1

tecnología, se ha reconocido la importancia de los dispositivos

Parcial Final: “Hacking ético para tecnológicos, lo que ha llevado a la creación del término
IoT: problemas de seguridad, retos, “Internet de las cosas”, que se refiere a una red de dispositivos
y tecnologías conectados que facilita la comunicación entre los
soluciones y recomendaciones” mismos [1]. No obstante a pesar de la cantidad de uso que se
Natalia Abril Gutiérrez (64301) le da a este tipo de tecnología, aun así tiene muchos vacíos al
respecto, entre uno de esos se encuentra la seguridad deficiente
al enfrentarse a ataques cibernéticos, a pesar de todas las
Universidad San Buenaventura Cali. alertas reportadas al respecto, en lugar de decrecer las cifras,
han aumentado a lo largo de los años. Es decir, cada día se ven
Resumen— La ciberseguridad es uno de los temas más más ejemplos en los que el software malicioso conoce más las
relevantes al momento de hablar de internet de las cosas(IoT) vulnerabilidades de lo que desea atacar, reconoce los vacíos
tratamiento de datos, privacidad, en los aplicativos tecnológicos, a
nivel de ingeniería un objetivo es preservar estos datos seguros,
estructurales entre estas comunicaciones para realizar
sin embargo, en ocasiones por malas prácticas éticas es inevitable conductas poco éticas al respecto. En el desarrollo del
que este tipo de casos se presenten, adicional a esto, uno de los documento se busca explorar diferentes causas relacionadas
años en que se ha visto más cambios es el 2021. Respecto a ello se con el tema de la seguridad informática, como por ejemplo:
ha realizado un estudio estadístico y un análisis de proximidad, Vulnerabilidades, falta de pruebas, desconocimiento por parte
donde se estima que para el año 2025 esta cifra habrá aumentado de los trabajadores, la importancia de búsqueda de soluciones,
en casi 40 mil millones de casos. Es evidente que la continuidad en
que se presenten estos casos pueden llegar a traer consecuencias
enfatizar en que las malas prácticas como la piratería, conocer
tales como: Afectaciones en sistemas IoT cercanos. Una de las los niveles de seguridad, entre otros.
soluciones propuestas es ejecutar pruebas de penetración, sin
embargo, para las IoT existe una gran variedad de estos II. IOT: ANTECEDENTES Y VISIÓN GENERAL
dispositivos, por lo que a manera de prevención de estos ataques
cibernéticos se espera ejecutar este tipo de pruebas en un periodo
de tiempo prudente y establecido. En el presente informe, se Así como se mencionó anteriormente, a fines de estudio se
sintetizan algunos capítulos del documento titulado “Ethical permitió realizar casos simulados acerca de ataques
hacking for IoT: Security issues, challenges, solutions and cibernéticos, respecto a ello, es importante conocer que las IoT
recommendations”. En dicho documento se abordan diversas son utilizar transferencias de datos, los cuales pueden contener
vulnerabilidades, se analizan distintas técnicas y métodos, y se información privilegiada, por lo que es crucial mantenerlos
exploran prácticas incorrectas mediante ataques simulados, con el
fin de plantear posibles soluciones a esta problemática.
protegidos, sin embargo, esto no los hace exentos de posibles
ataques de hackers.[2]
Palabras clave—Ciberseguridad, IoT, pruebas,
vulnerabilidades Una vez definido esto, se ejecutó un simulacro de hacking
ético tratando de tener la mayor cobertura en los diferentes
Abstract— Cybersecurity is one of the most relevant issues tipos de IoT, por lo que se buscó un equilibro entre el costo
when talking about the Internet of Things (IoT) data processing, invertido tanto en tiempo como en dinero, y de calidad de las
privacy, in technological applications, at the engineering level one pruebas que se procedieron. Se reconoció que en IoT que
goal is to preserve this data safe, however, sometimes due to bad
contienen información gubernamental que involucra a toda la
ethical practices it is inevitable that this type of case will occur, in
addition to this, one of the years in which we have seen the most población, los cuales involucran: IoT policial, militar, son más
changes is 2021. In this regard, a statistical study and a proximity propensos a sufrir de estos episodios, a lo cual es necesario
analysis have been carried out, in which it is estimated that by tomar medidas preventivas dado que como se presentó
2025 this figure will have increased by almost 40 billion cases. It is anteriormente estos contienen información que en manos
clear that the continuity in which these cases are presented can equivocadas puede generar graves consecuencias. Con esto se
lead to consequences such as: Affectations in nearby IoT systems.
