Resolución de año nuevo para los proveedores de IoT: comenzar a tratar las redes LAN como hostiles
Las compañías deben monitorear sus redes y los dispositivos IoT deben colocarse detrás de 'firewalls' internos con políticas de acceso fuertes para que no puedan ser atacados por otros equipos de la red.
El uso de cuentas ocultas, protocolos de administración no autenticados, claves criptográficas codificadas o contraseñas es muy común en el mundo de dispositivos IoT y dispositivos integrados. Estos problemas, que equivalen a configuraciones inseguras por defecto, se encuentran con frecuencia no sólo en productos de consumo sino también en empresas, incluyendo firewalls y otros dispositivos de seguridad.
Estas debilidades básicas no se derivan de las prácticas inseguras de programación sino de no tener en cuenta todo tipo de ataques al diseñar sus productos. Como resultado, podrían eliminarse más fácilmente que las vulnerabilidades relacionadas con el código, lo que requeriría inversiones en formación de desarrolladores y revisiones de seguridad. Este tipo de configuraciones inseguras podrían evitarse fácilmente si los fabricantes de dispositivos incluyeran ataques basados en LAN en su modelado de amenazas, pero la mayoría todavía parecen tratar las redes de área local como entornos implícitamente confiables, creyendo que los atacantes sólo apuntan a dispositivos que pueden llegar directamente desde Internet.
Lamentablemente eso no ha sido así desde hace años. Los ataques de falsificación de solicitudes cruzadas (CSRF) secuestran los navegadores de los usuarios cuando visitan sitios web maliciosos y los utilizan para atacar a routers y otros dispositivos a través de la red local son ahora comunes. Los hackers frecuentemente también infectan ordenadores portátiles o teléfonos con malware y luego buscan otros sistemas en LAN que los puedan comprometer para obtener un punto de apoyo permanente -una práctica conocida como movimiento lateral-.
Los ataques CSRF no son la única posibilidad de atacar dispositivos LAN que no están expuestos directamente a Internet. También se pueden utilizar programas maliciosos que se ejecutan en computadoras o teléfonos inteligentes con este fin.
“Muchos proveedores de IoT basan su estrategia de defensa en el hecho de que sus dispositivos se instalarán detrás de los enrutadores en lugar de centrarse en la seguridad de los dispositivos”, dijo Brian Knopf, director senior de Investigación de Seguridad y arquitecto de IoT en Neustar. "Lo único que cambiará este pensamiento atrasado por parte de los vendedores es que haya requisitos obligatorios con penas vinculadas a no hacerlos", dijo Knopf. "Claro que hay compañías de IoT que hacen lo correcto, pero son superadas en número por aquellos que no lo hacen".
Muchos pequeños aparatos electrónicos no parecen tener mucho valor para los atacantes a primera vista porque tienen bajo poder computacional. Pero eso puede ser engañoso: su compromiso es menos probable que se detecte y se pueden utilizar para lanzar ataques contra objetivos más valiosos ubicados en la misma red.
En 2016 hubo aproximadamente 100 informes de credenciales predeterminadas codificadas o inseguras en dispositivos embebidos, según estadísticas de la firma de inteligencia de vulnerabilidad Risk Based Security. Desde 2013, se han reportado cerca de 550 debilidades. "Incluso antes de que IoT se hiciera enormemente popular, los dispositivos integrados tenían una seguridad mezquina", dijo Carsten Eiram, director de investigación de Risk Based Security. Es preocupante, según el director, que muchas empresas no tengan políticas para controlar quiénes y bajo qué circunstancias pueden traer dispositivos IoT a sus redes.
