Vulnerabilidad de la tecnología IoT

Tecnologías de la Digitalización PM-104

05/12/2020
20000529 Luz Eréndira Arenas Escobedo
La tecnología IoT nos dota de muchos beneficios a cambio del acceso a el
almacenamiento, análisis de nuestra información y una conexión a internet para
poder funcionar; sin embargo, aunque manejen información que solo a nosotros
podría importarnos y que a nadie más podría servir, la IoT peligra de sufrir
ciberataques que no solo afecten de forma negativa en su entorno digital al
usuario, sino también el físico.
Los daños a los que puede estar vulnerable un dispositivo IoT son los siguientes:
Los ataques de ciberseguridad de Amenazas para su infraestructura de
IoT pueden amenazar: IoT
Los procesos: amenazas para los Suplantación de identidad, revelación
procesos que estén bajo su control, de información
como servicios web, y amenazas de
entidades externas, como usuarios y  Un atacante puede manipular el
fuentes satélite, que interactúan con el estado de un dispositivo de forma
sistema pero que no están bajo el anónima.
control de la aplicación.  Un atacante puede interceptar o
invalidar parcialmente la difusión
y suplantar al autor (denominado
con frecuencia ataque de tipo
Man in the middle o MitM).
 Un atacante puede aprovechar la
vulnerabilidad de dispositivos con
 recursos limitados o con una
finalidad específica. Estos
dispositivos suelen tener
seguridad de tipo uno para todos,
como la protección con
contraseña, PIN o una clave
compartida de red. Cuando se
descubre el secreto compartido
para acceder al dispositivo o la
red (PIN, contraseña o clave de
red compartida), se puede
controlar el dispositivo u observar
los datos que emite.

La comunicación, también denominada Alteraciones

flujos de datos: amenazas en torno a
las vías de comunicación entre  Un atacante puede alterar
dispositivos, entre dispositivos y cualquier dispositivo físico, desde
puertas de enlace de campo, y entre el drenaje (o descarga profunda)
dispositivos y la puerta de enlace en la de una batería hasta ataques de
nube. generador de números aleatorios
(RNG) que se llevan a cabo
congelando los dispositivos para
reducir la entropía.
 Un atacante puede reemplazar
total o parcialmente el software
que se ejecuta en el dispositivo y
quizá permitir que el software
reemplazado use la identidad
genuina del dispositivo si el
material clave o las instalaciones
criptográficas que contienen
materiales clave estaban
disponibles para el programa
ilícito.

El almacenamiento: amenazas para Revelación de información

colas de datos temporales, sistemas
operativos (SO) y almacenamiento de  Un atacante puede interceptar
imágenes. una difusión y obtener
información sin autorización, o
bien puede bloquear la señal de
difusión y denegar la distribución
de la información.
 Un atacante puede interceptar o
invalidar parcialmente la difusión
 y enviar información falsa.

Denegación de servicio

 Un dispositivo puede resultar

inutilizado para funcionar o
comunicarse creando
interferencias con las frecuencias
de radio o cortando los cables.
Por ejemplo, una cámara de
vigilancia a la que se le ha
cortado intencionadamente la
conexión de red o eléctrica no
puede notificar datos.

Elevación de privilegios

 Un dispositivo que hace una

función específica se puede
forzar para que haga otra
diferente. Por ejemplo, se puede
obligar a una válvula programada
para abrirse a la mitad a abrirse
completamente.

Es prioritario que la seguridad no sea considerada como algo extra, sino algo en
conjunto. Cuando se piensa a utilizar tecnología IoT es necesario pensar cómo
proteger su seguridad y la de los usuarios después de la instalación. Hay
recomendaciones que un propietario de dispositivos con conocimiento básico de
ciberseguridad puede llevar a cabo por su cuenta, pero esto no puede suplir la
intervención de un especialista en seguridad que ofrecen los servicios de los
proveedores de la red IoT, así que es mejor solicitar asesoría.
He aquí un listado de que se tiene que contemplar para establecer una buena
protección:

Interfaz web insegura

 Evalúa cualquier interfaz web para determinar si se permiten contraseñas

débiles
 Evaluar el mecanismo de bloqueo de cuenta
 Evalúa la interfaz web sobre vulnerabilidades XSS, SQLi y CSRF y otras
vulnerabilidades de aplicaciones web
  Evaluar el uso de HTTPS para proteger la información transmitida
 Evaluar la capacidad de cambiar el nombre de usuario y la contraseña
 Determinar si los firewalls de las aplicaciones web se utilizan para proteger
las interfaces web

Autenticación / Autorización insuficiente

 Evaluar la solución para el uso de contraseñas seguras donde se necesita

autenticación
 Evaluar la solución para entornos multiusuario
 Evaluar la solución para la autenticación de dos factores de implementación
cuando sea posible
 Evaluar mecanismos de recuperación de contraseña
 Evalúa la solución para las contraseñas seguras
 Evalúe la solución para la opción de forzar la caducidad de la contraseña
después de un período específico
 Evaluar la solución para el nombre de usuario y la contraseña
predeterminados

Servicios de red inseguros

 Evaluar la solución para garantizar que los servicios de red no respondan

mal a los ataques de desbordamiento de búfer, fuzzing o denegación de
servicio
 Evaluar la solución para asegurarse de que los puertos de prueba estén
presentes

