Blog Ciberseguridad

Seguridad, la asignatura pendiente en IoT

Imagen dispositivo seguridad IoT

Se dice que la revolución que se espera con la llegada masiva de dispositivos IoT a nuestras vidas va a ser aún mayor que cuando llegó Internet, o mayor incluso que la explosión de servicios en movilidad cuando se popularizó el uso del teléfono móvil.

Pero, ¿sabemos realmente lo que significa IoT? Desde el punto de vista técnico podríamos decir que son objetos cotidianos, que implementan cierto procesamiento de información, extraída a través de sensores, y que permiten una determinada interacción con las personas… Pero claro, dicha definición se nos quedaría demasiado técnica para definir el concepto de IoT.

Imagen áreas IoT: sensores, personas, objetos y procesos

Para definir IoT en un lenguaje mucho más cercano, tendríamos que decir que son dispositivos con cierto tipo de “inteligencia” y cuya característica principal es que poseen una conexión con la Nube para poder compartir información con otros dispositivos. Como ejemplo podríamos poner desde SmartTVs, relojes inteligentes, hasta cámaras IP para videovigilancia u otros tipos de electrodomésticos inteligentes.

Foto Terminator

Series T-800 Robot in Terminator Genisys from Paramount Pictures and Skydance Productions.

Tomando como referencia el cine de ciencia ficción, podemos ver que la temática general en cuanto a máquinas inteligentes es que a mayor inteligencia, mayor peligro suponen para los seres humanos. Por lo tanto no nos queda otra opción que plantearnos los posibles peligros que pudieran surgir del uso de estos dispositivos.

Si estudiamos las distintas amenazas a las que nos vemos sometidos en el ámbito de IoT podemos organizarlas en tres categorías:

  • Denegaciones de Servicio (DoS y DDoS)
  • Uso como plataforma de ataque hacia otros dispositivos
  • Ataques a la privacidad y a los datos de carácter personal

Los ataques de denegación de servicio se centran en provocar un estado inestable en los dispositivos que no permitan un funcionamiento normal del mismo. Si estudiamos como nos afectaría que un día no funcionara nuestra televisión, es probable que el impacto no fuera demasiado grave, pero si la denegación de servicio se produce a la hora de acceder a nuestra vivienda utilizando una puerta inteligente que nos impide el acceso, la cosa cambiaría.

Es importante tener en cuenta que siempre se intenta vulnerar aquellos equipos con menor protección para poder acceder a otros más fortificados. De esta manera se intenta utilizar el eslabón más débil, que suelen ser los dispositivos IoT desatendidos, para poder realizar ataques indirectos a otros equipos de mayor interés para el atacante. Un sistema de almacenamiento NAS con contraseñas por defecto, conectado además a Internet podría permitir a un atacante no sólo obtener los datos almacenados en dicho equipo, sino permitir acceder remotamente a otros equipos de la red.

En cuanto a los ataques a la privacidad y a los datos de carácter personal, el objetivo principal de los ciberdelincuentes es obtener información que pueda reportarles un beneficio económico a corto plazo. Es por tanto que dedicarán todos sus esfuerzos a obtener números de tarjetas de crédito y otros datos bancarios, así como credenciales de acceso a distintos servicios web y redes sociales. También despierta su interés datos sobre hábitos de consumo y otros datos personales almacenados en los dispositivos, ya que suelen ser explotados por sistemas de análisis de BigData en el mercado negro.

Como podemos ver, son numerosas las distintas amenazas que acechan a nuestros datos almacenados en los dispositivos IoT, por lo que tendremos que poner especial atención a la hora de configurarlos y utilizarlos. En la próxima entrada del blog veremos las claves que nos van a permitir utilizarlos de una manera más segura.