Seguridad en la instalación y uso de dispositivos IoT: Una guía para el empresario - Prof., Guías, Proyectos, Investigaciones de Seguridad Informática

¡Descarga Seguridad en la instalación y uso de dispositivos IoT: Una guía para el empresario - Prof. y más Guías, Proyectos, Investigaciones en PDF de Seguridad Informática solo en Docsity!

Seguridad en la instalación

y uso de dispositivos IoT:

Una guía de aproximación para el empresario

1.2. Capacidades de interacción y comunicación

• 1. INTRODUCCIÓN
  • 1.1. Panorama del IoT para empresas
  • de los dispositivos IoT
• 2. AMENAZAS DE LOS DISPOSITIVOS IOT
  • 2.1. Amenazas para el dispositivo.............................................................
  • 2.2. Amenazas para la privacidad
• 3. VECTORES DE ATAQUE EN DISPOSITIVOS IOT
  • 3.1. Fallos en la implantación
  • 3.2. Interceptar datos en tránsito.............................................................
  • 3.3. Acceso a la plataforma de admistración
  • 3.4. Vulnerabilidad en el software
  • 3.5. Configuraciones por defecto
  • 3.6. Acceso físico al dispositivo
  • 3.7. Los usuarios..........................................................................................
• 4. MEDIDAS DE SEGURIDAD
  • 4.1. Acceso seguro al dispositivo
  • 4.2. Comunicaciones seguras
  • 4.3. Actualizaciones de seguridad
  • 4.4. Dispositivos de seguridad perimetral
  • 4.5. Seguridad física
  • 4.6. Concienciación en seguridad de los usuarios...................................
  • 4.7. Otras recomendaciones de seguridad
    • INCIBE_PTE_AproxEmpresario_014_IoT-2020-v íNDICE

INTRODUCCIÓN

El término Internet de las Cosas, en inglés Internet of Things o IoT [Ref. - 1] , hace referencia a la digitalización de todo tipo de dispositivos desde senso- res y actuadores hasta objetos comunes como vehículos, cámaras de gra- bación, implantes médicos, ropa, etc. La conectividad digital de estos dispo- sitivos permite enviar y recibir información para realizar tareas que hasta no hace mucho podrían parecer imposibles como monitorizar el estado de una flota de vehículos o ver las cámaras de seguridad de la empresa desde un smartphone. Se podría decir que con el IoT se inicia una revolución en la forma en que vivimos y trabajamos. Sus aplicaciones son muy diversas: do- mótica, en edificios y ciudades o en aplicaciones en industria 4.0.

1.1. Panorama del IoT para empresas El IoT aplicado al mundo empresarial puede suponer una gran mejora en diversas áreas de negocio: seguridad, gestión de inventarios, logística, etc. Los datos obtenidos por los diferentes dispositivos servirán, entre otras cosas, para monitorizar activos, diagnosticar posibles fallos de funciona- miento o mejorar un determinado proceso haciéndolo más eficiente. Sin embargo, como sucede con cualquier tecnología emergente, el uso de IoT nos enfrenta a mucha incertidumbre. Su adopción en entornos empre- sariales todavía no está muy extendida, muchas compañías son reticentes a su implantación y otras deciden apostar por esta tecnología, pero no terminan de obtener todo su beneficio debido a la gran cantidad de infor- mación a manejar.

La consultora Gartner [Ref. - 2] pronostica que para el año 2021 habrá unos 25 mil millones de dispositivos IoT conectados en sectores tan dispa- res como:

» Domótica. Las casas inteligentes o smart homes serán cada vez más comunes. Los usuarios podrán automatizar muchos procesos diarios, como iluminación o calefacción (medidores de energía y termostatos), y gestionarlos remotamente haciendo que la demanda y diversidad de este tipo de dispositivos aumente.

» Salud. Este es otro sector al que la incorporación de dispositivos IoT beneficia. Su uso puede ser muy amplio, desde monitorizar el estado de un paciente a llevar un control sobre sus hábitos alimenticios.

» Transporte y logística. Con esta tecnología es posible realizar un seguimiento en tiempo real de un determinado activo, por ejemplo, un paquete o un vehículo. Además, la monitorización y análisis de los datos generados puede re- dundar en beneficios para la empresa, ya que permitirán la optimización de las tareas asociadas.

» Seguridad y vigilancia. Gracias a la incorporación de dis- positivos IoT las empresas que ofertan este tipo de servi- cios pueden monitorizar cámaras de vigilancia, sensores de presencia o alarmas de multitud de clientes de una sede central y activar diferentes elementos de disuasión a través de Internet.

