Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo despertar a la empresa de las pesadillas de seguridad de la IoT

[15/02/2017] El mercado de la seguridad de la Internet de las Cosas (IoT, por sus siglas en inglés) alcanzará una valoración de 36,95 mil millones de dólares para el 2021, según señalan los datos de un informe de un analista de Marketsandmarkets.com. Donde el caos de la seguridad cibernética crece, fluye el dinero del mercado de la seguridad.

En el 2017, los expertos predicen que los grandes agujeros de seguridad de IoT conducirán a la destrucción de la infraestructura crítica, y a aumentos en la recolección de inteligencia competitiva y robos intelectuales de propiedad. Este 2017 será testigo de más ataques DDoS de la magnitud de aquel que derribó el servicio Dyn Domain Name System y muchos otros dominios web de alto perfil.

CSO se sumerge en las pesadillas de alta seguridad que provienen de la gran multiplicación, vulnerabilidad, capacidad, alcance y escala de la IoT; ofreciendo soluciones e ideas de investigadores, académicos y expertos en seguridad de IoT.

Una colección de las top cinco pesadillas de seguridad de IoT

Pesadilla No.1: Cinco millones de dispositivos nuevos de IoT añadidos diariamente equivalen a muchas y más nuevas vulnerabilidades de seguridad. Según Gartner, en el 2016, el mundo conectó 5,5 millones de cosas nuevas a Internet cada día. Mientras más dispositivos de IoT, más vulnerabilidades de seguridad, pues normalmente existen múltiples agujeros de seguridad por dispositivo, y más amplia será la superficie de ataque, ya que estos aparatos conectados están apareciendo por todas partes -señala Roberto Tamassia, Ph.D., master ejecutivo en ciberseguridad en la Universidad de Brown.

"Los factores que contribuyen a las vulnerabilidades de los dispositivos de IoT son los fabricantes de dispositivos, que no cuentan con una amplia experiencia en ciberseguridad; las limitaciones de energía y almacenamiento que limitan los mecanismos de seguridad disponibles: los complicados procedimientos de actualización de software; y la falta de conocimiento por parte de los usuarios sobre las amenazas de seguridad planteadas por estos dispositivos", explica Tamassia.

Pesadilla No.2: Los dispositivos de IoT son oportunidades muy atractivas y poderosas para los atacantes. La creciente cifra de productos de consumo de IoT fácilmente hackeados está causando una mayor probabilidad, frecuencia y gravedad de los escenarios de las pesadillas de seguridad de IoT, incluyendo ataques a datos empresariales, plantas y equipos, empleados y consumidores.

No es difícil para un atacante obtener el control de redes enteras a partir de un dispositivo de IoT comprometido entre la gran cantidad de usuarios vulnerables; el popular termostato NEST es un ejemplo. En el 2015, al acceder al mini puerto USB de NEST, los ingenieros de TrapX Security usaron una aplicación de spoofing ARP para falsificar la dirección ARP de la puerta de enlace de red, como parte de un ataque man-in-the-middle (MITM), señala Moshe Ben-Simon, cofundador de TrapX Security. Los hackers utilizan ataques MITM para aumentar el control de los sistemas en uno o ambos extremos de la comunicación, incluidas las redes empresariales.

Incluso si usted encuentra el termostato NEST en el hogar y no en la propiedad de la empresa cerca de las redes de la compañía, la enorme fuerza de trabajo remota y móvil asegura que el control de los hackers criminales de los sistemas informáticos domésticos, en última instancia, conduzcan a ataques en los sistemas corporativos a los que los empleados se conectan desde casa. Un hack de NEST es solo una de las formas en que los inocentes dispositivos IoT pueden abrir redes y organizaciones enteras al alto riesgo de ser comprometidos, de robos y quizás la interrupción de las operaciones en curso, anota Ben-Simon, antiguo CISO en Dexia-Israel Bank. Con el control de IoT en la casa o la empresa, los hackers no solo pueden robar datos; pero ponen en peligro la vida, las extremidades y las propiedades en el trabajo o fuera.

Pesadilla No.3: IoT es clave para desbloquear montañas de datos de consumidores privados, agregándolos a los objetivos de los hackers y los vectores de ataque, y permitiéndoles adivinar fácilmente las contraseñas comunes utilizadas por los principales objetivos empresariales, gubernamentales, militares, políticos y culturales; según Ryan Manship, director de prácticas de seguridad en RedTeam Security.

IoT recopila datos de los consumidores para ayudar a las empresas con el marketing dirigido mediante la construcción de una representación digital de las preferencias y características de cada consumidor, anota Manship. Los atacantes roban y combinan los diferentes datos para revelar los intereses y hábitos de los consumidores; y luego los utilizan para adivinar las contraseñas y respuestas a las preguntas de seguridad, para poder iniciar sesión en la empresa donde los empleados han reutilizado los mismos códigos de acceso, explica Manship, contribuyente al programa de entrenamiento SANS Securing The Human (STH).

Pesadilla No.4: El creciente acceso a SCADA y a los controles industriales a través de IoT hace posible una amplia devastación. Cuando IoT, como los sistemas de control industrial, se conectan a Internet, se vuelve extremadamente difícil proteger las utilidades y la infraestructura nacional contra los ataques.

