Seguridad de IoT (seguridad de Internet de las cosas)

por Sharon Shea

La seguridad de IoT es el segmento de tecnología centrado en proteger los dispositivos y redes conectados en el Internet de las cosas ( IoT ). IoT implica agregar conectividad a Internet a un sistema de dispositivos informáticos, máquinas mecánicas y digitales, objetos, animales y / o personas interrelacionados. A cada ” cosa ” se le proporciona un identificador único y la capacidad de transferir datos automáticamente a través de una red. Permitir que los dispositivos se conecten a Internet los expone a una serie de vulnerabilidades graves si no están debidamente protegidos.

Una serie de incidentes de alto perfil en los que se utilizó un dispositivo de IoT común para infiltrarse y atacar la red más grande ha llamado la atención sobre la necesidad de seguridad de IoT . Es fundamental garantizar la seguridad de las redes con dispositivos IoT conectados a ellas. La seguridad de IoT incluye una amplia gama de técnicas , estrategias, protocolos y acciones que tienen como objetivo mitigar las crecientes vulnerabilidades de IoT de las empresas modernas.

¿Qué es la seguridad de IoT?

La seguridad de IoT se refiere a los métodos de protección utilizados para proteger los dispositivos conectados a Internet o basados ​​en la red. El término IoT es increíblemente amplio y, dado que la tecnología continúa evolucionando, el término solo se ha vuelto más amplio. Desde relojes hasta termostatos y consolas de videojuegos, casi todos los dispositivos tecnológicos tienen la capacidad de interactuar con Internet u otros dispositivos, de alguna manera.

La seguridad de IoT es la familia de técnicas, estrategias y herramientas que se utilizan para proteger estos dispositivos para que no se vean comprometidos. Irónicamente, es la conectividad inherente a IoT lo que hace que estos dispositivos sean cada vez más vulnerables a los ciberataques. <

Debido a que IoT es tan amplio, la seguridad de IoT es aún más amplia. Esto ha dado lugar a una variedad de metodologías que caen bajo el paraguas de la seguridad de IoT. La seguridad de la interfaz del programa de aplicaciones (API) , la autenticación de la infraestructura de clave pública ( PKI ) y la seguridad de la red son solo algunos de los métodos que los líderes de TI pueden utilizar para combatir la creciente amenaza del delito cibernético y el ciberterrorismo arraigado en los dispositivos IoT vulnerables.

Problemas de seguridad de IoT

Cuantas más formas de que los dispositivos puedan conectarse entre sí, más formas de interceptarlos los actores de amenazas. Protocolos como HTTP ( Protocolo de transferencia de hipertexto ) y API son solo algunos de los canales en los que confían los dispositivos de IoT y que los piratas informáticos pueden interceptar.

El paraguas de IoT tampoco incluye estrictamente los dispositivos basados ​​en Internet. Los dispositivos que utilizan tecnología Bluetooth también cuentan como dispositivos de IoT y, por lo tanto, requieren seguridad de IoT. Descuidos como este han contribuido al aumento reciente de las filtraciones de datos relacionadas con IoT.

A continuación, se muestran algunos de los desafíos de seguridad de IoT que continúan amenazando la seguridad financiera tanto de las personas como de las organizaciones.

Exposición remota

A diferencia de otras tecnologías, los dispositivos de IoT tienen una superficie de ataque particularmente grande debido a su conectividad compatible con Internet. Si bien esta accesibilidad es extremadamente valiosa, también brinda a los piratas informáticos la oportunidad de interactuar con los dispositivos de forma remota. Es por eso que las campañas de piratería como el phishing son particularmente efectivas. La seguridad de IoT, como la seguridad en la nube , debe tener en cuenta una gran cantidad de puntos de entrada para proteger los activos.

Falta de previsión de la industria

A medida que las empresas continúan con las transformaciones digitales de sus negocios, también lo han hecho ciertas industrias y sus productos. Industrias como la automotriz y la atención médica han ampliado recientemente su selección de dispositivos de IoT para ser más productivos y rentables. Esta revolución digital, sin embargo, también se ha traducido en una mayor dependencia tecnológica que nunca.