La gran conectividad de estos dispositivos es a su vez su talón de Aquiles, puesto que los ciberdelincuentes podrían utilizar- los en su propio beneficio. Otro aspecto que puede ser un las- tre para el IoT es la recolección masiva, en algunos casos, de datos de carácter personal que podría implicar riesgos para empresas y usuarios. Por otra parte, los dispositivos IoT que presentan vulnerabilidades técnicas en los mecanismos de au- tenticación y limitaciones de cálculo, que dificultan la implanta- ción de cifrado tanto en la información en tránsito como en la almacenada. Por último, los ciclos de vida de estos dispositivos son muy cortos, quedando obsoletos y sin soporte poco tiem- po después de que se haya completado su despliegue, lo que podría suponer un riesgo añadido.

Estos retos obligan a las empresas a revisar sus procedimien- tos, políticas de seguridad y adecuación a la normativa al in- corporar dispositivos IoT, considerando también su adminis- tración, su ciclo de vida y toda la información que generan e intercambian.

“La gran conectividad de estos dispositivos es a su vez su talón de Aquiles, puesto que los ciberdelincuentes podrían utilizarlos en su propio beneficio "

Para enviar y recibir órdenes e información entre dispositivos necesitan un medio de comunicación, también conocido como interfaz de red. Los dispositivos IoT suelen tener capacidad para conectarse con otros dispositivos dentro de su red local por medio de diferentes estándares como Ethernet, wifi o Bluetooth. Pero además, como disponen de acceso a Internet, también tienen la capacidad de conectarse con otros dispo- sitivos ubicados en cualquier parte del mundo.

AMENAZAS PARA EL

DISPOSITIVO

Los dispositivos IoT pueden ser una presa fácil para los ciber- delincuentes que buscan este tipo de dispositivos como pun- to de entrada a las redes de las empresas o a otros puntos que se encuentran más protegidos. El ciberataque y compromiso de estos dis- positivos puede dar lugar a consecuencias graves para la seguridad como:

» infectarlos para formar parte de una red zombi que los utilicen para realizar ciberataques, por ejemplo, de denegación de servicio distribui- da o DDoS [Ref. - 3] ;

» utilizarlos como puente o punto de entrada para atacar otros equipos de la misma red, para robar información o comprometer servidores o para realizar otras acciones delictivas;

» o reconfigurarlos para inhabilitarlos o cambiar sus condiciones de utilización.

Repasamos a continuación las distintas amenazas que afectan a estos dis- positivos [Ref. - 4] con el objeto de poner de manifiesto cómo afecta su uso en la seguridad de nuestras empresas, así como las consecuencias que puede acarrear su deficiente instalación, configuración y mantenimiento.

2.1. Amenazas para el dispositivo La conectividad a Internet, principal característica de este tipo de disposi- tivos, es también su principal punto débil. De estar mal configurado, tener vulnerabilidades de diseño o contraseñas débiles o por defecto, cualquie- ra podría acceder al dispositivo si se dieran las circunstancias idóneas.

Por otra parte, además de los buscadores como Google o Bing que in- dexan contenido de Internet como páginas web, existen otros busca- dores cuyo objetivo es indexar dispositivos y servicios accesibles desde Internet, como es el caso de Shodan [Ref. - 5]. Con estos buscadores podemos encontrar dispositivos IoT ( smartmeters , cámaras IP…) conecta- dos a Internet y averiguar detalles sobre su tecnología o configuración.

Los ciberdelincuentes podrían identificar dispositivos vulnerables y au- tomatizar ciberataques. Cuando un ciberdelincuente consigue infectar

VECTORES DE ATAQUE EN

DISPOSITIVOS IOT

Los vectores de ciberataque son los métodos que puede utilizar un ci- berdelincuente para hacerse con su objetivo , por ejemplo, obtener in- formación o tomar el control del dispositivo. Para los dispositivos IoT, por cómo están diseñados, los ciberdelincuentes cuentan con varios vectores de ciberataque que podrían aprovechar para comprometer su seguridad. A continuación se describen los más críticos.

3.1. Fallos en la implantación La implantación adecuada de los dispositivos IoT en la red de la empresa es clave para garantizar la seguridad de la organización. Uno de los prin- cipales fallos que se cometen a la hora de implantar soluciones IoT es no segmentar adecuadamente la red, permitiendo que los dispositivos IoT co- nectados a la misma red de la empresa puedan ser la puerta de entrada de los ciberdelincuentes [Ref.- 8].

