El Internet de las Cosas juega un papel clave en la transformación digital.
En muchos casos, las organizaciones se dan cuenta de que ya tienen una gran flota de dispositivos IoT heredados que se han implementado gradualmente a lo largo de los años. Es posible que muchos de estos dispositivos no se hayan diseñado pensando en la seguridad.
Una de las mayores preocupaciones de IoT es gestionar los riesgos asociados con un número creciente de dispositivos IoT.
Los problemas de privacidad y seguridad de la información relacionados con los dispositivos IoT han atraído la atención mundial debido a la capacidad de estos dispositivos para interactuar con el mundo físico. Las vulnerabilidades de IoT continúan surgiendo, por lo que es fundamental que los fabricantes enfaticen la seguridad de IoT por diseño.
Se han descubierto y expuesto vulnerabilidades de IoT en muchas industrias. Estas vulnerabilidades amenazan los datos confidenciales y la seguridad personal.
Sin duda, Internet de las cosas es un objetivo principal para los piratas informáticos en 2022, y cualquier organización que produzca o use estos dispositivos debe estar preparada.
A continuación, revisamos brevemente algunas de las amenazas de ciberseguridad comunes facilitadas por los dispositivos IoT.
Los dispositivos IoT son objetivos atractivos para los creadores de botnets: estos son piratas informáticos que comprometen millones de dispositivos, conectándolos a una red que pueden usar para actividades delictivas.
Los dispositivos IoT son un buen candidato para las botnets debido a su seguridad débil y la gran cantidad de dispositivos prácticamente idénticos, que los atacantes pueden comprometer usando las mismas tácticas.
Los atacantes pueden usar puertos desprotegidos o estafas de phishing para infectar dispositivos IoT con malware y alistarlos en botnets que pueden usarse para lanzar ataques cibernéticos a gran escala. Los piratas informáticos pueden usar kits de herramientas de ataque fácilmente disponibles, capaces de detectar dispositivos sensibles, penetrarlos y evitar la detección.
Luego, otro módulo en el conjunto de herramientas le indica al dispositivo que inicie un ataque o robe información en nombre del propietario de la botnet.
Los actores de amenazas a menudo aprovechan las botnets de IoT durante los ataques de denegación de servicio distribuido (DDoS); consulte la sección de ejemplos de ataques a continuación.
Cuando los piratas informáticos usan malware para infectar dispositivos IoT, pueden hacer más que simplemente incorporar el dispositivo a una red de bots. Por ejemplo, los atacantes pueden acceder a los datos del dispositivo y robar cualquier información confidencial almacenada allí.
Los atacantes también aprovechan IoT para recolectar credenciales del firmware del dispositivo. Con estas credenciales, los atacantes pueden obtener acceso a redes corporativas u otros sistemas que almacenan datos confidenciales. De esta forma, un ataque a un dispositivo aparentemente inocente puede convertirse en una violación de datos a gran escala.
Shadow IoT surge porque los administradores de TI no siempre tienen control sobre los dispositivos conectados a la red. Los dispositivos con direcciones IP, como asistentes digitales, relojes inteligentes o impresoras, se conectan con frecuencia a redes corporativas y no siempre cumplen con los estándares de seguridad.
Sin el conocimiento de los dispositivos IoT en la sombra, los administradores de TI no pueden garantizar que el hardware y el software tengan funciones de seguridad básicas y les resulta difícil monitorear el tráfico malicioso en los dispositivos. Cuando los piratas informáticos comprometen estos dispositivos, pueden aprovechar la conexión a la red corporativa y aumentar los privilegios para acceder a información confidencial en la red corporativa.
Desde que nació el concepto IoT a fines de la década de 1990, los expertos en seguridad han advertido que los dispositivos conectados a Internet supondrán un riesgo para la sociedad.
Desde entonces, se han publicado numerosos ataques a gran escala, en los que los atacantes comprometieron dispositivos IoT y crearon una amenaza real para la seguridad pública y corporativa. Aquí están algunos ejemplos.
En 2010, los investigadores descubrieron que un virus llamado Stuxnet causaba daños físicos a las centrífugas nucleares en Irán. El ataque comenzó en 2006, con la primera etapa de la campaña en 2009.
El malware manipuló los comandos enviados desde los controladores lógicos programables (PLC). Stuxnet a menudo se considera un ataque de IoT, uno de los primeros dirigidos a un sistema de control de supervisión y adquisición de datos (SCADA), utilizado en entornos industriales.
En 2013, los investigadores de Proofpoint descubrieron lo que ahora se considera “la primera botnet de IoT”.
Más del 25 % de la botnet estaba compuesta por dispositivos no informáticos, como televisores inteligentes, electrodomésticos y monitores para bebés. Desde entonces, el malware como CrashOverride, VPNFilter y Triton se ha utilizado ampliamente para comprometer los sistemas de IoT industriales.
En 2015, dos investigadores de seguridad piratearon un vehículo Jeep de forma inalámbrica, a través del sistema Chrysler Uconnect implementado en el automóvil, y realizaron acciones remotas como cambiar canales en la radio, encender los limpiaparabrisas y el aire acondicionado.
Los investigadores dijeron que podrían desactivar los frenos y hacer que el motor se detenga, disminuya la velocidad o se apague por completo.