Si bien normalmente no es un problema, la dependencia de la tecnología puede amplificar las consecuencias de una violación de datos exitosa. Lo que hace que esto sea preocupante es que estas industrias ahora dependen de una pieza de tecnología que es inherentemente más vulnerable: los dispositivos de IoT. No solo eso, sino que muchas empresas de atención médica y automotrices no estaban preparadas para invertir la cantidad de dinero y recursos necesarios para proteger estos dispositivos.

Esta falta de previsión de la industria ha expuesto innecesariamente a muchas organizaciones y fabricantes a mayores amenazas de ciberseguridad .

Restricciones de recursos

La falta de previsión no es el único problema de seguridad de IoT que enfrentan las industrias recientemente digitalizadas. Otra preocupación importante con la seguridad de IoT son las limitaciones de recursos de muchos de estos dispositivos.

No todos los dispositivos de IoT tienen la potencia informática para integrar sofisticados cortafuegos o software antivirus. Algunos apenas tienen la capacidad de conectarse a otros dispositivos. Los dispositivos de IoT que han adoptado la tecnología Bluetooth, por ejemplo, han sufrido una reciente ola de violaciones de datos. La industria del automóvil, una vez más, ha sido uno de los mercados más perjudicados.

En 2020, un experto en ciberseguridad pirateó un Tesla Model X en menos de 90 segundos aprovechando una vulnerabilidad masiva de Bluetooth. Otros autos que dependen de llaves FOB (inalámbricas) para abrir y encender sus autos han experimentado ataques por razones similares. Los actores de amenazas han encontrado una manera de escanear y replicar la interfaz de estas llaves estilo FOB para robar los vehículos asociados sin siquiera activar una alarma.

Si la maquinaria tecnológicamente avanzada como un Tesla es vulnerable a una violación de datos de IoT, también lo es cualquier otro dispositivo inteligente.

Cómo proteger los sistemas y dispositivos de IoT

Estas son algunas de las medidas de seguridad de IoT que las empresas pueden utilizar para mejorar sus protocolos de protección de datos.

Introducir la seguridad de IoT durante la fase de diseño

De los problemas de seguridad de IoT discutidos, la mayoría se pueden superar con una mejor preparación, particularmente durante el proceso de investigación y desarrollo al inicio de cualquier desarrollo de dispositivo de IoT basado en el consumidor, la empresa o la industria . Habilitar la seguridad de forma predeterminada es fundamental, así como proporcionar los sistemas operativos más recientes y utilizar hardware seguro.

Sin embargo, los desarrolladores de IoT deben tener en cuenta las vulnerabilidades de seguridad cibernética en cada etapa del desarrollo, no solo en la fase de diseño. El hackeo de la llave del coche, por ejemplo, se puede mitigar colocando el FOB en una caja de metal o lejos de las ventanas y los pasillos.

PKI y certificados digitales

PKI es una forma excelente de proteger las conexiones cliente-servidor entre varios dispositivos en red. Mediante un criptosistema asimétrico de dos claves, PKI puede facilitar el cifrado y descifrado de mensajes e interacciones privados mediante certificados digitales . Estos sistemas ayudan a proteger la entrada de información de texto claro de los usuarios en los sitios web para completar transacciones privadas. El comercio electrónico no podría funcionar sin la seguridad de PKI.

Seguridad de la red

Las redes brindan una gran oportunidad para que los actores de amenazas controlen de forma remota los dispositivos de IoT de otros. Debido a que las redes involucran componentes físicos y digitales, la seguridad de IoT local debe abordar ambos tipos de puntos de acceso. La protección de una red de IoT incluye garantizar la seguridad de los puertos, deshabilitar el reenvío de puertos y no abrir nunca los puertos cuando no sea necesario; el uso de antimalware, firewalls y sistemas de detección de intrusiones / sistemas de prevención de intrusiones; bloquear direcciones IP (Protocolo de Internet) no autorizadas; y garantizar que los sistemas estén parcheados y actualizados.

