X
19/06/2020
Automática e Instrumentación
Cuando lo inteligente también es defectuoso
Trend Micro analiza las vulnerabilidades de los dispositivos IoT
Vulnerabilidades más comunes de los dispositivos IoT. Vulnerabilidades más comunes de los dispositivos IoT.// FOTO: Trend Micro.
La variedad y la gama de funciones de los dispositivos inteligentes presentan innumerables formas de mejorar las diferentes industrias y entornos. Si bien las "cosas" en Internet de las Cosas (IoT) benefician a los hogares, las fábricas y las ciudades, estos dispositivos también pueden introducir puntos ciegos y riesgos de seguridad en forma de vulnerabilidades.

El equipo de Trend Micro, multinacional especializada en el desarrollo de soluciones de ciberseguridad, analiza por qué son vulnerables los dispositivos IoT y cómo afectan a los usuarios estas vulnerabilidades.

Los dispositivos inteligentes vulnerables abren las redes a los ataques y pueden debilitar la seguridad general de Internet. Por ahora, es mejor ser cauteloso y entender que "inteligente" también puede significar vulnerable a las amenazas.

¿Por qué son vulnerables los dispositivos IoT?

Los dispositivos IoT son vulnerables en gran medida porque carecen de la seguridad incorporada necesaria para contrarrestar las amenazas. Además de los aspectos técnicos, los usuarios también contribuyen a la vulnerabilidad de los dispositivos a las amenazas. He aquí algunas de las razones por las que estos equipos inteligentes siguen siendo vulnerables:

  • Capacidades de computación limitadas y restricciones de hardware. Estos dispositivos tienen funciones específicas que garantizan solo capacidades informáticas limitadas, dejando poco espacio para mecanismos de seguridad robustos y protección de datos.
  • Tecnología de transmisión heterogénea. Los dispositivos suelen utilizar una variedad de tecnología de transmisión. Esto puede dificultar el establecimiento de métodos y protocolos de protección estándar.
  • Los componentes del dispositivo son vulnerables. Los componentes básicos vulnerables afectan a millones de dispositivos inteligentes desplegados.
  • Los usuarios carecen de concienciación en materia de seguridad. La falta de conocimiento de seguridad del usuario podría exponer a los dispositivos inteligentes a vulnerabilidades y oportunidades de ataque.

Las vulnerabilidades de los dispositivos permiten a los ciberdelincuentes utilizarlos como punto de apoyo para sus ataques, lo que refuerza la importancia de la seguridad desde la fase de diseño.

¿Cómo afectan las vulnerabilidades a los usuarios?

La investigación de algunos de los ataques más notables a los dispositivos IoT muestra cómo puede afectar a los usuarios. Los agentes de amenazas pueden utilizar dispositivos vulnerables para el movimiento lateral, lo que les permite alcanzar objetivos críticos. Los atacantes también pueden utilizar las vulnerabilidades para apuntar a los propios dispositivos y convertirlos en armas para campañas más grandes o utilizarlos para propagar malware a la red.

Las botnets IoT sirven como ejemplo para mostrar el impacto de las vulnerabilidades de los dispositivos y cómo los ciberdelincuentes han evolucionado para utilizarlas. En 2016, Mirai, uno de los tipos más destacados de malware de botnets IoT, se hizo un nombre por sí mismo al eliminar sitios web distinguidos en una campaña de denegación de servicio distribuida (DDoS) que consistía en miles de dispositivos de IoT domésticos comprometidos.

Desde una perspectiva empresarial, Trend Micro subraya que los dispositivos IoT difuminan aún más la distinción entre la seguridad necesaria de las empresas y los hogares, especialmente en los escenarios de trabajo remoto. La introducción de dispositivos IoT en el hogar puede abrir nuevos puntos de entrada en un entorno que podría tener una seguridad débil, exponiendo a los empleados a malware y ataques que podrían colarse en la red de una empresa. Es una consideración importante cuando se implementan medidas de bring your own device (BYOD) y teletrabajo.

Los atacantes también pueden usar dispositivos IoT con problemas existentes para acceder en redes internas. Estas amenazas van desde los ataques de DNS rebinding que permiten recopilar y filtrar información de redes internas hasta nuevos ataques a través de canales laterales, como los ataques inducidos por láser infrarojo contra dispositivos inteligentes en hogares y entornos corporativos.

Ejemplos de vulnerabilidades en dispositivos IoT

Ha habido muchos casos que demuestran el impacto de las vulnerabilidades IoT; algunos de ellos implican entornos del mundo real y otros como investigación de estos dispositivos. El Open Web Application Security Project (OWASP), una fundación sin ánimo de lucro para mejorar el software, publica anualmente una lista de las principales vulnerabilidades IoT. Entre los ejemplos de estos defectos comunes se incluyen los siguientes:

Contraseñas débiles, adivinables o hardcoded

Las nuevas variantes de malware suelen utilizar esta vulnerabilidad. Por ejemplo, encontramos una variante de Mirai llamada Mukashi, que aprovechó la vulnerabilidad CVE-2020-9054 y utilizó ataques de fuerza bruta con credenciales predeterminadas para iniciar sesión en los productos NAS de Zyxel.

Interfaces inseguras del ecosistema

La investigación de Trend Micro en entornos complejos de IoT reveló plataformas de automatización expuestas que encadenan las funciones de múltiples dispositivos. El servidor de automatización expuesto contenía información importante como la geolocalización del domicilio y las contraseñas codificadas. Las implicaciones de una plataforma de automatización comprometida son comentadas más a fondo en la investigación.

Servicios de red inseguros

Una investigación realizada por Trend Micro en 2017 analizó la seguridad de los altavoces inteligentes Sonos. El estudio descubrió que unos simples puertos abiertos exponían el dispositivo a cualquier persona en Internet y revelaban información confidencial del usuario.

No es difícil encontrar casos que demuestren las consecuencias de las vulnerabilidades de los dispositivos en los usuarios y las redes, y es probable que esos casos se sigan denunciando en el futuro. Los usuarios deben ser conscientes de estas vulnerabilidades comunes y tomar las precauciones necesarias contra exploits.

¿Quién es responsable de asegurar los dispositivos IoT?

La posibilidad de que se produzcan efectos impredecibles en cascada por las vulnerabilidades y seguridad deficiente en IoT afecta en gran medida a la seguridad general de Internet. Garantizar que estos dispositivos sean seguros es una responsabilidad compartida de las partes interesadas, según apunta Trend Micro.

Los fabricantes deben abordar las vulnerabilidades conocidas de los productos posteriores, publicar parches para los existentes e informar sobre el fin del soporte para los productos más antiguos. Los fabricantes de dispositivos IoT también necesitan considerar la seguridad desde la fase de diseño, y luego realizar pruebas de penetración para asegurar que no haya brechas imprevistas para un sistema y dispositivo en producción. Las empresas también deben tener un sistema para aceptar informes de vulnerabilidad de entidades externas sobre sus productos desplegados.

Los usuarios también deben comprender mejor los riesgos de seguridad que conlleva la conexión de estos dispositivos y su papel en la seguridad de los mismos. Cambiar las contraseñas predeterminadas, actualizar el firmware y elegir configuraciones seguras, entre otras cosas, puede mitigar los riesgos.

Más noticias sobre Trend Micro
COMPARTIR
OPINE SOBRE ESTA NOTICIA
* Campos obligatorios
Automática e Instrumentación le anima a comentar los artículos publicados al tiempo que le solicita hacerlo con ánimo constructivo y desde el sentido común, por lo que se reserva el derecho de no publicar los comentarios que considere inapropiados, que contengan insultos y/o difamaciones.
Actualidad
Desde Telefónica destacan que conn esta inversión en Nozomi Networks quieren reforzar su apuesta por la ciberseguridad en entornos industriales y activos críticos expuestos a continuas y cambiantes amenazas.
Desde Telefónica destacan que conn esta inversión en Nozomi Networks quieren reforzar su apuesta por la ciberseguridad en entornos industriales y activos críticos expuestos a continuas y cambiantes amenazas.Telefónica.
Telefónica, a través de su vehículo de corporate venture capital, Telefónica Innovation Ventures (TIV), ha realizado...
En términos mensuales la producción industrial en España subió un 14,7% desestacionalizado en mayo, tras el hundimiento intermensual del 22,1% de la cifra revisada de abril.
En términos mensuales la producción industrial en España subió un 14,7% desestacionalizado en mayo, tras el hundimiento intermensual del 22,1% de la cifra revisada de abril.
La producción industrial española siguió cayendo en mayo a causa de la crisis provocada por la pandemia del Covid-19...
El escáner AxSEAM de Olympus destaca por su diseño simple que optimiza la facilidad de uso.
El escáner AxSEAM de Olympus destaca por su diseño simple que optimiza la facilidad de uso.
La compañía Olympus, que anunció hace unos días que venderá este año su división de fotografía, acaba de lanzar un...
Los cables confeccionados están disponibles en versiones de tres o cinco polos, tanto con conectores hembra como macho en ambos extremos o con versiones acabadas en extremo de cable libre.
Los cables confeccionados están disponibles en versiones de tres o cinco polos, tanto con conectores hembra como macho en ambos extremos o con versiones acabadas en extremo de cable libre.Phoenix Contact.
Phoenix Contact ha comenzado a ofrecer el conector circular de plástico de la serie PRC también como solución de...
Zaragoza Logistics Center (ZLC) y la Red Alastria suscriben un convenio de colaboración.
Zaragoza Logistics Center (ZLC) y la Red Alastria suscriben un convenio de colaboración.
Zaragoza Logistics Center (ZLC), el centro de educación e investigación promovido por el Gobierno de Aragón en...
Se trata de una convocatoria que pretende apoyar la incorporación de conocimientos, tecnologías e innovaciones destinadas a la digitalización de los procesos.
Se trata de una convocatoria que pretende apoyar la incorporación de conocimientos, tecnologías e innovaciones destinadas a la digitalización de los procesos.
El pasado jueves, 2 de julio, el BOE publicó el extracto de la convocatoria de concesión de apoyo financiero a...
España ha obtenido una nota de 57,5 puntos, 3,9  más que en el ejercicio anterior.
España ha obtenido una nota de 57,5 puntos, 3,9 más que en el ejercicio anterior.DESI
España ocupa la undécima posición en el Índice de Economía y Sociedad Digital (DESI) 2020 elaborado por la Comisión...
Murrelektronik presenta su oferta de seminarios online gratuitos en julio.
Murrelektronik presenta su oferta de seminarios online gratuitos en julio.
Murrelektronik ha organizado una serie de webinars durante este mes de julio en los que compartirá su conocimiento...
Twitter
LinkedIn
Suscríbete a nuestro canal de YouTube
Revista Automática e Instrumentación
NÚMERO 520 // mayo 2020
Acceso gratuito a la revista
Revista Automática e instrumentación
Empresas destacadas
LA REVISTA Y EL BOLETÍN A UN SOLO CLIC
Boletín
Lea gratis la revista y reciba toda la actualidad del sector a través de nuestro boletín.

Esta web utiliza 'cookies' propias y de terceros para ofrecerte una mejor experiencia y servicio Más información
Versys Ediciones Técnicas © Copyright 2020 - automaticaeinstrumentacion.com | Todos los derechos reservados | Aviso Legal | Política de privacidad | Política de Cookies | Mapa web