El reto de la seguridad en IoT: ejemplos de ataques y cómo podrían haberse evitado

Luis Augusto Acuña Falcón    14 marzo, 2016
reto-seguridad-en -IoT

El Internet de las cosas nos ha traído aplicaciones interesantes y otras absurdas, preocupaciones y especulaciones sobre su impacto en nuestras vidas, defensores y detractores y, cómo no, además de nuevas oportunidades, nuevos riesgos.

La acelerada proliferación y adopción de dispositivos conectados ha despertado la preocupación general por las consecuencias que podrían llegar a tener los fallos de seguridad de los mismos. Nos podemos hacer una idea de sus graves consecuencias, en parte por la publicación y difusión de ataques que se han materializado (entendiendo “ataques” como el compromiso y manipulación del dispositivo) y también gracias al trabajo de investigadores en seguridad, que diseñan pruebas de concepto para descubrir vulnerabilidades y alertar sobre ellas para prevenirlas. Veamos algunos ejemplos:

Pruebas de concepto

  • Sistemas de navegación y control de aviones. En 2013, el investigador Hugo Teso demostró (usando una maqueta) que se podían manipular los planes de vuelo del ordenador de un avión, para luego controlarlo a distancia con el móvil: era posible cambiar el plan de vuelo, programar un evento al sobrevolar una zona concreta, estrellar el avión o lanzar alarmas.
  • Bombas de infusión de medicamentos. En 2015 se descubrió que unos dispositivos para la administración directa de medicamentos al paciente, conocidos como “bombas de infusión”, del fabricante Hospira, podían ser manipulados remotamente para cambiar las dosis. La FDA alertó a los hospitales.
  • Armas de fuego. Existen armas de fuego, como el rifle TP750 de la empresa Tracking Point, con un sistema de auto-mira asistido por un pequeño ordenador, que, por ejemplo, bloquea el gatillo hasta que el portador del arma no ha apuntado perfectamente al blanco. Una pareja de investigadores, aprovechándose de vulnerabilidades triviales, logró acceder vía wifi al sistema para luego modificar parámetros que permiten impedir que el arma funcione o cambiar de objetivo.
  • Coches autónomosEn 2015 un grupo de investigadores descubrió que es relativamente sencillo manipular remotamente la aceleración y los frenos de coches autónomos (y que los controles de seguridad para evitar la manipulación no son costosos). Otro equipo logró confundir remotamente los sistemas de navegación y sensores de este tipo de coches.

Ataques materializados

  • Planta nuclear. La referencia obligada: Stuxnet, un gusano informático considerado como el primero en atacar sistemas de control industrial (SCADA). Supuestamente creado para sabotear los procesos de enriquecimiento de uranio del programa nuclear Iraní, se estima que destruyó hasta mil centrífugas antes de ser descubierto.
  • Planta acereraLa Oficina Federal de Seguridad de Información de Alemania emitió un informe que confirmaba que en  2010 un grupo de hackers había accedido de forma no autorizada para luego impedir el apagado de uno de los hornos a la planta, lo cual provocó un daño masivo a la instalación.
  • Redes eléctricasEn 2013, se confirmó el robo de información de planos detallados de la red y de 71 estaciones eléctricas, ubicación precisa de dispositivos, diagramas de red y contraseñas de dispositivos de la red eléctrica gestionada por la empresa Calpine, el principal generador de electricidad de los Estados Unidos. Información relevante y que facilita la ejecución de un ataque posterior.
  • Sistemas de ventilación y aire acondicionado de edificiosEn 2012 un grupo de atacantes logró manipular remotamente los termostatos de un edificio de gobierno y de una planta manufacturera para  cambiar con éxito la temperatura del interior. De haber ocurrido en  un centro de proceso de datos, por ejemplo, se podrían haber ocasionado daños a la infraestructura de TI.
  • Plataformas petroleras y sistemas de navegación marítima. Un artículo de 2014 de Reuters recoge que un atacante logró inclinar una plataforma petrolera ubicada en la costa africana, lo cual provocó que sus sistemas se apagaran. En el mismo texto se  indica que hay sospechas de que los piratas somalíes tienen acceso a la información de ubicación de los barcos de carga, por lo que la tripulación suele apagar sus sistemas de navegación o falsear los datos de ubicación para que parezca que están en otro lado cuando atraviesan zonas de riesgo o controladas por los piratas.

El riesgo, por tanto, existe pero también los mecanismos de seguridad necesarios para mitigarlos. Respecto a la seguridad en IoT preocupa el hecho de que muchas de las vulnerabilidades explotadas para acceder a los dispositivos sean las clásicas, que siempre han existido (lamentablemente) en los sistemas informáticos convencionales.

Eleven Paths, empresa del Grupo Telefónica dedicada a la innovación en soluciones de seguridad, publicó en octubre del año pasado el informe Insecurity in the Internet of Things, en el cual hace un análisis detallado y muy interesante del entorno de IoT: sus vulnerabilidades, implicaciones y recomendaciones de seguridad para usuarios y fabricantes de dispositivos. Me gustaría destacar las siguientes:

Recomendaciones para los usuarios y consumidores:

  • Cambiar las contraseñas por defecto por unas robustas y utilizar el cifrado más robusto posible.
  • Conectar dispositivos a una red separada, cuando sea factible.
  • Deshabilitar o proteger el acceso remoto a dispositivos mientras no sea necesario.
  • Investigar y aprovechar las medidas de seguridad implantadas en el dispositivo.
  • Deshabilitar características no utilizadas.
  • Instalar actualizaciones tan pronto estén disponibles.

Recomendaciones para fabricantes:

  • Utilizar conexiones cifradas.
  • Anonimizar los datos y recopilarlos sólo cuando sea estrictamente necesario.
  • Requerir un cambio obligatorio de las contraseñas por defecto por otras robustas y no permitir contraseñas “quemadas” en el código.
  • Permitir la configuración de reglas detalladas de control de acceso.
  • Implantar medidas que dificulten ataques de fuerza bruta para adivinar credenciales de acceso.
  • Verificación mutua de certificados SSL y de listas de revocación de certificados.
  • Implementar medidas inteligentes de fail-safe cuando la conexión o la energía del dispositivo falla.
  • Realizar análisis de seguridad del código fuente y ofuscarlosi es accesible para los usuarios.

En definitiva, la seguridad en IoT plantea un reto a toda la comunidad involucrada en la gestión, uso, aseguramiento y fabricación de los dispositivos conectados. Hay que resaltar la importancia que tiene la seguridad de estos entornos y emprender acciones en consecuencia: las empresas deben definir estrategias para gestionar la seguridad de dispositivos nuevos y legacy, los fabricantes deben incorporar la seguridad a los dispositivos que desarrollan desde su fase de diseño, los organismos  gubernamentales deben velar porque se definan y cumplan normas de seguridad de información en los dispositivos y debe haber un esfuerzo conjunto para concienciar a los usuarios y consumidores sobre las implicaciones del uso de estas tecnologías y las medidas que pueden adoptar para asegurar sus propios dispositivos.

Imagen: Foro Nuclear

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *