Especialización Gestión de Redes y Datos: "Proyecto de Aplicación"

Seguridad en el internet de las cosas (IoT)

Ataques y defensa

Sergio Stivens Cárdenas Valencia

Correo-e: sscardenasv@[Link]

Resumen:

1. Introducción Por lo anterior, uno de los mayores retos

para el IoT es la seguridad, al manejar grandes
En un mundo cambiante y día a día más
cantidades de información muy sensible, donde
actualizado, cada vez es más común escuchar
cualquier ataque en el que se manipulen los
hablar del internet de las cosas (IoT), término
elementos o el robo de la información puede
que hace referencia a objetos o dispositivos que
poner en riesgo hasta la integridad personal. Por
se conectan entre sí y comparten información a
esto la seguridad en el IoT es un aspecto
través de la internet.
fundamental, donde romper los sistemas y
El IoT permite que la vida cotidiana de las acceder a la red sin consentimiento debe ser
personas sea más sencilla, facilitando muchas de prácticamente imposible [2].
las tareas y actividades que a diario se realizan;
Para lograr la menor exposición al riesgo y
tales como intercambiar información, realizar
la mayor disminución de las vulnerabilidades,
compras, hacer pagos, y demás actividades que
en el internet de las cosas se utilizan algunos
anteriormente requerían de presencia física para
métodos de seguridad, los cuales están
ser realizadas [1].
centrados en los cuatro pilares de la seguridad
Por medio del internet de las cosas se de las comunicaciones que son disponibilidad,
encuentran conectados una cantidad enorme de autenticidad, integridad y confidencialidad [3];
dispositivos que están en constante distribución los cuales permiten la detección o la prevención
de información a través de la red, logrando con de ataques.
esto que la complejidad de la web aumente y
En el presente informe encontraremos
consigo los riesgos y vulnerabilidades a las que
en primera instancia los objetivos trasados,
se expone, creando así, la necesidad de
seguido el marco referencial en el que se
implementar las estrategias adecuadas con la
presentan los conceptos que soportan el trabajo;
finalidad de promover y garantizar la seguridad
mas adelante se encuentra el desarrollo donde se
de los usuarios, dispositivos e información.
describen las actividades realizadas para
alcanzar los objetivos mencionados. Y, por cualquier tipo de objeto concebible. Otra de las
último, aparece el análisis de resultados donde definiciones es simplemente [5] una interacción
se muestran las conclusiones a las que se llegó entre lo físico y lo digital, donde el mundo
con la realización del trabajo digital interactúa con el mundo físico usando
sensores y actuadores. Y también [6] abarca
2. Objetivos
desde pequeños sistemas localizados,
2.1 Objetivo General
registrados en una ubicación especifica hasta un
Realizar un análisis de los
gran sistema global distribuido compuesto por
métodos de seguridad utilizados en el
varios sistemas complejos.
internet de las cosas con la finalidad de
detallar sus principales características, Seguridad informática: es la
funcionamiento y beneficios. disciplina que se ocupa de diseñar las normas,
procedimientos, métodos y técnicas destinados a
2.2 Objetivos Específicos conseguir un sistema de información seguro y
2.2.1 Analizar la vulnerabilidad y confiable [7].
amenazas de los dispositivos
Ataque informático: consiste en
utilizados en IoT.
aprovechar alguna debilidad o falla
2.2.2 Mostrar los aspectos
(vulnerabilidad) en el software, en el hardware,
fundamentales de las buenas
e incluso, en las personas que forman parte de
prácticas en materia de seguridad
un ambiente informático; a fin de obtener un
para generar estrategias de control
beneficio, por lo general de índole económico,
y seguridad en el IoT que permitan
causando un efecto negativo en la seguridad del
mitigar riesgos.
sistema, que luego repercute directamente en los
2.2.3 Realizar pruebas que demuestren
activos de la organización [8].
el funcionamiento de algunas de
las técnicas utilizadas para Vulnerabilidad: característica o

implementar mecanismos de circunstancia de debilidad de un recurso

seguridad para el Iot. informático la cual es susceptible de ser

explotada por una amenaza [9].

3. Marco conceptual Riesgo: la probabilidad de que un

A continuación, se encuentras los evento nocivo ocurra combinado con su impacto
conceptos más relevantes que soportan en la organización [9].
el desarrollo del presente informe:
Amenaza: fuente o causa potencial de
eventos o incidentes no deseados que pueden
Internet de las cosas (IoT): Al resultar en daño a los recursos informáticos de
internet de las cosas se le han dado una la organización [9].
diversidad de definiciones por diferentes autores
Ciberseguridad: es la práctica de
entre las que encontramos, [4] el internet de las
proteger sistemas, redes y programas de ataques
cosas es un paradigma en el que la capacidad de
digitales. Por lo general, estos ciberataques
cómputo y computación están incrustadas en
apuntan a acceder, modificar o destruir la
información confidencial; Extorsionar a los la red aumente y consigo los riesgos y
usuarios o los usuarios o interrumpir la vulnerabilidades a las que se expone, Pues al
continuidad del negocio [10]. estar conectados a internet, muchos de los
dispositivos pueden pasar desapercibidos y
4. Desarrollo
podemos ignorar cuando, como, donde y quien
Con la finalidad de llevar a buen termino el puede estar recolectando que tipo de
desarrollo del presente informe, se realizaron información personal sin nuestro
dos etapas, la primera de ellas fue la etapa consentimiento.
investigativa, seguida de la etapa práctica.
El enorme tamaño del IoT hace que el
4.1 Etapa investigativa campo de acción para los ciberdelincuentes sea
extenso, de esta forma centran sus esfuerzos en
Esta primera etapa se realizó para encontrar
afectar el mayor número posible de dispositivos
cuales son los principales riesgos y
y de usuarios.
vulnerabilidades a las cuales están expuestos los
diferentes dispositivos IoT, y también así Hewlett Packar [12] para el año 2014
determinar cuáles son los métodos de seguridad encabezo un estudio en temas de seguridad para
que se implementan para disminuir la los dispositivos IoT más utilizados en la
inseguridad y evitar ser víctima de los ataques actualidad, donde se encontró que:
informáticos.
- 90% de los dispositivos analizados
4.1.1 Riesgos y vulnerabilidades IoT recolectan algún tipo de información
personal.
Cisco IBSG [11] estima que el IoT tuvo sus
- 70% de los mismos transmite
inicios en algún punto intermedio entre el 2008
información sin encriptación.
y el 2009, y desde ese entonces su acelerado
- 80% no requería al usuario contraseñas
crecimiento ha sido evidente, de ahí la cantidad
de longitud y/o complejidad adecuadas.
de dispositivos conectados actualmente que
- 60% presentaron vulnerabilidades en
como se pronosticó en la siguiente gráfica,
sus interfaces web.
superan la cantidad de habitantes en todo el
mundo. Las estadísticas anteriormente señaladas ponen
en frete un panorama no muy alentador, pues
deja en evidencia el enorme problema de
seguridad que se presenta en los dispositivos
IoT y aunque este estudio ya tiene alrededor de
unos seis años de realizado, en la actualidad se
sigue viviendo la misma situación. Puesto que
como lo revelan los Honeypost de Kaspersky
[13], han detectado que para el primer semestre
del año 2019 se realizaron un total de 105
Al tener tantos dispositivos interconectados
millones de ataques a dispositivos del internet
entre sí y compartiendo información
de las cosas, los cuales provenían de 276 mil
constantemente, se logra que la complejidad de
direcciones IP únicas.
 En este mismo estudio se revela el aumento Para dejar a un lado el tema de riesgos y
desenfrenado de los ataques a este tipo de vulnerabilidades, quiero mencionar una
dispositivos, mencionando que las cifras para el publicación realizada en la revista The Hacker
2019 fueron siete veces mayor que las News llamada Amnesia:33 — Critical TCP/IP
registradas para el 2018 durante el mismo Flaws Affect Millions of IoT Devices [15],
periodo. donde dejan en evidencia docena de fallas en
múltiples pilas de TCP/IP integradas y muy
Me parece importante mencionar el
utilizadas que afectan a millones de
proyecto de OWASP [14] (Open Web
dispositivos.
Application Security Project), un organismo sin
ánimo de lucro que tiene como función principal Amnesia: 33 es un conjunto de 33
detectar y combatir las casusas que hacen que vulnerabilidades que impactan a uLP, FNET,
un sistema sea inseguro; y de esta manera picoTCP y Nut/Net; cuatro pilas de protocolos
ayudar a los fabricantes, desarrolladores y TCP/IP y que son comúnmente utilizados en
consumidores a comprender mejor los internet de las cosas.
problemas de seguridad asociados a IoT y
Una gran cantidad de dispositivos de
ayudad a los usuarios a tomar las mejores
alrededor de 158 proveedores son vulnerables a
decisiones de seguridad al momento de crear,
Amnesia: 33, donde el atacante tiene la
implementar o evaluar tecnologías IoT.
posibilidad de tomar completamente el control
OWASP IoT top 10 es una lista de las 10 del dispositivo y encontrar en el un punto de
principales vulnerabilidades de IoT publicada acceso a la red.
con el fin de ayudar a las organizaciones y
4.1.2 Ataques a IoT más comunes
personas a evaluar el riesgo aceptable y a tomar
En este orden de ideas, los ataques más
una decisión informada sobre el lanzamiento o
presentados a dispositivos IoT son:
la compra de un producto. A continuación, se
lista la publicación para el año 2018: Denegación de servicios distribuidos
(DDos), donde a nivel empresarial esta técnica
- Contraseñas débiles adivinables o
es utilizada con el propósito de determinar hasta
codificadas
qué punto funciona de forma correcta un
- Servicios de red inseguros
dispositivo; pero los ciberdelincuentes la usan
- Interfaces de ecosistemas inseguras
para logras sus cometidos como lo son el robo
- Falta de un mecanismo de
de información y daño de dispositivos de red
actualización seguro
generando flujo de información desde diferentes
- Uso de componentes inseguros u
puntos de conexión hacia un solo punto.
obsoletos
- Protección de privacidad insuficiente Por otra parte, el espionaje y la vigilancia
- Transferencia y almacenamiento de es otra de las modalidades de ciberataques a
datos inseguros entornos IoT, donde lo que se busca es ingresar
- Falta de gestión de dispositivos a la red y tener acceso a la información que por
- Configuración predeterminada insegura allí transita, un claro ejemplo de esto es el
- Falta de endurecimiento físico
acceso a cámaras de seguridad para realizar medidas que se deben implementar, con esto se
espionaje. minimiza la probabilidad de ataques de fuerza
bruta o accesos indebidos.
El ransomware por su parte, consiste en el
secuestro de la información e impedir al usuario Limitar los servicios en cada dispositivo
acceder a ella y así pedir recompensa para para lograr una menor exposición, consiste en
regresarla. También encontramos la técnica de desactivar todos aquellos servicios que no serán
la fuerza bruta donde se intenta acceder a los utilizados.
dispositivos probando contraseñas genéricas y
Actualizar los dispositivos para evitar
más utilizadas [16].
ataques por servicios vulnerables, al instalar un
El Spam es otro de los peligros presentes dispositivo no nos podemos conformar con que
en el mundo IoT ya que puede suponer riesgos está funcionando adecuadamente, debemos de
importantes para la seguridad, donde se pueden estar atentos a las actualizaciones de firmware
presentar links maliciosos, malware, entre otros. del fabricante.