Algunos ejemplos de esos ataques incluyen el reciente hackeo de una planta de energía ucraniana, lo que llevó a cortes de energía para decenas de miles de personas, menciona Ryan Spanier, director de investigación en Kudelski Security. "En este ataque, los hackers se enfocaron en el sistema de gestión de la infraestructura crítica para lograr la interrupción del servicio. Este es un ejemplo bastante pequeño de los problemas que un ataque a la infraestructura crítica podría desencadenar", indica Spanier.

Pesadilla No.5: Un IoT prevalente y, en gran parte, abierto hace que los ataques simultáneos de "Fire Sale" en cada agencia, servicio y utilidad, como se muestra en la película "Live Free o Die Hard", sean más fáciles que nunca. IoT hace posible que los hackers creen y utilicen botnets en una escala tan grande, que eliminar muchos tipos de infraestructura a la vez usando ataques DDoS se vuelve relativamente rutinario.

"Imagine que los atacantes utilicen entre un 10 y 15% de los dispositivos IoT de los Estados Unidos para formar un ataque DDoS para eliminar todo el tráfico de Internet en Wall Street", sugiere Ben-Simon, anteriormente de la Red de la Fuerza Aérea y Departamento de Seguridad de Israel.

La mitigación de los top cinco y muchos otros problemas de seguridad de IoT

Para el año 2020, Gartner espera que los 5.5 millones de dispositivos IoT conectados por día en el 2016 crezcan a 20,8 millones de dispositivos IoT en uso total. Existe poco que retrasa el avance de estos dispositivos.

Para salvaguardar ese hardware, las empresas primero deben considerar las ventajas de conveniencia y eficiencia frente a los riesgos, establecer políticas y procedimientos de seguridad que cubran cada tipo de dispositivo, e incluir un entrenamiento de seguridad de IoT en los programas de formación en seguridad para los empleados, anota Tamassia. Las tecnologías de seguridad basadas en el comportamiento y en IDS/IPS tendrán que envolver el mal comportamiento potencial de los dispositivos IoT.

Cuando una empresa instala y utiliza un dispositivo de consumo como un termostato NEST, necesitan implementar nuevos firewalls de segunda generación, permitir que solo se conecten direcciones IP específicas, aplicar seguridad de punto final de segunda generación, y usar tecnología de engaño, indica Ben-Simon. La aparición y repercusión de NEST y otros dispositivos en el hogar son más razones para educar a los empleados y aumentar la seguridad de sus conexiones y comunicaciones.

No importa cómo los atacantes adivinen las contraseñas y respuestas a preguntas secretas, el uso de autenticación adicional puede mantener los sitios seguros. Los métodos como el uso de PINs y el envío de códigos al correo electrónico del usuario para confirmar la identidad, son excelentes ejemplos. A medida que los enfoques para adivinar las contraseñas cambian, la empresa debe adaptarse. "Las empresas deben utilizar a los profesionales en seguridad para comprender los riesgos de las nuevas tecnologías, asegurar que su tecnología es actualizada continuamente (sin introducir nuevos riesgos) y actuar cuando nuevos riesgos son identificados", indica Manship.

Es un desafío asegurar los sistemas de control SCADA e industriales, pues estos tienden a ser sistemas cerrados sin siquiera la facilidad fundamental para los mecanismos de seguridad cibernética. "Como mínimo, las empresas deberían aislar estos sistemas en su red, monitorearlos de cerca y controlar el acceso", anota Spanier.

"Los sistemas de control industrial cuentan con requisitos de alta disponibilidad, lo que significa que el tiempo de inactividad para una actualización es inaceptable. En un mundo ideal, estos sistemas estarían mejorados con defensas de ciberseguridad de vanguardia, aisladas de Internet", señala Spanier, actual jefe del departamento de Threat Intelligence en GTRI.

En cuanto a la extinción de los incendios de fire sales, la seguridad de IoT contra su uso en ataques DDoS incluye la protección de los dispositivos asumiendo que la red es hostil, y la protección de la red asumiendo que los dispositivos son hostiles. Este enfoque se alinea con el modelo de seguridad menos confiable y sin privilegios.

Las organizaciones pueden mitigar a los hackers que agregan IoT a los botnets, mediante el aumento de la seguridad para las redes que contienen IoT. "Las agencias gubernamentales y las empresas necesitan examinar las soluciones de seguridad que funcionan dentro de la red corporativa. Las nuevas tecnologías que utilizan el engaño, permiten a las organizaciones identificar a los atacantes que ya están dentro de una red que cuenta con dispositivos IoT conectados", indica Ben-Simon.

La consideración de progresos adicionales hacia la protección de IoT

El futuro de IoT presenta desafíos de seguridad, pero también soluciones. Aquí hay tres recomendaciones sólidas de Tamassia, uno de los 360 autores científicos más citados por Thomson Scientific, Institute for Scientific Information (ISI):

* En primer lugar, la Comisión Federal de Comercio debe multar a las empresas que venden aparatos con poca seguridad, como puertas traseras, hasta que se hagan cargo y reparen sus productos.

* En segundo lugar, los legisladores deben redactar leyes que requieran que los aparatos IoT restauren periódicamente el software a su estado inicial. Este requisito eliminaría cualquier malware que lograra penetrar el dispositivo.

+ En tercer lugar, el nuevo hardware de IoT podría tener direcciones IPv6 en un rango restringido, facilitando a cualquier propietario de dominio, que esté bajo un ataque DDoS, que su ISP rechace todos los paquetes dirigidos desde dispositivos IoT.

David Geer, CSO (EE.UU.)