3.2. Interceptar datos de tránsito La transmisión de datos es una parte fundamental de los dispositivos IoT, ya que estos se han diseñado para interactuar con el mundo físico, siendo el envío y recepción de información esenciales para su funcionamiento. Si un ciberdelincuente consigue acceso a la red local o LAN donde se encuentra el dispositivo IoT o el receptor de la información, podría acceder a la información o incluso modificarla. A este tipo de ciberataques se los conoce como Hombre en el Medio o MitM, por sus siglas en inglés Man in the Middle [Ref. - 9].

Ilustración 1 Esquema de un ataque Man in the Middle

“Si la interfaz web tiene alguna vulnerabilidad o no cuenta con las medidas de seguridad necesarias para evitar accesos no autorizados , los ciberdelincuentes podrían acceder a ella y controlar el dispositivo a su antojo”

Cuando un ciberatacante realiza un MitM dispone de dos va- riantes:

» MitM pasivo. En esta modalidad el ciberatacante intercep- ta el tráfico, es decir, los mensajes hacia o desde el disposi- tivo, y los envía de nuevo a su destinatario sin alterarlos , pudiendo obtener datos sensibles e información confiden- cial de la empresa.

» MitM activo. En este caso, el ciberatacante intercepta el tráfico y además lo modifica antes de enviarlo de nuevo a su destinatario. Esto podría permitir que el ciberatacante actuara sobre el dispositivo IoT a su voluntad o alterara la información que recibe el usuario.

Pongamos un ejemplo de lo que sucedería en un escenario en el que se estuviera produciendo uno de estos ciberataques. Una empresa que gestiona un aparcamiento ha decidido insta- lar cámaras de seguridad IP que ayudarán al personal a garanti- zar la seguridad de los vehículos. Un grupo de ciberdelincuentes ha descubierto que son vulnerables a ataque MitM. Para ello, interceptan los datos que se envían desde las cámaras a la sala de control para ver cuantos vehículos hay, si alguno es de su interés y cuál es el mejor momento para proceder con el robo.

3.3. Acceso a la plataforma de adminis- tración Los dispositivos IoT, principalmente debido a su tamaño, no cuentan con los típicos elementos que permiten interactuar con ellos, como una pantalla o un teclado. Para suplir esta carencia suelen contar con una interfaz web o aplicación móvil que permite su administración por medio de un navegador. Si la interfaz web tiene alguna vulnerabilidad o no cuenta con las medidas de seguridad necesarias para evitar accesos no autorizados, los ciberdelincuentes podrían acceder a ella y controlar el dispositivo a su antojo.

“Otro de los fallos de seguridad que pueden tener muchos dispositivos es que vienen de fábrica con credenciales de acceso por defecto inseguras”

Por ejemplo, si para el funcionamiento del dispositivo única- mente es necesario tener habilitado un servidor web para su administración, sería un error dejar también habilitadas otras vías de administración remota que podrían ser la puerta de entrada de ciberatacantes. Además, en muchas ocasiones los propios usuarios desconocerían la existencia de esos servicios , por lo que aplicar las medidas de protección opor- tunas se vuelve mucho más complicado.

Otro de los fallos de seguridad que pueden tener muchos dis- positivos es que vienen de fábrica con credenciales de ac- ceso por defecto inseguras. En algunos dispositivos IoT con un simple «admin/admin» se conseguiría acceso. Esto sería posible mitigarlo forzando, desde el diseño y por defecto, el cambio de la contraseña en el primer uso.

Por ejemplo, en la botnet Mirai [Ref. - 10] , uno de los principa- les vectores de ciberataque utilizados fue la existencia de cre- denciales por defecto o muy simples en los aparatos afectados.

3.6. Acceso físico al dispositivo El acceso físico al dispositivo por parte de ciberdelincuen- tes es otra de las vías que se podría utilizar para obtener infor- mación confidencial o tomar su control. Este tipo de ciberata- ques no es inherente a los dispositivos IoT, aunque por su uso en exteriores o en los casos en los que tienen que hacer pública su ubicación para su funcionamiento, están más expuestos. En dispositivos que se encuentran en un lugar controlado como una nave industrial o una empresa es menos probable que se dé esta situación, pero en dispositivos ubicados en sitios remo- tos puede suponer un grave riesgo de ciberseguridad.

Si un ciberdelincuente consigue acceso físico al dispositivo podría robarlo o destruirlo , causando una denegación del servicio, que podría dejar de estar accesible para los usuarios, con las consiguientes pérdidas económicas que se derivarían de la pérdida de funcionalidad. Asimismo, podría acceder a la información almacenada en el propio dispositivo para bus- car datos confidenciales como credenciales de acceso, direc- ciones URL sensibles, registros de actividad o logs , etc.