La Fuerza bruta es una técnica muy Control de accesos indebidos mediante

utilizada por los atacantes para acceder y tomar vulnerabilidades en las interfaces web o cloud
el control de los dispositivos, esto lo logran de los dispositivos, esta medida tiene el
probando contraseñas genéricas o más utilizadas propósito de impedir ataques de inyección de
para comprometer la seguridad de las víctimas código con el que se compromete el dispositivo
[17]. y el control del mismo

4.1.3 Medidas de seguridad y buenas Correcto aislamiento de los dispositivos

practicas para intentar evitar la alteración de las
mediciones realizadas o el tráfico del
Como ya lo vimos anteriormente, ante un
dispositivo.
escenario inseguro se está expuesto a grandes
amenazas ya que en el exterior hay personas Segmentación Para poder controlar
mal intencionadas en la búsqueda constante de adecuadamente estos activos, deben estar
puertas abiertas por la cuales puedan realizar configurados en su propia red aislada. Esto
ataques y aprovecharse de nuestro sistema; esto facilitará la tarea de llevar un mejor control de
crea la necesidad de implementar las estrategias los mismos y protegerse ante eventuales ataques
adecuadas con la finalidad de promover y o filtraciones de datos, al poder desconectar o
garantizar la seguridad de los usuarios, bloquear el tráfico adecuadamente.
dispositivos e información.
Monitorización Debe llevarse un control
A continuación, encontraremos algunas de del tráfico para detectar anomalías en base al
las técnicas y las buenas prácticas para evitar ser comportamiento y el intercambio de indicadores
víctima del cibercrimen y mantener los de compromiso, así como la detección de
dispositivos asegurados [18]: nuevos dispositivos en la red no autorizados.

Modificación de contraseñas por defecto Estudio de los dispositivos a

en los dispositivos, ésta es una de las primeras implementar, Es primordial que el dispositivo
seleccionado provenga de proveedores
conocidos y con cierto soporte, lo cual evitará
posteriores quebraderos de cabeza al no
obtenerse las actualizaciones adecuadas o ser
vulnerables de serie a cualquier tipo de ataque

Estas solo son algunas de las medidas que

resultan necesarias implementar para asegurar
nuestro entorno IoT y tratar de estar a salvo de Una vez se ingresó se buscó tomar el
las manos de los ciberdelincuentes o por lo control de la cámara, pero al intentar
menos no dejarles el trabajo fácil. administrarla si pidió credenciales de acceso.

