En los últimos años hemos asistido al crecimiento del internet de las cosas, un concepto que ha pasado de ser un completo desconocido a ser parte de nuestras vidas.
Hoy en día convivimos con dispositivos inteligentes, electrodomésticos, televisores, termostatos, asistentes y un sinfín de aparatos que no solo hacen nuestra vida más fácil, sino que captan información de forma continua, ¿qué ocurre con esa información? ¿Está enviada y custodiada de forma segura?
En el entorno doméstico estos problemas de seguridad pueden convertirse en una seria amenaza para nuestra privacidad, pero en un entorno industrial esto se convierte en un problema más severo, ya que estos dispositivos controlan procesos industriales, en muchos casos de elevada precisión y costo.
¿Es un problema grave?
Recientemente, un estudio de Symantec descubrió que los ataques a dispositivos IoT se han multiplicado por seis en los últimos años.
La novedad de este tipo de dispositivos, la falta de seguridad que a veces los rodea y, sobre todo, el enorme número de dispositivos y la velocidad a la que crecen, las últimas estimaciones hablan de más de veinte mil millones de dispositivos IoT instalados, hacen de este tipo de dispositivos un objetivo jugoso.
¿Qué ofrecen estos dispositivos?
La clave del interés que han mostrado los hackers en estos dispositivos es su inmenso número; con ellos se puede formar una red de centenares de miles o incluso millones de dispositivos para utilizarlos en ataques de denegación de servicio. Para hacer una petición no es necesaria una gran capacidad de cálculo y por ello casi cualquier dispositivo puede hacerlo.
Con estas redes se pueden hacer ataques devastadores, como los que causó el malware conocido como “Mirai” que infectó centenares de miles de equipos que de manera coordinada realizaron algunos de los ataques de denegación de servicio más potentes de la historia, con picos de tráfico de 1 Tb/s en diversos ataques.
Como ya hemos dicho, estos dispositivos presentan problemas de privacidad pues, aunque no lo sepamos, toman datos que en muchos casos pueden ser personales y los envían a la nube, datos tan inocentes como la programación de un termómetro o las horas de uso de una SmartTV pueden decir mucho de su usuario.
Además de realizarse en muchas ocasiones sin el conocimiento del usuario, este envío se realiza en muchos casos sin una seguridad adecuada, haciendo que esos datos personales pueden ser interceptados por un tercero. En otros casos, también pueden ser interceptados por el proveedor de internet o incluso por agencias gubernamentales.
¿Podemos protegernos?
Estos dispositivos son pequeños computadores, y como en cualquier computadora, la primera medida de seguridad es configurar correctamente el dispositivo.
La configuración por defecto es una de las fuentes más comunes de vulnerabilidades, es necesario adaptar la configuración y utilizar contraseñas seguras para evitar dejar demasiadas puertas abiertas.
Es imprescindible actualizar los dispositivos y tener presente que cualquier vulnerabilidad detectada sin subsanar es una puerta abierta, y si el dispositivo deja de tener soporte por parte del fabricante deberemos sustituirlo y que si no podemos sustituirlo habrá que buscar otras formas de asegurarlo.
La seguridad en la conexión es la madre del cordero en muchos dispositivos, ya que se diseñan con prioridades distintas a la seguridad, normalmente en su proceso de diseño priman cosas como el costo unitario o la duración de la batería frente a la seguridad de las comunicaciones.
Recomendamos revisar las especificaciones del dispositivo a la hora de seleccionarlo, buscando dispositivos que utilicen una encriptación fuerte en todas sus comunicaciones, de lo contrario, la información estará en riesgo.
Si no es posible usar un dispositivo con encriptación fuerte o nos interesa asegurar un despliegue ya existente, siempre podemos recurrir a una VPN para asegurar las comunicaciones.
Un servicio de VPN nos servirá para encriptar las comunicaciones entre el dispositivo y la nube con encriptaciones fuertes. Aunque es posible que no podamos encontrar o no nos compense instalar un cliente de VPN en cada dispositivo, es posible utilizar la VPN en un router o un concentrador.
Instalando el cliente de VPN en un router conseguiremos que todo el tráfico de esté asegurado; podremos hacer lo mismo, por ejemplo, con un dispositivo Raspberry Pi como concentrador de sensores (p.e. de Arduino).
En el caso de tener muchos dispositivos conectados a internet, sin hacerlo a través de un router o un concentrador, se pueden utilizar servicios de Smart DNS para que el tráfico circule a través servidor de VPN. No es una solución tan segura, pero proporciona un nivel adicional de seguridad.
Conclusión
El Internet de las Cosas es una realidad que trae consigo nuevos problemas de seguridad. La gran cantidad de dispositivos que se están desplegando y la poca preocupación en su seguridad los convierten en objetivos predilectos para ataques. Siguiendo unas pequeñas normas de seguridad conseguiremos reducir el peligro.