En 2016, Mirai, una de las redes de bots IoT más grandes jamás descubiertas, comenzó su actividad atacando los sitios web del investigador de seguridad Brian Krebs y una empresa de alojamiento europea, OVH. Los ataques fueron de una magnitud enorme: 630 Gbps y 1,1 Tbps.
Posteriormente, la red de bots se usó para atacar a Dyn, un gran proveedor de DNS, y sitios web de alto perfil como Twitter, Amazon, Netflix y el New York Times. Los atacantes construyeron su red a partir de dispositivos IoT como enrutadores y cámaras de vigilancia IP.
En 2017, la Administración de Alimentos y Medicamentos (FDA) anunció que los dispositivos cardíacos implantables fabricados por St. Jude Medical, incluidos los marcapasos implantados en pacientes vivos, eran vulnerables a ataques.
Billy Rios y Jonathan Butts, investigadores de seguridad que se presentaron en la Conferencia Black Hat, demostraron su capacidad para piratear un marcapasos y apagarlo, lo que, si lo hicieran los piratas informáticos, mataría al paciente.
A medida que comienza a considerar una estrategia de seguridad de IoT para su organización, aquí hay algunas mejores prácticas que pueden mejorar su postura de seguridad.
Una infraestructura de análisis de seguridad puede reducir significativamente las vulnerabilidades y los problemas de seguridad relacionados con el Internet de las cosas. Esto requiere recopilar, compilar y analizar datos de múltiples fuentes de IoT, combinarlos con inteligencia de amenazas y enviarlos al centro de operaciones de seguridad (SOC).
Cuando los datos de IoT se combinan con datos de otros sistemas de seguridad, los equipos de seguridad tienen muchas más posibilidades de identificar y responder a amenazas potenciales. Los sistemas de análisis de seguridad pueden correlacionar fuentes de datos e identificar anomalías que podrían representar un comportamiento sospechoso. Luego, los equipos de seguridad pueden investigar y responder a las anomalías, evitando que los atacantes comprometan los dispositivos IoT corporativos.
La segmentación de red es una técnica que permite aislar componentes específicos de otros para mejorar la seguridad.
En el caso de IoT, la segmentación puede ayudar a evitar que los atacantes o personas internas maliciosas se conecten a los dispositivos de IoT o puede evitar que los dispositivos comprometidos infecten otras partes de la red. Puede implementar esta técnica en sus estrategias o utilizar una solución de seguridad de red .
Para comenzar un esfuerzo de segmentación, cree una lista completa de los dispositivos IoT actualmente en uso, sus métodos de conexión (VLAN o LAN), cómo y qué tipo de datos transmiten, y a qué otros dispositivos en la red realmente necesita conectarse cada dispositivo.
En particular, verifique si cada categoría de dispositivo necesita tener acceso a Internet y, de no ser así, desactívelo.
Una sugerencia para la segmentación es designar categorías específicas de dispositivos, como recopilación de datos, infraestructura o dispositivos personales propiedad de los empleados.
Puede crear una estrategia de segmentación basada en los requisitos de conectividad de cada punto final de IoT y actuar para aislar o bloquear el acceso a la red a los puntos finales que realmente no lo necesitan.
Otra forma de reducir la vulnerabilidad de los dispositivos IoT a los ataques al aplicar la autenticación completa en todos los dispositivos.
Ya sea que sus dispositivos IoT tengan autenticación de contraseña simple o medidas más avanzadas como certificados digitales, biométricos o autenticación multifactor (MFA), use la autenticación más segura disponible en el dispositivo y asegúrese de nunca usar la contraseña predeterminada de fábrica.
Una red en expansión de dispositivos IoT produce enormes cantidades de datos, que son inútiles sin un análisis adecuado.
Los conjuntos masivos de datos se analizan con la ayuda de la inteligencia artificial (IA) y el aprendizaje automático, lo que permite que las máquinas aprendan a sí mismas, retengan lo que aprendieron y, por lo tanto, mejoren las capacidades de los sistemas IoT.
Siendo una de las tendencias recientes de IoT , los sistemas de detección de intrusos (IDS) basados en IA monitorean continuamente la red, recopilando y analizando información de ataques anteriores.
Pueden predecir un ataque basándose en datos históricos y sugerir una solución para combatir la amenaza. Aunque se inventen nuevas técnicas de piratería, aún pueden incluir patrones utilizados anteriormente, que pueden reconocerse con algoritmos ML en tiempo real.
En general, hay dos tipos de IDS basados en ML.
Anomaly IDS detecta ataques basados en el comportamiento normal registrado, comparando los tráficos en tiempo real actuales con los tráficos en tiempo real normales registrados anteriormente. Estos sistemas son capaces de detectar un nuevo tipo de ataque, tan ampliamente utilizado incluso a pesar de una gran cantidad de falsas alarmas positivas.
El IDS de uso indebido o firma compara la similitud entre los patrones reconocidos en el tráfico actual en tiempo real y los patrones ya conocidos de varios tipos de ataques anteriores. Muestra una menor cantidad de falsas alarmas positivas, pero al mismo tiempo, el nuevo tipo de ataque puede pasar desapercibido.
Los algoritmos de ML como el análisis discriminante lineal (LDA), los árboles de clasificación y regresión (CART) y Random Forest se pueden utilizar para la identificación y clasificación de ataques.
Escrito por Oleksii Tsymbal , director de innovación de MobiDev .
El artículo completo se publicó originalmente aquí y se basa en la investigación tecnológica de MobiDev.