El Internet de las Cosas, un campo crítico para la ciberseguridad

Mientras las compañías que instalan dispositivos IoT en sus edificios e infraestructuras cuentan con planes de despliegue y personal especializado, el común de los usuarios no dispone de tanta información sobre las posibilidades y los riesgos.

Guardar

IoT.
IoT.

Los dispositivos inteligentes y conectados están cada día más presentes en nuestra vida cotidiana. Electrodomésticos, coches, televisores, elementos domóticos... el Internet de las Cosas no se circunscribe solamente al ámbito industrial. Pero mientras las compañías que instalan dispositivos IoT en sus edificios e infraestructuras cuentan con planes de despliegue y personal especializado, el común de los usuarios, incluyendo los pequeños empresarios y los profesionales, no dispone de tanta información sobre las posibilidades, los riesgos y la forma óptima de configurar estos elementos. ¿Puede esto llegar a suponer un problema?

El Internet de las Cosas y sus principales riesgos

En síntesis, el Internet de las Cosas, Internet of Things o IoT alude a aquellas infraestructuras formadas por dispositivos provistos de sensores que captan, almacenan y/o transfieren datos a otros dispositivos o sistemas, a través de una conexión de red. La lista es interminable y crece cada día, tanto en aplicaciones profesionales como en las de uso cotidiano. El coche, el televisor, la nevera, la aspiradora, el altavoz inteligente... pero también juguetes, dispositivos domóticos o de uso sanitario.

Las posibilidades que ofrece el Internet de las Cosas son muy sugestivas. Estos elementos optimizan el uso de energía, nos liberan de tareas ingratas o repetitivas, aumentan las opciones de diversión en el hogar o nos sorprenden con sus recomendaciones personalizadas. Tan sugestivas que cada vez es más difícil comprar un dispositivo electrónico que no incorpore funciones IoT. Por ejemplo, a partir de cierto tamaño, el catálogo de televisores se reduce, salvo excepciones, a smart TV. Y las tradicionales han pasado a un segundo término.

¿Es su abanico de posibilidades la única causa del éxito de los dispositivos IoT de consumo? Sin negar su atractivo, lo cierto es que también influyen otros factores, como el rendimiento que los fabricantes y proveedores de aplicaciones y servicios pueden sacar a los datos de sus usuarios. El IoT, con sus múltiples sensores y su conexión en red, es una mina de información. Qué vemos, cuándo encendemos la luz o la calefacción, qué alimentos hay en nuestro frigorífico... función a función, gadget a gadget, nuestra vida cotidiana es monitorizada por esos fabricantes y proveedores, que pueden utilizar esos datos para mejorar sus productos, o para vendérselos a terceras partes. Sin ir más lejos, el año pasado la compañía californiana Vizio ingresó 38,4 millones de dólares en solo tres meses por el seguimiento y venta de los datos de visionado de sus televisores, y últimamente ha encontrado un filón en la introducción de banners interactivos durante las emisiones en vivo.

Y aquí, en el mundo de los datos, aparece la parte oscura del Internet de las Cosas. Hay que tener en cuenta que muchos usuarios son conscientes de que sus datos están expuestos en Internet o en las redes sociales, pero no tienen tan claro qué pasa con la información que recopilan su wearable o su monitor para bebés. En no pocos casos, desconocen qué tecnología emplean y no se preocupan por su seguridad, lo que abre una puerta a los ciberdelincuentes para atacar sus dispositivos.

El riesgo más evidente es el espionaje y el acceso a información privada de sus usuarios por parte de terceros. Como ya hemos visto, el análisis de los datos recogidos por sensores ópticos, acústicos y biométricos puede revelar las pautas de vida y comportamiento de una persona de forma muy detallada y completa.

Otro peligro potencial, según la compañía de servicios tecnológicos Ikusi, es el rapto de dispositivos. Cuando los ciberdelincuentes acceden a uno de ellos, se encuentran en condiciones de controlarlos a distancia. La lista de consecuencias es amplia: desde cerrar el acceso a un edificio o bloquear una caja fuerte para solicitar un rescate, a tomar el mando de un vehículo para provocar un accidente. 