Seguridad API

Las API son la columna vertebral de los sitios web más sofisticados. Permiten a las agencias de viajes, por ejemplo, agregar información de vuelos de varias aerolíneas en una ubicación. Desafortunadamente, los piratas informáticos pueden comprometer estos canales de comunicación, lo que hace que la seguridad de la API sea necesaria para proteger la integridad de los datos que se envían desde los dispositivos de IoT a los sistemas de back-end y garantizar que solo los dispositivos, desarrolladores y aplicaciones autorizados se comuniquen con las API. La violación de datos de T-Mobile en 2018 es un ejemplo perfecto de las consecuencias de una mala seguridad de la API. Debido a una “API con fugas”, el gigante móvil expuso los datos personales de más de 2 millones de clientes, incluidos los códigos postales de facturación, números de teléfono y números de cuenta, entre otros datos.

Métodos de seguridad adicionales de IoT

Otras formas de implementar la seguridad de IoT incluyen:

• Control de acceso a la red. NAC puede ayudar a identificar e inventariar los dispositivos de IoT que se conectan a una red. Esto proporcionará una línea de base para los dispositivos de seguimiento y monitoreo.
• Segmentación. Los dispositivos de IoT que necesitan conectarse directamente a Internet deben estar segmentados en sus propias redes y tener acceso restringido a la red empresarial. Los segmentos de la red deben monitorear la actividad anómala, donde se pueden tomar medidas, en caso de que se detecte un problema.
• Pasarelas de seguridad. Actuando como intermediarios entre los dispositivos de IoT y la red, las puertas de enlace de seguridad tienen más capacidad de procesamiento, memoria y capacidades que los propios dispositivos de IoT, lo que les brinda la capacidad de implementar funciones como firewalls para garantizar que los piratas informáticos no puedan acceder a los dispositivos de IoT que conectan.
• Gestión de parches / actualizaciones continuas de software. Es fundamental proporcionar los medios para actualizar los dispositivos y el software, ya sea a través de conexiones de red o mediante la automatización. Tener una divulgación coordinada de vulnerabilidades también es importante para actualizar los dispositivos lo antes posible. Considere también las estrategias para el final de la vida.
• Capacitación. La IoT y la seguridad del sistema operativo son nuevos para muchos equipos de seguridad existentes. Es fundamental que el personal de seguridad se mantenga actualizado con los sistemas nuevos o desconocidos, aprenda nuevas arquitecturas y lenguajes de programación y esté preparado para los nuevos desafíos de seguridad. Los equipos de nivel C y de ciberseguridad deben recibir capacitación periódica para mantenerse al día con las amenazas modernas y las medidas de seguridad.
• Integración de equipos. Junto con la capacitación, la integración de equipos dispares y en silos regulares puede resultar útil. Por ejemplo, hacer que los desarrolladores de programación trabajen con especialistas en seguridad puede ayudar a garantizar que se agreguen los controles adecuados a los dispositivos durante la fase de desarrollo.
• Educación al consumidor. Los consumidores deben ser conscientes de los peligros de los sistemas de IoT y se les deben proporcionar pasos para mantenerse seguros, como actualizar las credenciales predeterminadas y aplicar actualizaciones de software. Los consumidores también pueden desempeñar un papel al exigir a los fabricantes de dispositivos que creen dispositivos seguros y negarse a usar aquellos que no cumplan con los estándares de alta seguridad.

¿Qué industrias son más vulnerables a las amenazas de seguridad de IoT?

Los ataques a la seguridad de IoT pueden ocurrir en cualquier lugar y en cualquier industria, desde un hogar inteligente hasta una planta de fabricación y un automóvil conectado. La gravedad del impacto depende en gran medida del sistema individual, los datos recopilados y / o la información que contiene.

Por ejemplo, un ataque que inhabilita los frenos de un automóvil conectado o el pirateo de un dispositivo de salud conectado, como una bomba de insulina, para administrar demasiada medicación a un paciente puede ser potencialmente mortal. Del mismo modo, un ataque a un sistema de refrigeración que alberga un medicamento que es monitoreado por un sistema de IoT puede arruinar la viabilidad de un medicamento si las temperaturas fluctúan. Del mismo modo, un ataque a la infraestructura crítica (un pozo de petróleo, una red de energía o un suministro de agua) puede ser desastroso.

Sin embargo, no se pueden subestimar otros ataques. Por ejemplo, un ataque contra las cerraduras inteligentes de las puertas podría permitir que un ladrón ingrese a una casa. O, en otros escenarios, como el hack de Target de 2013 u otras brechas de seguridad, un atacante podría pasar malware a través de un sistema conectado, un sistema HVAC en el caso de Target, para extraer información de identificación personal , causando estragos en los afectados.

Violaciones de seguridad de IoT notables y hackeos de IoT

Los expertos en seguridad han advertido durante mucho tiempo sobre el riesgo potencial de una gran cantidad de dispositivos no seguros conectados a Internet desde que el concepto de IoT se originó por primera vez a fines de la década de 1990. Posteriormente, varios ataques han aparecido en los titulares, desde refrigeradores y televisores que se utilizan para enviar spam hasta piratas informáticos que se infiltran en monitores para bebés y hablan con niños. Es importante tener en cuenta que muchos de los hacks de IoT no se dirigen a los dispositivos en sí, sino que utilizan los dispositivos de IoT como un punto de entrada a la red más grande.

En 2010, por ejemplo, los investigadores revelaron que el virus Stuxnet se utilizó para dañar físicamente las centrifugadoras iraníes, con ataques que comenzaron en 2006, pero el ataque principal ocurrió en 2009. A menudo considerado uno de los primeros ejemplos de un ataque de IoT, Stuxnet tenía como objetivo el control de supervisión y sistemas de adquisición de datos ( SCADA ) en sistemas de control industrial ( ICS ), utilizando malware para infectar instrucciones enviadas por controladores lógicos programables ( PLC ).

Los ataques a las redes industriales solo han continuado, con malware como CrashOverride / Industroyer, Triton y VPNFilter dirigidos a sistemas de tecnología operativa vulnerable (OT) e IoT industrial (IIoT).

En diciembre de 2013, un investigador de la firma de seguridad empresarial Proofpoint Inc. descubrió la primera botnet de IoT . Según el investigador, más del 25% de la botnet estaba formada por dispositivos distintos a las computadoras, incluidos televisores inteligentes, monitores para bebés y electrodomésticos.

En 2015, los investigadores de seguridad Charlie Miller y Chris Valasek ejecutaron un pirateo inalámbrico en un Jeep, cambiando la estación de radio en el centro de medios del automóvil, encendiendo los limpiaparabrisas y el aire acondicionado y deteniendo el acelerador. Dijeron que también podían apagar el motor, activar los frenos y desactivarlos por completo. Miller y Valasek pudieron infiltrarse en la red del automóvil a través del sistema de conectividad en el vehículo de Chrysler, Uconnect.

Mirai, una de las redes de bots de IoT más grandes hasta la fecha, atacó por primera vez el sitio web del periodista Brian Krebs y el anfitrión web francés OVH en septiembre de 2016; los ataques registraron una velocidad de 630 gigabits por segundo (Gbps) y 1,1 terabits por segundo (Tbps), respectivamente. Al mes siguiente, la red del proveedor de servicios del sistema de nombres de dominio ( DNS ) Dyn fue atacada, lo que hizo que varios sitios web, incluidos Amazon, Netflix, Twitter y The New York Times , no estuvieran disponibles durante horas. Los ataques se infiltraron en la red a través de dispositivos de IoT de consumo, incluidas cámaras IP y enrutadores.

Desde entonces han surgido varias variantes de Mirai, que incluyen Hajime, Hide ‘N Seek, Masuta, PureMasuta, Wicked botnet y Okiru, entre otras.

En un aviso de enero de 2017, la Administración de Alimentos y Medicamentos advirtió que los sistemas integrados en los dispositivos cardíacos implantables de St. Jude Medical habilitados por radiofrecuencia, incluidos marcapasos, desfibriladores y dispositivos de resincronización, podrían ser vulnerables a intrusiones y ataques de seguridad.

En julio de 2020, Trend Micro descubrió un descargador de botnets IoT Mirai que se adaptaba a nuevas variantes de malware, lo que ayudaría a entregar cargas útiles maliciosas a cajas Big-IP expuestas. También se observó que las muestras encontradas explotan vulnerabilidades reveladas recientemente o sin parche en dispositivos y software comunes de IoT.

En marzo de 2021, la puesta en marcha de cámaras de seguridad Verkada tenía 150.000 de sus transmisiones de cámaras en vivo pirateadas por un grupo de piratas informáticos suizos. Estas cámaras monitoreaban la actividad dentro de escuelas, prisiones, hospitales e instalaciones de empresas privadas, como Tesla.