identificaron los IoT que es pertinente tomar medidas de
One of the proposed solutions is to run penetration tests, however,
for the IoT there is a wide variety of these devices, so as to prevent aseguramiento de información: Médicos, Industriales, Control
these cyber attacks it is expected to run this type of tests within a de Tráfico, Agrícolas, Bancarios y Financieros, Robótico,
prudent and established period of time. The present report Instalaciones Militares, Policía y Aplicación de la Ley.
synthesizes some chapters of the paper entitled “Ethical hacking
for IoT: Security issues, challenges, solutions and También, se establece que la mayoría de amenazas
recommendations”. The paper addresses various vulnerabilities,
provienen del mismo lugar, junto al hecho de que es posible
analyses different techniques and methods, and explores bad
practices through simulated attacks, in order to propose possible que utilicen vulnerabilidades que ya se encuentran previamente
solutions to this problem. desarrolladas o siendo el caso, el hacker puede implementar su
propia vulnerabilidad. Es por ello, que es clave llevar a cabo un
Keywords—Cybersecurity, IoT, testing, vulnerabilities hacking ético, el cual va a beneficiar al sistema, es decir, va a
ayudar a reconocer cuáles son las falencias del mismo y
I. INTRODUCCIÓN encontrar una solución antes de atravesar un episodio que deje
consecuencias irreparables.
En la actualidad, gracias al aumento de la usabilidad de la Adicionalmente, se menciona que es fundamental conocer el
 2

o los motivos por los cuales el hacker está realizando esos sistemas.
ataques, puesto que gracias a esto nos podemos hacer una idea ❖ Análisis de tráfico: Los hackers realizan un estudio
de qué persona puede haberlo implementado o cuál será su de los previos hackeos registrados, para asi ver que
siguiente paso. Entre los principales objetivos se reconoce: implementar o mejorar al respecto.
Económicos, Financieros, Personales, Políticos. ❖ Ciberespionaje: Se presenta el caso famoso de
Stuxnet que trato de interceptar redes nucleares en
III. ATAQUES CIBERNÉTICOS DIRIGIDOS A IOT Irán.
❖ Ciberterrorismo: Este se encarga de implantar terror
Con la intencionalidad de seguir el desarrollo de este a través de las IoT interceptadas.
documento, se realizaron distintos estudios acerca los ❖ Ciber guerra: Como se menciona en su nombre se
diferentes ataques que se pueden presentar y se encontró una conoce a este término como una disputa de
categoría principal la cual es titulada como ataques web[3]: información.

❖ Secuestro de cookies: Este, consta obtener el “cookie Este tipo de ataques tienen diversos públicos objetivos, esto
mágico”, que se utiliza para autenticar a un usuario en se basa en un estudio exhaustivo acerca de cuál de los
un servidor remoto y verificar su identidad. mencionados (E incluso otros que no necesariamente fueron
❖ Ataques basados en CoAP: Se emplea en redes y mencionados) es aproximado a la misión del ataque se desea
dispositivos de Internet de las cosas restringidos para proceder. Entre estos objetivos se ven envueltos:
permitir la comunicación con ancho de banda y Organizaciones de carácter nacional o internacional, bancos,
disponibilidad reducida. empresas públicas o privadas, Gobiernos, hospitales.
❖ Ataques basados en DTLS: Se usa para gestionar la
reestructuración de paquetes, la pérdida de datos y el Una de las medidas de prevención a este tipo de procesos es
manejo de datos que superan el tamaño máximo de un alta capacitación a los empleados para saber identificar este
paquete de datagramas de red. tipo de patrones y no caer en posibles estafas, para que ellos
❖ Secuestro de sesiones: Se presenta cuando el hacker conozcan que hacer en estos casos, el debido proceso y las
desa robar información como la contraseña de un posibles consecuencias de una mala decisión basada en la
usuario. desinformación.
❖ Ataques de suplantación: Se dirige a redes y
dispositivos con medidas de autorización inadecuadas, IV. EVENTOS REALES RELACIONADOS CON
con una identidad falsa en la red para obtener acceso a IOT
datos personales.
❖ Desbordamiento de búfer: Se reconoce como casos A manera de referencia, se toman en cuenta algunos casos
en donde se provoca irregularidades en el código. que se consideran relevantes para el estudio, entre estos están:
❖ Ataques de inyección de código malicioso: Se
realiza en aplicaciones que no se encuentran ❖ Incidente de Adobe Flash: Se presentaron ataques
correctamente fundamentadas. cibernéticos en 2 épocas, inicialmente en 2013, donde
❖ Ataques de inyección de SQL: Consiste en querer se infiltraron a su seguridad, seguidamente en 2015 se
alterar las bases de datos y este se adapta según las presentaron nuevamente, de las cuales se identificó:
necesidades del hacker. CVE-2015-5119, CVE-2015-5122 y CVE-2015-5123.
❖ Cross-Site Scripting (XSS): Consiste en que los ❖ Incidente de Brecha de Datos de Equifax: Se
hackers añaden código no ético a aplicaciones web presentaron ataques cibernéticos en 2017, donde se
que suelen ser frecuentes a los usuarios. De esta identificó la vulnerabilidad CVE-2017-5638, la que
manera se permite el robo de diferentes tipos de datos. aprovecho una falla de seguridad, para acceder a los
❖ Ataque de intermediario (Man-in-the-Middle): servidores web de Equifax.
Hace relación cuando se hacen pasar por el último ❖ Incidentes de Variantes de Exploit - CVE: Se
paso de la plataforma, para que así interceptar y presentaron ataques cibernéticos en 2020 donde las
engañar la comunicación de 2 o más partes. variantes de CVE atacaron a Microsoft que
❖ Reproducción: Se encuentra relacionado con el afortunadamente logró detectar dichos ataques, entre
anterior; sin embargo, tiene menor complejidad, los cuales se encontraron: CVE-2021-26855,
consiste en interceptar la comunicación de la red. CVE-2021-26857, CVE-2021-26858 y
❖ Sniffing de paquetes: Cuando se encuentra en el CVE-2021-27065.
proceso de transmisión de los datos, ataca esta ❖ Incidente de Exploit - CVE-2020-1472-Zerologon:
comunicación, atrapa y lee los datos mediante un Nuevamente, se vio atacado la seguridad de
software conocido como “sniffer” . Microsoft, en este caso el hacker podía acceder a
❖ Descifrado de contraseñas: Así como su nombre lo privilegios sin necesidad de conocer los usuarios.
indica este caso se presenta cuando se realiza un ❖ Incidente de Exploit - CVE-2020-0688: En 2020, un
desencriptado de las contraseñas para poder ingresar a ciberdelincuente aprovechó la falta de reglas de
contraseñas para crear adivinanzas de contraseñas.
 3

Esto les permitió acceder a los datos de una cuenta que son desconocidas por el sistema para saber como
comprometida en Outlook Web Access (OWA). reaccionaria y comprobar posibles errores para
❖ Incidente de Exploit - 05-2022-0438.doc: aumentar su seguridad.
Nuevamente, en 2022 a Microsoft Office se le ❖ Vulnerabilidad de hardware: Identificar qué
presentó una vulnerabilidad con casi la misma dispositivos son más delicados y tomar las medidas
severidad que exploit CVE-2021-40444. preventivas al respecto. Antes de utilizar cualquier
equipo conocerlo previamente para evitar posibles
Es pertinente recalcar la importancia de generar múltiples accidentes.
pruebas con anterioridad al momento de lanzar un producto ❖ Escasa habilidad en TI: Mantener actualizado al
nuevo, sobre todo, si este está involucrado con factores tan equipo de trabajo, realizar pruebas para conocer y
delicados como lo son datos personales. fortalecer las habilidades de resolución de conflictos
tecnológicos.
Se conoce que aquellas plataformas que no son probadas en ❖ Personal de seguridad de TI con experiencia y
aspectos en cualquier aspecto son las que tienden a ser más habilidades limitadas: En apoyo de lo anterior,
vulnerables, dado que gracias a las pruebas que se espera se cronogramas continuamente capacitaciones para que
ejecuten se le permite a los desarrolladores conocer aquellos no haya lagunas de conocimiento en el mismo equipo.
vacíos, lagunas o mal funcionamientos de las mismas. Tal y ❖ Accidentes: Reconocer lo que son accidentes sin
como se había mencionado anteriormente los hackers alguna intención, sino simplemente por falla humana
aprovechan estos espacios para insertar vulnerabilidades que en comparación con aquellos que lucen como
luego pueden ser irreparables. accidentes, pero son previamente planeados por
empleados deshonestos.
A manera de ejemplo, se reconoce el caso de la empresa: ❖ Falta de CERT (Computer Emergency Response
Votipka et al, quienes realizaron un gran ejercicio de pruebas, Team): Incluir capacitaciones al personal donde se
el cual consistió en un profundo análisis de los aspectos hable se fortalezca al equipo de Respuesta a
diferenciadores de las vulnerabilidades posibles a presentarse, Emergencias Informáticas (CERT).
en lo que se le dio prioridad a que inicialmente se debía ❖ Vulnerabilidad técnica y operativa: Reconocer los
identificar para saber como atacar ya conociendo los tipos de vulnerabilidades que se están presenciando y
parámetros de la misma. De lo contrario, serían procesos con esto realizar los escaneos persistentes. Estar
contraproducentes, porque se debe tener en cuenta que cada atentos a los resultados de los mismos, dado que se
vulnerabilidad es diferente por lo que no se les puede tratar a pueden presentar amenazas constantes.
todas de la misma manera. ❖ Privilegios del sistema: Estudiar a que tipo de
usuarios se le asignaran los privilegios de
Para realizar el ejercicio de simulación (Hacking ético), se administrador.
recomiendan los siguientes para la evaluación de dichas ❖ Dispositivos con recursos limitados: Identificar los
vulnerabilidades y apoyo a las pruebas de penetración: dispositivos que pueden ser especiales y de acuerdo a
ello crear software y planes especializados.
❖ Instalación encubierta de programas o ejecución ❖ Software de proveedores: Mayormente, los
de código: Esto, para conocer el estado del progreso proveedores no prestan atención a los temas de
de las vulnerabilidades. seguridad o medidas preventivas, por lo que es
❖ Falta de parches/actualizaciones: Es importante que importante antes de implementar algo realizar las
exista una constante actualización, sobre todo pruebas respectivas.
actualizaciones que son desarrolladas para corregir ❖ Aplicaciones no probadas: Evitar utilizar
errores del pasado, es decir: de mantenimiento. Lo aplicaciones que no han sido probadas previamente,
anterior dado que, así es menos propenso a presentar dado que gracias a esto es donde se presentan que las
episodios donde se encuentre una vulnerabilidad que vulnerabilidades que ya vienen en ellas afecten
ya no de vuelta atrás. nuestros dispositivos propios.
❖ Errores de programas y errores desconocidos del ❖ Componentes de hardware: Al igual que el anterior,
sistema: Se considera adecuado estar en constante tomar medidas preventivas al respecto al hardware,
revisión de que no se hayan pasado errores de dado que a veces los mismos fabricantes no tienen a
codificación, dado que esto también abre puertas a que consideración que los componentes incluidos tienen
los ciberdelincuentes instalen las vulnerabilidades una fragilidad diferente al resto.
para robar información.
❖ Vulnerabilidades desconocidas del sistema: Es
importante mantenerse en actualización de las nuevas V. HACKING ÉTICO
vulnerabilidades desconocidas, porque tal como lo ya
referido, sucede que se tarda demasiado el proceso de El hacking ético es el implementado por organización, a
identificación y búsqueda de la solución. Es por esto través de un tercero con motivos de evaluación, indagación de
que, se deben probar también con vulnerabilidades
 4

vulnerabilidades, planteamiento de estrategias para el ❖ La Privacidad: El ataque se realiza a la privacidad de

fortalecimiento, entre otros, el ciclo de vida de este proceso es la organización, los datos, registros información de
similar al de un hackeo normal, este consiste en [4]: usuarios, etc.
❖ La seguridad: La falta de experiencia en algunos
❖ Reconocimiento: El proceso para recopilar datos hackers éticos y las medidas que opta la organización
sobre la organización, los usuarios, sistemas, para protegerse de ataques puede que no sean las más
servidores, puertos débiles, abiertos, redes, Wifi, entre eficaces.
otros. ❖ La confianza: Al ejecutar el asalto, los hackers éticos
❖ Escaneo: Consiste en descubrir las brechas y obtienen información de la organización, lo que la
vulnerabilidades por medio de las cuales se puede deja vulnerable a perjuicios por parte de este tercero.
acceder al sistema o servidor. ❖ Los asuntos Legales y jurídicos: Puesto que bajo
❖ Obtención de acceso: En este punto es donde se circunstancias normales esto es un delito, es necesario
ejecuta el ataque simulado a los sistemas, gestionar adecuadamente los acuerdos, para proteger
aplicaciones, servidores y/o dispositivos de la ambas partes, tanto el tercero como la organización.
organización. ❖ La forensia: La falta de experiencia y conocimiento
❖ Mantenimiento de acceso: Mantener el acceso de algunos hackers puede resultar un contratiempo al
aprovechando otras vulnerabilidades comunes. momento de necesitar el uso de técnicas forenses.
❖ Informe de seguridad: Después de todo lo realizado ❖ El límite de presupuesto: Generalmente, el
se genera un informe de vulnerabilidades, y se presupuesto no es suficiente para implementar un
sugieren soluciones de seguridad y métodos de software de calidad para distintos dispositivos.
evaluación de esta. ❖ La compatibilidad: La interfaz requerida para
realizar este proceso solicita equipos, hardware,
Para realizar el hacking ético se deben usar distintos tipos de software, etc. que pueden ser distintos, afectando así
herramientas que ayuden a exponer las vulnerabilidades del el rendimiento y compatibilidad.
IoT, los sistemas, servidores, etc., estas se implementan en:
VI. PRUEBAS DE PENETRACIÓN
❖ La web: Donde se escanean las aplicaciones web y
servidores. Se expresa la importancia de las pruebas de penetración y su
❖ La nube: Donde se rastrean los ataques y monitorean relación con los hackers éticos, los hackers evalúan los niveles
problemas de rendimiento. de seguridad y resistencia de los sistemas para encontrar
❖ La red: Donde se escanean y monitorean las redes y vulnerabilidades ya sea de diseño, configuraciones, errores o
se busca el fortalecimiento de las contraseñas y fallas en el sistema. Las pruebas de penetración protegen el
cifrados. sistema ante cualquier ataque, divulgación o alteración de datos
❖ Las aplicaciones: Donde se evalúa su nivel de [5].
seguridad y se comprueba su correcto funcionamiento.