La Agencia Española de Protección de Datos alerta además de otros riesgos, derivados de la falta de medidas de seguridad apropiadas, debido a las limitaciones de los dispositivos o a deficiencias en la  protección de datos desde el diseño: carencia de cifrado en las comunicaciones, contraseñas por defecto, etc. Esto permite la explotación de vulnerabilidades en el dispositivo para manipularlo de modo remoto o utilizarlo para usos ofensivos o inadecuados.

Asimismo, la posibilidad de hacer un uso anónimo de estos productos es limitada, debido a su vinculación con identificadores únicos. Algunos de estos sistemas, además, no solo afectan a los usuarios, sino a las personas que se encuentren cerca del dispositivo aunque no interactúen con este, como es el caso de los asistentes de voz. A ello hay que sumar la falta de control de la información por parte de la persona que la genera.

Los coches conectados, también en la mira de los ciberataques

Dice el tópico que los coches de hoy son “ordenadores con ruedas”, y algo de verdad hay. Los nuevos automóviles cuentan, además de con la electrónica integrada en los elementos mecánicos, con diversas tecnologías de conectividad: wifi, bluetooth, aplicaciones, acceso sin llave... Más facilidades para el conductor, pero también más elementos a tener en cuenta desde el punto de vista de la ciberseguridad.

Coche conectado.
Coche conectado.

La OCU, en colaboración con Context Information Security, realizó en 2020 un estudio de los sistemas informáticos de dos de los vehículos más vendidos en Europa: el Volkswagen Polo SEL y el Ford Focus. Los resultados muestran la vulnerabilidad de ambos vehículos ante los ciberataques, con brechas que pueden ser comunes a otros automóviles conectados.

Así, es posible acceder al sistema de información y entretenimiento del coche. A partir de ahí, los atacantes podrían efectuar acciones como reprogramarlo para que la pantalla del coche se apague cada cinco minutos, o, más grave, acceder desde este sistema a funciones críticas para la seguridad, como el control de la dirección o de los frenos.

El dispositivo de apertura del coche también es vulnerable; una persona próxima al vehículo podría capturar la clave mientras el propietario pulsa la llave para abrirlo, mediante la grabación y bloqueo de la señal de radio de llavero. Es el conocido como “ataque RollJam”. También es posible impedir que el propietario arranque su vehículo.

La información de los sensores, cada vez más importante debido al auge de los sistemas de conducción autónoma, también es accesible por parte de extraños. En algunos casos, basta con retirar la insignia de la marca situada en la parte frontal del vehículo para acceder al bus que comunica con el radar frontal y avisa de posibles colisiones. Otros sensores vulnerables son los que monitorizan la presión de los neumáticos.

Pero no solo los coches populares sufren la ciberdelincuencia. Ya en 2012, BMW reconocía tener dificultades para atajar los ataques a los sistemas de alarma de varios de sus modelos en Reino Unido. Tras desactivar la alarma a distancia, los delincuentes procedían a robar el vehículo. Y la pickup premium de Toyota, la Tundra, fue objeto de un ataque en 2015 mediante el adaptador OBD Dongle, que proporciona datos de diagnóstico a un dispositivo conectado a bluetooth.

Esta vulnerabilidad de los coches conectados se multiplicará con la expansión de la conducción autónoma. Counterpoint Insights estima que el mercado mundial de coches conectados crecerá este año un 270%.

Las autoridades europeas, conscientes de la amenaza, ya han elaborado un Reglamento Europeo de Seguridad de Vehículos, que entrará en vigor el próximo 6 de julio y que, entre otros aspectos, establece que los automóviles que no dispongan de un certificado de ciberseguridad no se podrán vender dentro de la Unión Europea.

Entre las soluciones para hacer más seguros los coches conectados, están las que previenen explotaciones de vulnerabilidad, bloquean códigos extraños, detectan y neutralizan ataques en tiempo real o establecen sistemas de autenticación biométrica como llaves inteligentes.

