Internet de las cosas: riesgos y mitigación

Introducción

Los dispositivos de Internet de las cosas (IoT) han alcanzado casi la ubicuidad tanto en empresas como en el hogar. Cada vez más dispositivos se envían con conectividad a Internet. Esta conectividad permite la comodidad de poder controlar dispositivos de forma remota, pero puede tener un costo. Con frecuencia, estos dispositivos se implementan independientemente del departamento de tecnología de la información y protegerlos suele ser una idea de último momento. Los riesgos que presentan los dispositivos IoT no seguros pueden ser tan grandes como los de una computadora portátil sin parches. Sin embargo, al implementar las mejores prácticas de seguridad, su organización (y su hogar) pueden implementar dispositivos de Internet de las cosas de manera segura y exitosa.

¿Qué es un dispositivo de Internet de las cosas?

Según McKinsey, Internet de las cosas, «describe objetos físicos integrados con sensores y actuadores que se comunican con sistemas informáticos a través de redes cableadas o inalámbricas».

¿Qué dispositivos IoT hay en una empresa?

Aquí hay 7 ejemplos de dispositivos IoT que se encuentran en una empresa.

1. Encendiendo – Los sistemas de iluminación inteligente se están instalando como dispositivos de ahorro de energía y, a menudo, vienen con módulos de red integrados.
2. climatización – Los termostatos inteligentes y los sistemas ambientales se han convertido en la norma en las empresas para permitir un mayor control y ahorro de costos.
3. Seguridad – Los sistemas de seguridad inteligentes que incluyen cámaras, sensores y paneles de alarma permiten el monitoreo remoto y son cada vez más comunes.
4. Impresoras – Quizás el dispositivo IoT original, casi todas las organizaciones tienen impresoras en red. Muchos son administrados por empresas externas y, para permitir la administración remota, posteriormente se conectan a Internet.
5. Los telefonos – Los teléfonos de voz sobre IP (VoIP) y, en particular, los dispositivos de salas de conferencias están todos conectados a la red y algunos están configurados para comunicarse con servicios en la nube, lo que los hace excepcionalmente vulnerables.
6. muestra – Muchas oficinas empresariales tienen pantallas en red montadas en la pared para transmitir información valiosa a los empleados y visitantes.
7. internet de las cosas – Es cierto que no un solo dispositivo sino el Internet industrial de las cosas son dispositivos IoT que se encuentran en entornos industriales. Estos dispositivos suelen tener capacidades de red para configuración y supervisión remotas.

Esta no es una lista completa, sino más bien una muestra de los dispositivos de Internet de las cosas empresariales más comúnmente implementados.

¿A qué amenazas me enfrento y cómo puedo proteger mi red?

Estos son los 5 ataques de IoT más comunes y las mitigaciones correspondientes para las implementaciones de dispositivos de IoT empresarial:

1. Botnet- El software, a menudo firmware, integrado en los dispositivos IoT generalmente no tiene mecanismos de seguridad como los sistemas operativos de PC. Por lo general, estos dispositivos no se monitorean, lo que los convierte en candidatos ideales para las botnets. Una vez que un dispositivo IoT es parte de una red de bots, se puede implementar en ataques de denegación de servicio distribuido (DDoS).
2. Exfiltración de datos – Si bien la mayoría de los dispositivos de Internet de las cosas no almacenan muchos datos, producen telemetría valiosa que podría usarse en contra de su organización.
3. Secuestro de datos- A pesar de que tradicionalmente no es un objetivo del ransomware, un adversario podría hacerse cargo fácilmente de los dispositivos IoT e interrumpir el funcionamiento del dispositivo. Por ejemplo, los controles HVAC podrían bloquearse haciendo que las condiciones de trabajo sean insostenibles para el entorno de su oficina.
4. Secuestro- Por lo general, los dispositivos de Internet de las cosas se envían con contraseñas predeterminadas; con frecuencia, estas contraseñas no se cambian cuando se implementan los dispositivos. Como resultado, un adversario podría fácilmente tomar el control del dispositivo sin activar ninguna alarma.
5. Movimiento lateral – Si sus dispositivos de Internet de las cosas están en su subred principal, un adversario podría comprometer el sistema y usarlo para recopilar datos de reconocimiento y, finalmente, pasar a otros hosts internos.

