Se calcula que hay alrededor de 17,000 millones de dispositivos IoT, o Internet de las cosas, en el mundo, desde cámaras de puerta a televisores inteligentes.
Esto implica que hay millones de dispositivos que al ser dejados de lado, no recibir actualizaciones ni parches que protejan sus vulnerabilidades, pueden convertirse en un objetivo fácil de comprometer por distintos atacantes.
Ante este panorama, ESET analiza el pirateo de dispositivos obsoletos y qué lo hace atractivo para los cibercriminales.
Cuando un dispositivo se queda obsoleto, ya sea porque se vuelve demasiado lento, porque el propietario compra uno nuevo o porque carece de funcionalidades en comparación con su sustituto moderno, el fabricante pasa a centrarse en un nuevo modelo y designa al antiguo como fin de vida útil (EOL).
En esta etapa, los fabricantes suspenden la comercialización, venta y suministro de piezas, servicios o actualizaciones de software para el producto. Como resultado, la seguridad del dispositivo deja de ser adecuada, lo que expone al usuario final a vulnerabilidades y abre la posibilidad a la piratería informática y otros usos indebidos, explica Martina López, investigadora de seguridad informática en ESET Latinoamérica.
¿Cuáles son los riesgos?
A menudo, estos dispositivos vulnerables pueden acabar formando parte de una botnet, una red de dispositivos convertidos en zombis bajo las órdenes de un hacker. Es decir, una red de dispositivos comprometidos controlados por un atacante y utilizados con fines nefastos.
La mayoría de las veces, estos dispositivos zombis acaban siendo utilizados para ataques de denegación de servicio distribuido (DDoS), que sobrecargan la red o el sitio web de alguien como venganza, o con un propósito diferente, como desviar la atención de otro ataque.
Un ejemplo de botnet que explota dispositivos IoT obsoletos y vulnerables es Mozi, una red de bots famosa por haber secuestrado cientos de miles de dispositivos conectados a Internet cada año. Una vez comprometidos, estos dispositivos se utilizaban para diversas actividades maliciosas, como el robo de datos y la distribución de cargas útiles de malware. La misma fue desmantelada en 2023.
Por otro lado, la explotación de vulnerabilidades en un dispositivo como una cámara de video IoT podría permitir a un atacante utilizarlo como herramienta de vigilancia y espionaje. Los atacantes remotos podrían hacerse con el control de cámaras vulnerables conectadas a Internet, una vez descubiertas sus direcciones IP, sin haber tenido acceso previo a la cámara ni conocer las credenciales de inicio de sesión.
La lista de dispositivos IoT EOL vulnerables continúa, y los fabricantes no suelen tomar medidas para parchear estos dispositivos vulnerables; de hecho, esto no es posible cuando un fabricante ha quebrado.
Además, debido a la abundancia de dispositivos IoT, se ha instalado la reutilización de viejos dispositivos para nuevos fines. Por ejemplo, convertir un viejo iPad en un controlador doméstico inteligente, o utilizar un viejo teléfono como marco de fotos digital o como GPS del coche.
Si bien las posibilidades son numerosas, se recomienda tener en cuenta la seguridad, ya que estos aparatos electrónicos no deben conectarse a Internet debido a su naturaleza vulnerable.
Deshacerse de un dispositivo viejo arrojándolo a la basura no es una opción adecuada en términos de seguridad. Además del impacto ambiental que genera la acumulación de materiales tóxicos en los vertederos, estos aparatos antiguos pueden contener una gran cantidad de información confidencial acumulada durante su uso, añade López.
En este contexto, es recomendable siempre mantener los dispositivos actualizados y, cuando no sea posible, intentar deshacerse de ellos de forma segura (borrando los datos antiguos), sustituirlos por un nuevo dispositivo tras una eliminación segura o encontrarles un nuevo propósito sin conexión.
Los dispositivos obsoletos pueden ser objetivos fáciles, así que manteniéndolos desconectados de Internet o dejando de utilizarlos, es posible evitar cualquier daño cibernético a través de ellos.