Las pruebas de penetración poseen muchas ventajas como
Existen varios desafíos en este proceso y es importante también desventajas, algunas de las ventajas más notorias es
identificar tanto el problema como el desafío para poder que permite que la realización de evaluaciones correctas para
solucionar ambos. Algunos de estos son: lograr una orientación proactiva, aparte, hace que el sistema se
adapte a los cambios y descubra intrusos antes de que hagan
❖ Aptitud: No todos los equipos cuentan con la misma una violación de datos o una invasión de la red, también se
experiencia y habilidad, por lo que los resultados son presenta una tabla con las herramientas las cuales pueden hacer
distintos. más efectiva las pruebas de penetración. Las pruebas se dividen
❖ Capacidad: Se refiere al personal y recursos en tres tipos:
disponibles para llevar a cabo el proceso.
❖ Costos: Efectuar estos ataques de prueba no es ❖ Caja blanca: Se define que las pruebas de caja blanca
económico, por lo que hay que destinar suficiente tratan de que el atacante tenga total conocimiento
capital para cubrir los gastos necesarios previo del funcionamiento del sistema eso facilita que
correspondientes a personal y recursos. se prueben algoritmos, la desventaja es que requiere
❖ Legal y ético: Es fundamental no traspasar el límite mucho tiempo.
impuesto por las distintas regulaciones y es vital evitar ❖ Caja gris: Las pruebas de caja gris tratan de que el
un daño a la privacidad de los usuarios o la atacante tenga un mínimo de conocimiento previo del
organización funcionamiento del sistema, no son buenas para
. probar algoritmos, pero no necesitan mucho tiempo.
Existen distintos problemas en este campo asociados a los ❖ Caja negra: Esta prueba los tester no tienen ningún
hackers éticos. No obstante, hay problemas que requieren de tipo de conocimiento sobre el sistema, por lo tanto,
atención prioritaria, como lo son: estas pruebas suelen tardar más, además no es una
 5

buena opción para probar algoritmos. recomendaciones, provisiones, y requisitos

obligatorios.
El artículo enfatiza también la existencia de varios tipos de ❖ NISTIR 8259: Provee guía al manufacturero y los
pruebas de penetración, como lo son: terceros para diseñar y testear dispositivos de IoT.
❖ NISTIR 8259A: Incluye la información base
❖ Las pruebas de penetración de aplicaciones: Las capacidad técnica de la ciberseguridad del dispositivo.
cuales tienen como objetivo revelar vulnerabilidades ❖ NISTIR 8259B: Incluye información base de la
en la aplicación, riesgos de seguridad, entres otros, capacidad no técnica de la ciberseguridad del
son usadas para probar los mecanismos de dispositivo.
autorización, la protección de datos y configuraciones ❖ NISTIR 8259C (DRAFT): Usa la información
técnica y no técnica para crear un set de
de seguridad.
requerimientos de ciberseguridad.
❖ Pruebas de penetración en la nube: Cuyo objetivo
es determinar la ruta de un ataque por medio de una
Cuando ocurre un incidente, se dispara la respuesta, y los
brecha identificada. “responders” deben atenderla con las medidas y contramedidas
❖ Pruebas de penetración en redes IoT internas y necesarias, las cuales dependerán a su vez de las capacidades y
externas: En las cuales se plantea la simulación de habilidades del “responder”.
ataques para detectar las vulnerabilidades principales.
VIII. LECCIONES APRENDIDAS
Todas tienen como objetivo detectar vulnerabilidades, fallos
o puntos débiles en sus sistemas. Se presentan las diversas
Con la lectura y síntesis de este documento, se pudieron
soluciones que se han presentado para mejorar el proceso de las
obtener los siguientes aprendizajes:
pruebas de penetración con base en IoT, estas soluciones se
basan en técnicas de hacking ético. Además, se han utilizado
Definitivamente, es importante considerar realizar un
herramientas como Wireshark y Selenium para identificar
correcto plan de pruebas, tanto general para ejecutarlo
vulnerabilidades y llevar a cabo pruebas de penetración, y
esporádicamente, sin embargo, también es de vital valor
como el avance de las pruebas es creciente se han desarrollado
realizarlo especializado, dado que continuamente se mantienen
metodologías, modelos y algoritmos para ejecutar pruebas
actualizando las vulnerabilidades y se vuelven tan especificas
remotas, organizar y programar ataque de penetración.