Falta de encriptación

 Evaluar la solución para determinar el uso de la comunicación cifrada entre

dispositivos e Internet
 Evaluar la solución para determinar si las prácticas de cifrado se utilizan y si
se evitan los protocolos de propiedad
 Evaluar la solución para determinar si una opción de firewall está disponible

Preocupaciones de privacidad

 Evaluar la solución para determinar la cantidad de información personal

recopilada
 Evaluar la solución para determinar si los datos personales recopilados
están debidamente protegidos
 Evaluar la solución para determinar si los datos de aseguramiento se
desidentifican o se anonimizan
  Evaluar la solución para garantizar que los usuarios finales tengan la opción
de recopilar datos más allá de lo necesario para el funcionamiento correcto
del dispositivo

Interfaz Cloud insegura

 Evaluar las interfaces Cloud sobre vulnerabilidades de seguridad (por

ejemplo, interfaces API e interfaces web basadas en cloud)
 Evaluar la interfaz web cloud para garantizar que no se permiten
contraseñas débiles
 Evaluar la interfaz web Cloud para garantizar un mecanismo de bloqueo de
cuenta
 Evaluar la interfaz web basada en cloud para determinar si se utiliza la
autenticación de dos factores
 Evaluar cualquier interfaz cloud para las vulnerabilidades XSS, SQLi y
CSRF y otras vulnerabilidades
 Evaluar todas las interfaces cloud para garantizar que se utiliza el
transporte cifrado
 Evaluar las interfaces cloud para determinar si la opción es fuerte
 Evaluar las interfaces cloud para determinar si la opción para forzar la
caducidad de la contraseña después de un período específico está
disponible
 Evaluar las interfaces cloud para determinar si el nombre de usuario y la
contraseña predeterminados están disponibles

Interfaz móvil insegura

 Evaluar la interfaz móvil para asegurar que no permite contraseñas débiles

 Evaluar la interfaz móvil sobre el mecanismo de bloqueo de cuenta
 Evaluar la interfaz móvil para determinar si implementa la autenticación de
dos factores (por ejemplo, Touch ID de Apple)
 Evaluar la interfaz móvil para determinar si usa cifrado de transporte
 Evaluar la interfaz móvil para determinar si la opción de requerir
contraseñas seguras está disponible
 Evaluar la interfaz móvil para determinar si la opción para forzar la
caducidad de la contraseña después de un período específico está
disponible
 Evaluar la interfaz móvil para determinar si el nombre de usuario y la
contraseña predeterminados están disponibles
 Evaluar la interfaz móvil para determinar la cantidad de información
personal recopilada

Insuficiente configurabilidad de seguridad

  Evaluar la solución para determinar si las opciones de seguridad de
contraseñas (por ejemplo, Habilitar contraseñas de 20 caracteres o habilitar
la autenticación de dos factores) están disponibles
 Evaluar la solución para determinar si las opciones de encriptación (por
ejemplo, Habilitación de AES-256 donde AES-128 es la configuración
predeterminada) están disponibles
 Evaluar la solución para determinar si los eventos de seguridad están
disponibles
 Evaluar la solución para determinar si las alertas y las notificaciones están
disponibles

Software / Firmware inseguro

 Evaluar el dispositivo para asegurarse de que ha descubierto

 Evaluar el dispositivo para asegurarse de que utiliza archivos de
actualización encriptados y que los archivos se transmiten mediante cifrado
 Evaluar el dispositivo para garantizar que los archivos firmados y luego
valida ese archivo antes de la instalación

Mala seguridad física

 Evaluar el dispositivo para asegurarnos de que utiliza una cantidad mínima

de puertos físicos externos (por ejemplo, puertos USB) en el dispositivo
 Evaluar el dispositivo para determinar si se puede acceder a él a través de
métodos no intencionados, como un puerto USB innecesario
 Evaluar el dispositivo para permitir la desactivación de los puertos físicos no
utilizados, como USB
 Evaluar el dispositivo para limitar la capacidad de limitar

Recomendaciones para todas las interfaces de usuario

 Garantiza que las cuentas de usuario válidas no puedan ser identificadas

por mensajes de error
 Garantizar que las contraseñas seguras son requeridas por los usuarios
Implementando el bloqueo de la cuenta después de 3-5 intentos fallidos de
inicio de sesión
La tecnología IoT amplía el terreno de inseguridad cibernética al que ya se estaba
acostumbrado a tratar y solucionar debido a que ahora también puede causar
daños físicos a quien usa estos servicios; por ejemplo, apagar el monitor de
cuidado de una persona de la tercera edad o de un bebé y que los usuarios no
reciban alertas si estos necesitan atención.
Por esto mismo se tiene que tomar muchas más cosas en cuenta para lograr la
aplicación de la seguridad, como acudir a especialistas que ofrecen los
proveedores de la redes IoT, la fragmentación o heterogeneidad de dispositivos
(que la comunicación de los dispositivos se rija por diferentes protocolos), la
conexión con tecnología operacional de gran utilidad y los desafíos que presenta
la seguridad de los dispositivos heredados (los dispositivos que se diseñaron
antes de la existencia de la IoT y que son vulnerables por que no se han
fortalecido). De no ser así el usuario corre el riesgo de que se atente contra la
ciberseguridad y la infraestructura de sus dispositivos IoT y su información
personal o de los clientes de su empresa.

Fuentes de investigación:
https://azure.microsoft.com/es-mx/overview/internet-of-things-iot/iot-security-
cybersecurity/
https://ciberseguridad.blog/recomendaciones-de-ciberseguridad-en-iot/