“El tipo de ciberataque más común que llevan a cabo los ciberdelincuentes contra las personas de una organización está basado en lo que se conoce como ingeniería social”

3.7. Los usuarios El usuario es el eslabón más importante en la cadena de la ciberseguridad y también podría constituir un vector de cibe- rataque. Un mal uso por parte del usuario de forma acciden- tal, intencional o por el engaño de un ciberdelincuente puede comprometer la seguridad del dispositivo IoT, y por lo tanto de la empresa.

El tipo de ciberataque más común que llevan a cabo los ci- berdelincuentes contra las personas de una organización está basado en lo que se conoce como ingeniería social [Ref. - 11]. Mediante diferentes técnicas de engaño y manipulación psicológica los ciberdelincuentes fuerzan a la víctima a revelar información confidencial como credenciales de acceso o a ins- talar archivos infectados con malware.

Generalmente, los ataques de ingeniería social se llevan a cabo por medio de un correo electrónico en el que los ciberdelincuentes suplantan la identidad de una empresa co- nocida, un miembro de la propia empresa como un técnico de informática o cualquier otra identidad en la que el usuario confía y que sirva para su propósito. Además del correo pue- den utilizar otro tipo de canales como llamadas telefónicas o incluso realizar el engaño en persona.

“Como alternativa a las comunicaciones no cifradas , y siempre que sea necesaria la comunicación con el dispositivo vía Internet, existe la opción de utilizar redes privadas virtuales o VPN”

» Se ha de utilizar una contraseña robusta que incluya mayúsculas, minúsculas, números y símbolos y tenga una longitud de ocho caracteres como mínimo, siempre con- siderando que cuantos más caracteres tenga y más variados sean más robusta será.

En caso de no poder eliminar el usuario de administración por defecto, se modificará la contraseña siguiendo las mismas re- comendaciones citadas anteriormente.

Otros fabricantes ofrecen a sus usuarios acceso al dispositivo IoT por medio de una aplicación móvil. Al igual que para cualquier otra aplicación que descarguemos en los móviles, debe- mos comprobar que es legítima, descargarla únicamente desde la tienda oficial , bien sea la App Store o Play Store, y mantenerla siempre actualizada a la última versión. Las re- comendaciones de seguridad para acceder por medio de usua- rio y contraseña serán las mismas que para los otros escenarios.

4.2. Comunicaciones seguras La interfaz para acceder al dispositivo, además de contar con credenciales de acceso robustas, tendrá que utilizar técni- cas criptográficas que cifren la información. Cuando se accede al dispositivo por medio de un navegador se compro- bará que al comienzo de la dirección se utiliza el protocolo HTTPS [Ref. - 12]. Esto es fácilmente identificable cuando en la barra de navegación la dirección comienza por «https://».

Como alternativa a las comunicaciones no cifradas, y siem- pre que sea necesaria la comunicación con el dispo- sitivo vía Internet, existe la opción de utilizar redes privadas virtuales o VPN , por sus siglas en inglés Virtual Private Network [Ref. - 13]. La implementación de una VPN ofrece comunicaciones seguras con el dispositivo IoT des- de cualquier tipo de conexión, incluidas redes wifi públicas.

En caso de que el acceso al dispositivo no cuente con el pro- tocolo de comunicación HTTPS se recomienda no admi- nistrarlo desde Internet si no se utiliza algún mecanismo de seguridad complementario, como una red privada virtual o VPN, ya que en ese caso las credenciales de acceso se transmitirán

“Cuando el acceso se realiza por medio de una aplicación móvil se aconseja comprobar en las especificaciones de la propia aplicación si se utilizan mecanismos seguros de comunicación ”

por un canal no seguro y cualquier ciberdelincuente podría ha- cerse con ellas. Como alternativa se recomienda acceder al apa- rato IoT utilizando la misma red local y un dispositivo seguro.

Cuando el acceso se realiza por medio de una aplicación móvil se aconseja comprobar en las especificaciones de la propia aplicación si se utilizan mecanismos seguros de co- municación. En caso de no indicarlo es necesario contactar con el fabricante para que informe si los datos en tránsi- to están protegidos o no. Si la aplicación no cifra las comu- nicaciones, de la misma forma que sucede con el acceso por medio de una interfaz web, se debe utilizar una VPN.

Además del acceso al propio panel de administración del dis- positivo, toda la información que envía es recomendable que viaje cifrada. En caso de no ser posible se deberán aplicar otras medidas de seguridad como la segmenta- ción de redes o las VPN. La información, dependiendo del tipo de aparato elegido, puede ser sensible y de ser interceptada por un ciberdelincuente puede utilizarse con fines maliciosos.