que hasta se convierten en indetectables. También, dado que
conforme va pasando el tiempo se lanzan más dispositivos
También se presentaron soluciones para evaluar las amenazas
relacionados con las IoT.
relacionadas con sitios web de IoT, redes, sistemas
operativos/aplicaciones y dispositivos. Algunas de estas
Así mismo, es elocuente realizar contrataciones de personal
soluciones emplean herramientas de Evaluación para encontrar
plenamente capacitado, quienes cuenten con las habilidades
vulnerabilidades (VAPT) para simular y prevenir ataques. Entre
que se acercan a sus funciones diarias, con un gran apoyo de la
las cuales se encuentra NetNirikshak 1.0 la cual sirve para
empresa donde se realicen constantes capacitaciones para
detectar vulnerabilidades de inyección SQL, está el
mantener los conocimientos actualizados.
“VEnsemble 1.0” que combina múltiples herramientas de
(VAPT) que funciona para una mayor eficiencia en la detección
Reconocer que los diseños pueden ser a veces obsoletos a
de vulnerabilidades, y otras herramientas para diferentes tipos
comparación a lo que se está presentando, no porque
de vulnerabilidades.
anteriormente este haya funcionado no significa que debe
restringirse continuamente a que sea de esa manera, sino que,
VII. PROCEDIMIENTOS DE SEGURIDAD Y
reconocer que merece cambios o que incluso el nuevo diseño
PROTECCIÓN DEL IOT
planteado no se acomoda a lo que se busca actualmente.
La adopción de estándares de ciberseguridad para IoT, son Adicionalmente, se puede basar en el apoyo de las nuevas
necesarios para mantener las medidas de seguridad acordes al tecnologías como lo son: Las distintas inteligencias artificiales
mercado [6]. como del aprendizaje automático.

Son muchos los pasos necesarios para asegurar que la Enfatizar en una mayor inversión, tanto de tiempo, dinero,
seguridad implementada y sus medidas sean apropiadas y lo calidad, estudios, conocimiento forense, capacitaciones,
suficientemente fuertes para introducirlas en el IoT. Es empleados y formatos legales, esto para lograr proteger los
necesario que cualquier empleado centre gran énfasis en procesos efectuados y evitar futuros conflictos [7].
respetar los procedimientos de seguridad para implementar en
cualquier dominio de IoT, esto se logra a través de: IX. ORIENTACIONES FUTURAS DE LA
INVESTIGACIÓN
❖ ETSI EN 303 645: Es un estándar global que cubre La seguridad para los sistemas IoT ha avanzado mucho en los
todos los consumidores de IoT; consiste de una serie últimos años, no obstante, aún hay falencias en la seguridad, y
de recomendaciones de alto nivel para establecer privacidad que han de ser tomadas en cuenta para resolución en
 6

el futuro. Por esta razón el autor presenta distintas ideas de reducir las amenazas externas implementando
solución para investigar en el futuro. estrategias de protección y prevención.

Basadas en la IA se encuentra: XI. CONCLUSIONES

❖ Detectar: La IA puede encontrar soluciones a
vulnerabilidades, con mayor eficiencia. Podemos evidenciar en este documento, la importancia de
❖ Prevenir: La IA puede prevenir ataques con mayor realizar un correcto plan de pruebas de penetración junto al
eficacia y en menor tiempo, y de mejor manera. apoyo del hacking ético, se respondieron preguntas como:
❖ Corregir: La IA puede subsanar errores más rápido, ¿Qué es? ¿Por qué? ¿Para qué? Sirven las mismas. Se
con menor tolerancia a los errores. estudiaron distintos casos en los que se saltaron distintos
❖ Mezclar: La IA puede mezclar con mayor efectividad protocolos, lo cual fue de gran ayuda, dado que gracias a esto,
los procesos previamente mencionados. podemos conocer que cosas y que cosas no, se deben aplicar en
estos casos. Teóricamente hablando se ayudó a clarificar
Por otro lado, se habla de permitir la posibilidad de las muchísimas dudas que en futuras aplicaciones se pueden
soluciones automáticas para los puertos y terminales, las cuales presentar.
