeados de dispositivos inteligentes, electrodomésticos, televisores, termostatos, asistentes y un sinfín de dispositivos que sin darnos cuenta recogen datos de nuestro día a día y los envían a la nube.

CANARIAS7 / LAS PALMAS DE GRAN CANARIA

Este problema de privacidad en el entorno doméstico se traduce en un severo problema de seguridad en el entorno industrial ya que este tipo de dispositivos controlan procesos de producción o pueden dar acceso a zonas privadas de la red corporativa si no se gestionan adecuadamente.

Problemas de seguridad en dispositivos IoT

Según un estudio de Symantec los ataques a este tipo de dispositivos se han multiplicado por seis. Las principales razones de este increíble aumento son:

1. Muchos de estos dispositivos están en fases muy tempranas de desarrollo, en estas fases son más propensos a sufrir vulnerabilidades.

2. Se trata de un nuevo mercado, por lo que está poblado de startups que comercializan productos y en algunos casos cesan su actividad o dan un soporte limitado, esto hace que muchos de estos dispositivos tengan vulnerabilidades no solventadas.

3. El usuario de este tipo de dispositivos muchas veces no es consciente que ese dispositivo es un pequeño ordenador conectado a internet y por ello no toma las medidas de seguridad adecuadas.

4. Actualmente hay más de 20.000 millones de dispositivos de este tipo instalados, esto los hace muy interesantes para los atacantes.

¿Qué beneficio se obtiene de ello?

Existen redes dedicadas a realizar ataques de denegación de servicio (DDoS), el objetivo de estas redes es bloquear un determinado servicio con un gran número de peticiones. Qué consigue el atacante no siempre está claro, hay casos en los que estos ataques se realizan bajo demanda (contratados por alguien interesado en este ataque), o para forzar un error en el servicio y aprovecharse económicamente de él o se realizan como medio de protesta o como parte de campañas de los servicios de espionaje de determinados países.

Dado su inmenso número, los dispositivos IoT son perfectos para crear redes de equipos zombies (botnets), es decir, dispositivos afectados en estado latente (siguen con su operación normal) pero que están a la espera de una orden para realizar acciones de forma coordinada. Con este tipo de ataques se pretende obtener un gran número de dispositivos para estos ataques de denegación de servicio.

Un claro ejemplo de este tipo de ataques lo causó el malware conocido como “ Mirai” que, tras infectar centenares de miles de equipos IoT, los utilizó para llevar a cabo algunos de los ataques de denegación de servicio más potentes de la historia contra uno de los mayores operadores de red del mundo, con picos de tráfico de 1 Tb/s (Un 10% de toda su capacidad de red).

La seguridad no es la única preocupación en este caso ya que estos dispositivos presentan un serio problema de privacidad, toman de forma continua datos que en muchos casos pueden ser personales y los envían a la nube. Estos datos se envían y se almacenan en muchos casos sin una seguridad adecuada lo que hace que puedan ser interceptados por un tercero, por el proveedor de internet, el proveedor del dispositivo o agencias gubernamentales.

¿Qué puede hacer un usuario para protegerse?

Estos dispositivos son pequeños ordenadores, y como cualquier otro ordenador, la principal medida de seguridad es configurar correctamente el dispositivo.

Usar la configuración por defecto es una de las vulnerabilidades más comunes, ya que esos datos de acceso suelen ser públicos tarde o temprano y permiten a un tercero acceder a nuestro equipo.

Es fundamental mantener los dispositivos actualizados, a veces estos equipos dejan de tener soporte del fabricante, si el dispositivo no tiene soporte y no se puede sustituir será necesario buscar otras formas de asegurarlo.

Cuando se diseñan estos dispositivos, la seguridad no suele ser una de las prioridades, las funcionalidades, el diseño, el coste unitario o la duración de la batería suelen tomar un mayor protagonismo en el proceso de diseño.

Es importante revisar las especificaciones del dispositivo antes de la compra, hay que buscar dispositivos que utilicen una encriptación fuerte en todas sus comunicaciones, para proteger los datos. Si no es posible usar un dispositivo con encriptación fuerte o se quiere asegurar dispositivos que se han comprado con anterioridad, se puede usar una VPN para asegurar las comunicaciones.

Un buen servicio de VPN encriptará toda la comunicación entre el dispositivo y la nube con encriptaciones fuertes. Muchos dispositivos no permitirán instalar un cliente de VPN, pero en este caso se puede instalar la VPN en el router de forma que todos los datos enviados estén encriptados a partir del router.

Otra opción es utilizar servicios de Smart DNS para que el tráfico circule a través servidor de VPN, aunque en este caso solo estará encriptado desde el servidor hasta la nube, no es una solución tan segura, pero proporciona un nivel adicional de seguridad.

Conclusión

El Internet de las Cosas es una realidad que genera nuevos mercados, nuevos empleos, nuevas oportunidades, pero también nuevos problemas de seguridad. La gran cantidad de dispositivos que se están desplegando y la poca preocupación en su seguridad hacen que sean objetivo predilecto de hackers. Si se desea evitar sobresaltos es recomendable dedicar atención a la seguridad de los dispositivos que utilicemos.