Los dispositivos conectados a internet no configurados no deben pasarse por alto como un riesgo de seguridad, advierte el investigador de seguridad Ken Munro, socio principal de la firma de hackeo ético Pen Test Partners, que se especializa en la seguridad de los dispositivos de internet de las cosas (IoT).
“Los dispositivos IoT que no están configurados son peligrosos porque funcionan como puntos de acceso inalámbricos abiertos y sin cifrar, lo que podría proporcionar un medio para que los piratas informáticos interrumpan o espíen a las organizaciones”, dijo Munro a Computer Weekly, publicación hermana de SearchDataCenter en Español.
Muchos dispositivos IoT funcionan inicialmente en un modo de punto de acceso, por lo que los usuarios pueden conectarse al dispositivo utilizando un teléfono inteligente para reconfigurarlo y convertirse en un cliente de la red inalámbrica ingresando la clave de seguridad de la red, lo que lo hace mucho más seguro.
Pero las empresas y los consumidores a menudo optan por no conectar aparatos a internet, creyendo que esto es más seguro. Sin embargo, esto pasa por alto el hecho de que estos dispositivos normalmente están diseñados para actuar como puntos de acceso inalámbrico de forma predeterminada.
“Esto significa que si el dispositivo permanece sin configurar, permanecerá en el estado predeterminado, lo que lo hace aún más vulnerable que si estuviera conectado a internet y configurado dentro de la red”, dijo Munro.
“Aunque esto abre otro conjunto de vulnerabilidades, las organizaciones y los consumidores son cada vez más conscientes de estas vulnerabilidades y, por lo tanto, tienen más probabilidades de conocer los riesgos y cómo mitigarlos”.
Pero con un dispositivo no configurado, los atacantes podrían usar un ataque tipo war driving o de mapeo de acceso, lo que facilitaría poner en peligro estos dispositivos, dijo Munro, porque el atacante podría identificar una red inalámbrica objetivo mediante un sitio de geolocalización, como wigle.net, que muestra puntos de acceso inalámbricos en cualquier ubicación y permite a los titulares de cuentas buscar en su base de datos dispositivos IoT no configurados.
“Esto significa que los atacantes podrían buscar tipos de dispositivos específicos en una ubicación específica, y luego todo lo que necesitan hacer es descargar la aplicación apropiada, conectarse al punto de acceso inalámbrico del dispositivo IoT y tener el control total de ese dispositivo”, dijo.
Las cafeteras podrían ser un riesgo
Las empresas podrían correr el riesgo con dispositivos de IoT de consumo, como las cafeteras o los dispensadores de bebidas que se colocan en el entorno corporativo, pero no pasan por una evaluación de riesgos de seguridad de TI y se consideran seguros porque no están conectados a internet.
“También existe el riesgo adicional de que si estos dispositivos de IoT de consumo están equipados con una cámara o un micrófono, si el dispositivo se ve comprometido, podrían activarse para permitir la escucha en un entorno de oficina”, dijo Munro.
Y el riesgo no se detiene allí, agregó, porque es poco probable que los dispositivos que no se han conectado a internet hayan tenido una actualización de software desde que se instalaron por primera vez.
“Esto significa que un atacante podría cargar una versión maliciosa del firmware del dispositivo para modificar la forma en que funciona”, dijo Munro. “Una lavadora IoT comprometida podría modificarse para que la presión del agua haga que explote o modificar un sistema de alarma contra para evitar que detecte y responda a un incendio. Por lo tanto, no configurar un dispositivo al no conectarlo a la red no implica que está exento de riesgos”.
Esto es particularmente arriesgado con dispositivos como las pantallas inalámbricas, que normalmente se usan en entornos empresariales para compartir pantallas de computadoras portátiles o móviles al enviarlas a un proyector en la sala de juntas.
“Nuestra investigación ha encontrado que estos dispositivos a menudo están conectados a redes corporativas a través de los puertos de red cuando se instalan, a veces sin que la compañía lo sepa”, dijo Munro. “Esto crea efectivamente una puerta trasera a la red a través de un dispositivo no configurado que no está conectado a internet.