Cámara de seguridad hotel schuttershof

4.2 Etapa practica
El hotel schuttershof se encuentra
ubicado en Schladming un pueblo turístico de
Austria, el cual cuenta con cámaras de
Para esta etapa se buscaron distintos
seguridad a las que se logró acceder al encontrar
dispositivos a través de internet y se intentaron
que su contraseña por defecto no había sido
acceder y de esta forma probar si
modificada.
implementaban métodos de seguridad que
impidieran el acceso no autorizado, los
resultados se evidencian a continuación.

Cámara IP Pereira

En primera instancia se logro el acceso a

una cámara IP ubicada en la ciudad de Pereira al
interior de una vivienda, la cual no pedía
usuario ni contraseña para ingresar a ella por lo
que se encuentra abierta a cualquier persona.

En este caso, se obtuvo total control de

las cámaras permitiendo cambiar de una a otra y
realizar movimientos ya que contaban con
rotación y zoom. En las imágenes se pueden ver
las afueras del hotel y al fondo la vista de todo
el pueblo.

Droidcam

Esta es una aplicación que permite

conectar los smartphones a los computadores y
de esta forma utilizar la cámara del celular como Sistemas de monitoreo
una webcam, un método muy útil pero muy
En la búsqueda de los dispositivos se
arriesgado ya que al parecer esta aplicación no
encontró la posibilidad de acceder a un sistema
cuenta con métodos de seguridad robustos y de
de monitoreo de energía en Brasil, el cual
esta forma nuestra privacidad puede estar al
muestra estadísticas en tiempo real y permitía
alcance de cualquiera.
acceder a los evento y alarmas disparadas, así
Lo anterior lo digo en base a lo como a la configuración.
encontrado en esta etapa práctica, donde fue
posible detectar cámaras abiertas en internet que
estaban siendo utilizadas con esta aplicación.

Y, por otra parte, se obtuvo acceso a un sistema

de monitorización solar llamado Solar-Log,
donde permitía ver el monitoreo en tiempo real
y los eventos ocurridos en distintos periodos de
tiempo, pero al querer ingresar a la parte de
administración solo citaba contraseña para
poder acceder, lo que indica que una parte
importante del sistema se encuentra protegida
por control de acceso

Las anteriores imágenes muestran

como podemos creer estar tranquilos y seguros
al interior de nuestros hogares sin pensar en que
alguien puede estar viendo lo que hacemos a
través de la cámara de nuestro celular y esto
puede ser aprovechado con fines
delincuenciales.
Impresora RICOHSP C842DN Por último, la siguiente imagen parece
pertenecer a un balanceador de carga, el cual
Se logro el acceso a una interfaz de una
tiene como función distribuir el tráfico de una
impresora de la marca Ricoh, en esta se podía
red o de una aplicación a varios servidores y así
visualizar información como la cola de
aumentar la capacidad de procesamiento. Pero
impresión, nivel de tinta, mensajes de alertas y
una vez más, esta información no puede ser
se podía acceder a la configuración de
confirmada.
impresión.

Otros dispositivos
Gran parte de esta etapa se realizó
Para finalizar esta parte práctica quiero gracias a Shodan [19], una pagina web que
dejar evidencia del acceso que se tuvo a otros cuenta con un potente buscador de dispositivos
dispositivos pero que no fueron posible conectados a internet y permite identificar
identificarlos. cuáles son las vulnerabilidades que disponen
dichos dispositivos. Otra de las paginas
utilizadas fue insecam [20], donde se tiene
disponible una gran cantidad de cámaras
abiertas y de libre acceso.

También se utilizaron comandos de

búsqueda avanzada en Google Dorks para filtrar
las búsquedas y poder acceder a los
dispositivos.
la anterior imagen parecía corresponder
a fotografías del espacio, aunque por falta de
evidencias esto no se puede afirmar, pero al
acceder al sistema se tiene toda posibilidad de
navegar en el con toda libertad
 5. Análisis de resultados la inseguridad en el mundo de las
tecnologías, y para este coso especifico en el
Con la realización del presente trabajo he
Internet de las Cosas no es un tema nuevo, pues
podido llegar a la conclusión de que el Internet
es un problema al que siempre ha tocado hacer
de las cosas es una realidad presente en nuestras
frente; por esta razón es necesario estar atento a
vidas, que su campo de aplicación es extenso y
la información referente a temas de seguridad y
cada vez son mas los dispositivos que
mantener actualizado sobre los mecanismos que
componen esta tecnología aumentando así las
nos mantienen seguros.
amenazas, los riesgos, las vulnerabilidades y el
campo de acción de los ciberdelincuentes.