Ilustración 2 Conexión VPN a un dispositivo IoT

“Es recomendable configurar un cortafuegos o firewall que filtre las conexiones que se establecen con los dispositivos IoT para que solo sean permitidas aquellas conexiones desde determinados dispositivos y servicios”

Cuando se tenga que descargar la actualización de seguridad de forma manual siempre se hará desde el sitio web oficial del fabricante , accediendo al portal directamente con el na- vegador. Nunca se instalarán actualizaciones de seguridad que provengan de otro sitio que no sea el oficial o de ficheros ad- juntos en correos electrónicos. Una de las técnicas usadas por los ciberdelincuentes para hacerse con el control de los dispo- sitivos IoT es por medio de actualizaciones de seguridad falsas que hacen llegar a sus víctimas generalmente por este medio. A la hora de decantarse por un dispositivo u otro siempre es recomendable elegir aquel cuya empresa distribuidora tenga una buena reputación y disponga de un buen departamen- to de soporte que actualice sus dispositivos de forma regular.

4.4. Dispositivos de seguridad perimetral Los dispositivos IoT, debido a sus capacidades de proce- samiento reducidas, no suelen tener la posibilidad de im- plementar herramientas de seguridad como cortafue- gos o antivirus ni protegerse ante ciberataques como denegaciones de servicio o DoS. Para paliar esta debili- dad es necesario aplicar las medidas de seguridad en otros dispositivos y capas de la red de la empresa.

Es recomendable configurar un cortafuegos o firewall [Ref. - 15] que filtre las conexiones que se establecen con los dispositi- vos IoT para que solo sean permitidas aquellas conexiones desde determinados dispositivos y servicios. No es una configuración segura que el dispositivo IoT se encuentre en la red corporati- va de la empresa con conexión a Internet, pues podría ser utili- zado para acceder a dicha red. Para resolverlo, es recomenda- ble crear una o varias redes específicas para estos dispositivos y configurarlas como DMZ o zona desmilitarizada [Ref. - 16].

Los dispositivos IoT comúnmente tienen habilitados va- rios servicios para su gestión cuyo acceso se hace por me- dio de diferentes puertos, [Ref. - 17] como por ejemplo el 80 al servicio «http» o el 23 al «servicio telnet» [Ref. - 18]. Se han de filtrar las conexiones a los puertos que no sean ne- cesarios por medio de algún dispositivo de red perimetral como un cortafuegos o router , ya que reduciendo el nivel de exposición disminuye el nivel de riesgo. En caso de ser

“Toda información que se almacene localmente en el dispositivo se hará cifrada para protegerla ante accesos no autorizados”

posible, se deshabilitarán además los servicios que no sean necesarios para su administración como telnet, cuyo uso no es recomendable al existir alternativas más seguras.

Si el dispositivo IoT se encuentra dentro de una red inalámbrica, como puede ser una red wifi [Ref. - 19] o ZigBee [Ref. - 20] , esta también debe contar con las suficientes medidas de seguridad.

4.5. Seguridad física La seguridad física del dispositivo es una parte importante para proteger la información que gestiona. Esto es especial- mente relevante en aquellos aparatos ubicados en lugares fuera de la protección de las instalaciones de la empresa, como por ejemplo en dispositivos de campo [Ref. - 21].

Es posible que en caso de que un ciberataque remoto no ten- ga efecto, los ciberdelincuentes se decanten por realizar uno físico contra el dispositivo, bien sea sustrayéndolo, intercep- tando las comunicaciones, accediendo a sus componentes in- ternos, etc. Será necesario tomar las medidas de seguridad ne- cesarias para que la información que gestiona esté protegida:

» Se ha de comprobar la cubierta protectora del aparato y cuán difícil es acceder a sus componentes internos. En caso de que sea fácil su acceso se deberá añadir una pro- tección más robusta.

» Se revisará si el dispositivo cuenta con puertos USB u otro tipo de puertos específicos de administración fácilmente accesibles que den acceso a información sin desmontar ningún tipo de protección exterior. En caso afirmativo se protegerá el acceso a esos puertos. Si los puertos USB no son necesarios y la interfaz de administra- ción del dispositivo lo permite, se deshabilitarán.

» Toda información que se almacene localmente en el dispositivo se hará cifrada para protegerla ante acce- sos no autorizados.

» El canal de comunicación también debe protegerse utili- zando, si no hubiese alternativa más segura, conexiones de datos móviles en lugar de wifi.