Aquí hay 5 mejores prácticas de seguridad que sirven como mitigación para los ataques anteriores:

1. Actualizaciones- Mantenga actualizado el firmware de sus dispositivos IoT.
2. Segmentación/Cortafuegos – Sus dispositivos IoT deben residir en una subred propia. Si no se requiere acceso a Internet, no lo permita y, si lo es, considere usar una lista de fuentes externas permitidas.
3. Monitor- Supervise el tráfico de entrada y salida de su red IoT.
4. Cifrado- Si es posible, cifre los datos en sus dispositivos IoT.
5. Contraseñas – Cambie la contraseña predeterminada en todos los dispositivos IoT tan pronto como comience la configuración.

¿Cuáles son las amenazas más comunes a mi red doméstica y cómo puedo proteger mi información?

A medida que más y más de nuestros electrodomésticos y dispositivos cuentan con conectividad a Internet, se debe considerar la seguridad. De hecho, las redes domésticas tienen una mayor variedad de dispositivos IoT que las empresas. Aquí hay tres amenazas comunes y sus mitigaciones.

1. Exfiltración de datos – Ya sea la información financiera de su familia, un dispositivo que escucha sus conversaciones o, peor aún, las fotos y los videos que se toman, su información personal nunca ha estado más en riesgo mientras está en casa.
2. Botnet- Al igual que antes, los dispositivos de Internet de las cosas en el hogar son objetivos de las botnets.
3. Secuestro- Quizás incluso con más frecuencia que en las empresas, los dispositivos domésticos de IoT se dejan con sus contraseñas predeterminadas. Si bien el impacto puede ser menor, el HVAC doméstico, los electrodomésticos y otros dispositivos podrían manipularse para dañar su hogar o su billetera.

Las mitigaciones para el IoT doméstico son muy similares a las de Enterprise con algunas modificaciones, sustracciones y una adición.

1. Actualizaciones- Mantenga actualizado el firmware de sus dispositivos IoT.
2. Segmentación – La versión doméstica de la segmentación utiliza un identificador de conjunto de servicios múltiples (SSID), en inglés simple, nombres de red. Lo más probable es que el Wi-Fi de su hogar tenga una red principal y la capacidad de crear una red de invitados. Algunos ofrecen la posibilidad de crear aún más. Utilice la capacidad de red de invitados u otro SSID para alojar sus dispositivos domésticos de Internet de las cosas. Esto tiene varias ventajas. Primero, sus dispositivos IoT no tendrán acceso a su red principal, lo que mantendrá segura su información financiera mientras realiza operaciones bancarias en línea y paga facturas. En segundo lugar, es posible que pueda asignar la cantidad de su ancho de banda que estos dispositivos pueden usar, lo que puede mitigar algunas amenazas. Finalmente, el uso de una red separada le permite controlar más de cerca estos dispositivos, así como lo que hay en su red doméstica.
3. Contraseñas – Como se indicó anteriormente, cambie las contraseñas predeterminadas tan pronto como implemente el dispositivo.
4. Alquiler – Si implementa dispositivos como asistentes domésticos inteligentes (Amazon Echo, Google Nest, et al), considere colocarlos en áreas en las que no tiene conversaciones privadas. Esto también se aplica a las cámaras de seguridad, no coloque una cámara en ningún lugar donde no quiera que alguien fuera de su familia la vea.

Conclusión

Si bien los riesgos de implementar dispositivos de Internet de las cosas pueden parecer grandes, también lo son la utilidad de estos dispositivos. En pocas palabras, no van a desaparecer, así que implementémoslos de una manera inteligente y segura para proteger nuestra información.

¿Interesado en aprender más sobre Ciberseguridad? Udacity ofrece una variedad de cursos, desde una introducción a la ciberseguridad hasta un curso de privacidad de datos más avanzado.