De la parte investigativa vale la pena

mencionar que las amenazas y los riegos están
presentes, unos mas evidentes que otros, pero, al
fin y al cabo, siempre buscan causar daño a
nuestro entorno IoT;

pero como no todo es malo, la parte

alentadora es que las medidas y buenas prácticas
de seguridad están establecidas y al alcance de
todos, ya corresponde a cada parte interesada en
protegerse ponerlas en acción y de esta forma
poner una barrera solida entre el exterior y los
sistemas IoT que permitirá que la información
este a salvo.

Pasando a la parte práctica, me sorprende la

forma en la que las organizaciones y las
personas se tranquilizan con respecto a los
temas de seguridad y no prestan atención a este
asunto tan importante, pues como pudimos
observar en las evidencias, existe una enorme
cantidad de dispositivos a los que se pueden
acceder fácilmente ya que en estos no se han
implementado mecanismos de defensa.

Lo anterior puede llegar a comprometer

nuestra información personal e incluso nuestra
integridad física, ya que en el mundo virtual
existen personas malintencionadas que buscan
aprovecharse de las vulnerabilidades presentes
en el medio.
Referencias
[1] Rios, B., y Butts, J. (2016). Security [Link]
Evaluation o f the Im plantable Cardiac D ev SP_Internet_of_Things_Project
ice E cosystem A rchitecture and Im plem
entation Interdependencies. WhiteScope, 12(4), [15]Lakshmanan, R. (09 de 12 de 2020).
15-77. Amnesia:33 — Critical TCP/IP Flaws
Affect Millions of IoT Devices.
[2] Bartual, Ó. P. (2018). Análisis y Obtenido de The Hacker News :
parametrización de la seguridad. Valencia. [Link]
nesia33-critical-tcpip-flaws-
[3] E. Zabalo, “Estudio del estado del arte en [Link]?utm_source=feedburner&u
estándares y certificación en materia de tm_medium=feed&utm_campaign=Fee
seguridad cibernética aplicada a d%3A+TheHackersNews+%28The+H
industria 4.0 e IOT”, Tesis de grado, ackers+News+-
Universidad del país vasco, 2019. +Cyber+Security+Blog%29&_m=3n.0
[4] I. Peña-Lpez, Itu Internet Report 2005: The 09a.2373.sy0ao0ds61.1hvl

Internet of Things,2005. [16]A. C. Morales-Suárez, S. S. Díaz-Ávila, M.

A. Leguizamón-Páez, “Mecanismos de
[5] O. Vermesan, P. Friess, P. Guillemin et al.,
seguridad en el internet de las cosas”. Revista
"Internet of things strategic research roadmap,"
Vínculos: Ciencia, Tecnología y Sociedad, vol.
in Internet of Things: Global Technological and
16, no. 2, julio-diciembre de 2019, pp. 288-297.
Societal Trends, vol. 1, pp. 9-52, 2011.
DOI: 10.14483/2322939X.15758
[6] IEEE Internet Initiative, Towards a
definition of the Internet of Things [17] Jiménez, J. (2020). Ataques más comunes a
(loT), Issue 1- Published 13 MAY los dispositivos IoT. Redes Zone.
2015. [18] Mesa, J. (2019). Escenarios de ataque y
[7] López, P. A. (2009). Seguridad informática. protección. tendencias 2019, 18-19.
Washington. [19] Shodan. (2013). Shodan. Obtenido de
[8] Mieres, J. (2009). Ataques informáticos. [Link]

[9] Zambrano, S. Q., & David, M. V. (2017). [20] insecam. (s.f.). Obtenido de
Seguridad en informática: consideraciones. [Link]
Revista Científica, 680.

[10] CISCO. (s.f.). Obtenido de ¿Qué es la

ciberseguridad?:
[Link]
ty/[Link]

[11] Evans, D. (2011). Internet de las cosas

Cómo la próxima evolución de Internet lo
cambia todo. Cisco Internet Business Solutions
Group (IBSG).

[12] HP: Internet of things research study.

([Link]
Research_Study.pdf)

[13] Seguridad, R. C. (2019). Más de 100

millones de ataques en dispositivos IoT
en 2019. Cuadernos de Seguridad.

[14] WIKI OWASP. (18 de noviembre de

2019). Obtenido de