Con el auge de la Internet de las Cosas (IoT), se espera que el número y la diversidad de dispositivos conectados aumenten de manera exponencial. De acuerdo con Gartner, esta tendencia incluirá 26 mil millones de unidades instaladas en 2020. Los proveedores de productos y servicios de IoT generarán ingresos que superarán los 300 mil millones de dólares, la mayoría en servicios, en 2020.
Este aumento de la demanda presiona a los fabricantes para que desarrollen, de manera rápida, dispositivos conectados, capacidad de acceso a la nube y aplicaciones móviles para cubrir las necesidades del mercado. Mientras esto aumenta los beneficios prometidos a los usuarios de los dispositivos IoT, también abre la puerta a amenazas de seguridad, que van desde vulnerabilidades de software hasta ataques de negación de servicio (DDoS), pasando por contraseñas deficientes y vulnerabilidades de scripting entre sitios.
De acuerdo con los resultados de un estudio elaborado por HP, el 70% de los dispositivos que componen Internet de las Cosas tienen puntos vulnerables que incluyen seguridad de las contraseñas, cifrado y ausencia de permisos de acceso pormenorizados para los usuarios.
La investigación examinó 10 de los dispositivos más comunes y descubrió, en promedio, 25 vulnerabilidades por dispositivo: un total de 250 puntos de inseguridad en todos los productos probados. Los dispositivos conectados, junto con sus aplicaciones móviles y componentes en la nube y movilidad pertenecían a fabricantes de televisores, cámaras web, termostatos, tomas de corriente eléctrica remota, controladores de rociadores, centros de control para múltiples dispositivos, cerraduras de puertas, alarmas domésticas, balanzas y mecanismos de apertura de puertas de garaje.
Los problemas de seguridad más comunes y fáciles de resolver informados incluyen:
- Configuración de la privacidad: 8 de los 10 dispositivos probados, junto con sus correspondientes componentes de aplicaciones de nube y movilidad, presentaron puntos vulnerables de seguridad con respecto a recolección de datos de los consumidores, como nombre, dirección de correo electrónico, dirección postal, fecha de nacimiento, credenciales de tarjeta de crédito e información de salud. Además, 90% de los dispositivos recogieron por lo menos alguna información personal a través del propio dispositivo, la nube o su aplicación de movilidad.
- Contraseñas: 80% de los dispositivos IoT probados, incluyendo sus componentes de nube y movilidad, fallaron en solicitar contraseñas lo suficientemente complejas y largas: la mayoría de los dispositivos admitió contraseñas como ‘1234’. De hecho, muchas de las cuentas probadas configuradas por HP con contraseñas débiles fueron usadas también en los sitios web y las aplicaciones de movilidad de los productos.
- Falta de cifrado de transporte: 70% de los dispositivos IoT analizados no cifró las comunicaciones a través de Internet y la red local, mientras la mitad de las aplicaciones de movilidad de los dispositivos realizaron comunicaciones sin cifrado a la nube, Internet o la red local. El cifrado del transporte es crucial dado que muchos de los dispositivos probados recogieron y transmitieron datos confidenciales a través de los canales.
- Interfaz web insegura: 6 de los 10 dispositivos evaluados presentaron problemas con relación a sus interfaces de usuario, como XSS persistente, gestión de sesión defectuosa, credenciales predeterminadas débiles y credenciales transmitidas sin cifrado. 70% de los dispositivos con componentes de nube y movilidad permiten que un atacante potencial determine cuentas de usuario válidas a través de la enumeración de la cuenta o el recurso de redefinición de contraseña.
- Protección de software inadecuada: 60% de los dispositivos no usan cifrado cuando descargan actualizaciones de software, un número alarmante dado que el software posibilita la funcionalidad de los dispositivos probados. Algunas descargas incluso podrían ser interceptadas, extraídas y montadas como sistemas de archivo en Linux, donde el software podría visualizarse o modificarse.
Para ofrecer protección contra las amenazas a la seguridad que acompañan el surgimiento de IoT, es fundamental que las organizaciones implementen un enfoque integral para identificar vulnerabilidades de software antes de que sean explotadas.