“El instalador es directamente responsable, pero el fabricante también es responsable de no pensar realmente cómo debería instalarse, y el usuario final es responsable si no verifica cómo se instaló”.
La conectividad Bluetooth representa un riesgo aún mayor que la conexión Wi-Fi, dijo Munro, porque los usuarios a menudo no cuentan con un proceso para autenticar o autorizar el dispositivo móvil al que se conectan, lo que permite que cualquier persona que se encuentre dentro del alcance pueda conectarse.
El riesgo inherente a la seguridad de los dispositivos de IoT ha originado que en todo el mundo se pida la intervención del gobierno en forma de legislación para garantizar que todos los dispositivos de IoT cumplan con los requisitos mínimos de seguridad.
Reino Unido da el ejemplo
En lo que muchos consideran como un precursor de la legislación de IoT en el Reino Unido, el gobierno ha publicado un código de práctica de seguridad voluntario para el mercado de IoT de consumo que está respaldado por el Reglamento General de Protección de Datos (GDPR) y la nueva legislación de protección de datos del Reino Unidoalineada con el GDPR, con la esperanza de que los fabricantes de dispositivos sigan las mejores prácticas para obtener la aprobación del mercado y ventajas competitivas.
Munro ha considerado el código de práctica como un primer paso importante para mejorar la seguridad de IoT, lo que coloca al Reino Unido por delante de muchos otros países, pero señala que el código no parece abordar el riesgo que representan los dispositivos no conectados y sin configurar.
“No creo que establezca una recomendación específica para que los transmisores y receptores de radiofrecuencia en dispositivos IoT estén apagados por defecto”, dijo, “y en mi experiencia, tan pronto como se enciendan la mayoría de estos dispositivos, se habilitará la capacidad de conexión inalámbrica, con pocas excepciones”.
Munro cree que la conectividad inalámbrica de los dispositivos IoT debería estar desactivada de forma predeterminada y que debería estar equipada con un botón o algún otro medio para permitir a los usuarios elegir encenderlo y ponerlo en modo de emparejamiento. “En la actualidad, los dispositivos IoT con este tipo de funcionalidad son pocos y distantes entre sí”, dijo.
Ataques de prueba de concepto
Aunque Munro ha llevado a cabo ataques de prueba de concepto que comprometen dispositivos de IoT no configurados más complejos, como los lanzadores de pantallas, para comprometer redes corporativas y evitar los firewalls, dijo que si las organizaciones son atacadas de esta manera, es poco probable que estén al tanto de ello sin realizar un análisis forense del dispositivo afectado, pero esto no es posible en la mayoría de los dispositivos de IoT debido a la funcionalidad limitada.
“Incluso si usted sospechara que un dispositivo en su organización fue atacado de esta manera, sería muy difícil probarlo”, dijo, y agregó que las organizaciones deberían asegurarse de que todos los dispositivos de IoT estén bien conectados y configurados de manera segura o que su conectividad de red inalámbrica esté apagada.
En noviembre de 2018, Munro solicitó una acción gubernamental sobre la seguridad de IoT en la conferencia de seguridad cibernética EEMA ISSE 2018 en Bruselas. En ese momento, dijo que aunque el código de práctica del Reino Unido era un buen comienzo, todavía quedaba un largo camino por recorrer y que le gustaría ver alguna regulación básica.
Desde entonces, la ministra digital del Reino Unido, Margot James, ha declarado públicamente que la legislación sobre seguridad de IoT es probable a largo plazo, dijo Munro.
“Este es un gran paso adelante y algo que he estado defendiendo durante mucho tiempo”, dijo. “Creo que los proveedores de IoT probablemente tienen alrededor de un año para comenzar a prestar atención y hacer las cosas bien.
“Tenemos que regular porque hay demasiados productos inteligentes en el mercado por parte de demasiados fabricantes que simplemente no se preocupan por los riesgos de seguridad”.
Fuente: TechTarget