pueden llegar a resolver las situaciones en tiempo real, para
ello, el autor plantea que necesitarán estar basados en las Adicionalmente, se muestran diferentes perspectivas, fuentes
soluciones de la IA. de información y autores que colaboraron en el desarrollo del
documento, por lo que ayuda al lector a tener diferentes ideas
Por último, las soluciones correctivas mejoradas para IoT; se acordes al tema principal.
debe seguir corrigiendo y mejorando la seguridad para superar
las vulnerabilidades, mejorar los sistemas de prevención de XII. REFERENCIAS
intrusos, nuevos firewalls mejorados, entre otras mejoras
[1] «¿Qué es IoT? - Explicación del Internet de las cosas -
AWS», Amazon Web Services, Inc.
X. SUGERENCIAS Y RECOMENDACIONES
https://aws.amazon.com/es/what-is/iot/ (accedido 6 de
junio de 2023).
En este artículo se presentaron varias sugerencias para [2] «¿Pueden los Hackers Informáticos atacar el Internet of
mejorar el hackeo ético y fortalecer los sistemas de prueba de Things? | ESIC».
penetración. Por otro lado el autor propuso el "entrenamiento https://www.esic.edu/rethink/tecnologia/pueden-los-hacke
de conciencia de seguridad del personal y el usuario", para rs-informaticos-atacar-internet-of-things (accedido 6 de
fortalecer la seguridad dependiendo del tipo de organización. junio de 2023).
[3] «Los riesgos de seguridad y las buenas prácticas de la
❖ Mantener la privacidad y respeto por cada una de las Internet de las cosas», latam.kaspersky.com, 19 de abril de
partes, para asegurar la protección de ambos durante 2023.
el hackeo ético. https://latam.kaspersky.com/resource-center/preemptive-sa
❖ La autenticación por múltiples factores debe ser fety/best-practices-for-iot-security (accedido 7 de junio de
2023).
implementada para prevenir accesos no autorizados.
[4] «Hacking ético: ¿en qué consiste y por qué es
❖ Mecanismos de seguridad ligeros para garantizar la
importante?»
protección de los dispositivos de IoT contra eventos
https://www.servnet.mx/blog/hacking-etico-en-que-consist
maliciosos. e-y-por-que-es-importante (accedido 7 de junio de 2023).
❖ La adopción de políticas reforzadas previene a [5] «¿Qué es Prueba de penetración (pen test)? - Definición
entidades no autorizadas de acceder a los sistemas en WhatIs.com».
IoT. https://www.computerweekly.com/es/definicion/Prueba-de
❖ Aislamiento en tiempo real, es decir la capacidad del -penetracion-pen-test (accedido 7 de junio de 2023).
sistema de bloquearse para impedir el acceso. [6] «Seguridad de IoT: ciberseguridad de IoT | Microsoft
❖ Los diseños de IoT deben ser más seguros, deben de Azure».
pasar por un testeo para reducir el riesgo de ser un https://azure.microsoft.com/es-es/resources/cloud-computi
objetivo potencial. ng-dictionary/what-is-iot/security/ (accedido 7 de junio de
❖ Mejorar las habilidades, algunos problemas son 2023).
difíciles de solucionar por causa de la falta de [7] J.-P. A. Yaacoub, H. N. Noura, y O. S. Ali Chehab,
habilidad de los hackers, por lo que es óptimo la «Ethical hacking for IoT: Security issues, challenges,
implementación de cursos, campamentos, seminarios, solutions and recommendations». [En línea]. Disponible
etc. en:
❖ Entrenamiento especializado. https://www.sciencedirect.com/science/article/pii/S266734
❖ Intercambios internacionales y competencias. 5223000238?via%3Dihub
❖ Inteligencia de amenazas cibernéticas, esto significa