Normas y legislación de seguridad de IoT

Existen muchos marcos de seguridad de IoT, pero hasta la fecha no existe un estándar único aceptado por la industria. Sin embargo, la simple adopción de un marco de seguridad de IoT puede ayudar; proporcionan herramientas y listas de verificación para ayudar a las empresas a crear e implementar dispositivos de IoT. Estos marcos han sido lanzados por GSM Association, IoT Security Foundation, Industrial Internet Consortium y otros.

En septiembre de 2015, la Oficina Federal de Investigaciones publicó un anuncio de servicio público, Número de alerta del FBI I-091015-PSA , que advirtió sobre las posibles vulnerabilidades de los dispositivos de IoT y ofreció recomendaciones de defensa y protección al consumidor.

En agosto de 2017, el Congreso presentó la Ley de Mejora de la Ciberseguridad de IoT, que requeriría que cualquier dispositivo de IoT vendido al gobierno de los EE. UU. No use contraseñas predeterminadas, no tenga vulnerabilidades conocidas y ofrezca un mecanismo para parchear los dispositivos. Si bien está dirigido a aquellos fabricantes que crean dispositivos que se venden al gobierno, establece una línea de base para las medidas de seguridad que todos los fabricantes deben adoptar.

También en agosto de 2017, la Ley de Desarrollo de la Innovación y Crecimiento de la Internet de las Cosas (DIGIT) fue aprobada por el Senado, pero aún está a la espera de la aprobación de la Cámara. Este proyecto de ley requeriría que el Departamento de Comercio convoque a un grupo de trabajo y cree un informe sobre IoT, incluida la seguridad y la privacidad.

Si bien no es específico de IoT, el Reglamento general de protección de datos ( GDPR ), publicado en mayo de 2018, unifica las leyes de privacidad de datos en toda la Unión Europea. Estas protecciones se extienden a los dispositivos IoT y sus redes, y los fabricantes de dispositivos IoT deben tenerlas en cuenta.

En junio de 2018, el Congreso presentó la Ley sobre el estado de las aplicaciones modernas, la investigación y las tendencias de IoT, o Ley SMART de IoT, para proponer al Departamento de Comercio que lleve a cabo un estudio de la industria de IoT y proporcione recomendaciones para el crecimiento seguro de los dispositivos de IoT.

En septiembre de 2018, la legislatura del estado de California aprobó SB-327 Privacidad de la información: dispositivos conectados, una ley que introdujo requisitos de seguridad para los dispositivos IoT vendidos en el país.

En febrero de 2019, el Instituto Europeo de Normas de Telecomunicaciones lanzó el primer estándar aplicable a nivel mundial para la seguridad de IoT del consumidor, un aspecto que anteriormente no se había abordado a tal escala.

En diciembre de 2020, el presidente de EE. UU. En ese momento firmó la Ley de mejora de la seguridad cibernética de Internet de las cosas de 2020, que ordena al Instituto Nacional de Estándares y Tecnología que cree estándares mínimos de seguridad cibernética para aquellos IoT controlados o de propiedad del gobierno de los Estados Unidos.

La seguridad y los ataques de IoT varían

Los métodos de seguridad de IoT varían según su aplicación de IoT específica y su lugar en el ecosistema de IoT. Por ejemplo, los fabricantes de IoT, desde los fabricantes de productos hasta las empresas de semiconductores, deben concentrarse en incorporar la seguridad desde el principio, hacer que el hardware sea a prueba de manipulaciones, construir hardware seguro, garantizar actualizaciones seguras, proporcionar actualizaciones / parches de firmware y realizar pruebas dinámicas.

El enfoque de un desarrollador de soluciones debe estar en el desarrollo de software seguro y la integración segura. Para quienes implementan sistemas de IoT, la seguridad y la autenticación del hardware son medidas críticas. Asimismo, para los operadores, mantener los sistemas actualizados, mitigar el malware, auditar, proteger la infraestructura y salvaguardar las credenciales es clave. Sin embargo, con cualquier implementación de IoT, es fundamental sopesar el costo de la seguridad con los riesgos antes de la implementación.

Fuente: https://internetofthingsagenda.techtarget.com/definition/IoT-security-Internet-of-Things-security