Dispositivos domóticos, ¿un espía en nuestra casa?

El hogar es otro de los hábitats naturales de los dispositivos conectados. El Internet de las Cosas ya está presente en la mayor parte de los aparatos comunes en nuestras casas. Electrodomésticos -frigoríficos, hornos, lavadoras, microondas...-, televisores, barras de sonido, robots aspiradores, cámaras de vigilancia, monitores para bebés, termostatos, bombillas y cerraduras inteligentes, asistentes de voz y hasta juguetes. Viewnext estima que cada hogar occidental cuenta con una media de 5,4 dispositivos inteligentes conectados a Internet.

Domótica
El Internet de las Cosas ya está presente en la mayor parte de los aparatos comunes en nuestras casas.

Por desgracia, no existe tanta consciencia de que estos dispositivos son vulnerables como la que hay con respecto a los ordenadores o los teléfonos móviles. La firma de seguridad informática Bitdefender resume en cuatro los tipos de riesgos que implica el uso de estos elementos IoT en el hogar. 

En primer lugar, los relativos a la privacidad. A través de un dispositivo vulnerable, los atacantes pueden obtener imágenes del interior de una casa mediante las cámaras IP inteligentes o los monitores para bebés. Incluso los contadores inteligentes de electricidad pueden revelar, accediendo a los datos de consumo, cuándo nos hemos ido de vacaciones. En el caso de los juguetes dotados de cámara y micrófono, el riesgo aumenta al dar a extraños la posibilidad de dirigirse a los más pequeños de la casa para preguntarles sus nombres y demás información personal; fue lo que sucedió con la muñeca conectada Cayla en 2017.

También existen riesgos físicos. A medida que la electrónica va reemplazando a la mecánica en el corazón de las instalaciones domésticas, el acceso remoto a los elementos que controlan la entrada, la iluminación o la temperatura de las viviendas, también conocidos como dispositivos domóticos, se convierte en un problema de seguridad física. Un atacante malintencionado puede bloquear o desbloquear cerraduras inteligentes, cortar la energía a través de enchufes inteligentes o desconectar  sensores de humo y cámaras de vigilancia, con el consiguiente peligro para los habitantes de la vivienda. 

Las redes del hogar también se encuentran expuestas. Como ya hemos visto, algunos de estos dispositivos cuentan con medidas de seguridad menos exigentes que otros elementos como ordenadores o smartphones, que sin embargo, están conectados a estos a través de una misma red. Si un dispositivo IoT se ve comprometido, puede convertirse en una puerta de acceso a las redes internas de los usuarios y, desde ahí, a dispositivos más importantes presentes en el hogar. Y mirando más allá, en un contexto de auge del teletrabajo, esta brecha de seguridad puede alcanzar a las empresas.

Por último, es posible que nuestra inocente nevera conectada o nuestro servicial asistente de voz lleguen a convertirse en dispositivos zombis. Su creciente popularidad y su vulnerabilidad los hacen un objetivo interesante para los operadores de malware, que tras hacerse con su control, los incorporan a redes de bots DDoS, utilizadas para lanzar ataques de denegación de servicio distribuidos contra empresas, proveedores de servicios de Internet o infraestructuras críticas.

Cómo hacer los dispositivos conectados más seguros

Aunque no es posible reducir todos estos riesgos a cero, las medidas de protección, como sucede con otros dispositivos electrónicos, sí pueden minimizarlos. ¿Cómo podemos protegernos de los ciberataques a los dispositivos conectados?

En el caso de las empresas que utilizan sistemas IoT, deben realizar una evaluación de impacto de protección de datos, tal y como está establecido en el RGPD, y asegurarse de que los sensores no recopilen más información de la absolutamente necesaria para cumplir con su propósito, cumpliendo con el principio de minimización de datos.

54 Prevencion riesgos IoT
Al incorporar un producto IoT resulta muy recomendable adoptar medidas de seguridad específicas.

Para los usuarios particulares, aunque no estén obligados por ley, resulta muy recomendable adoptar medidas de seguridad específicas, que también sirven para las empresas. Desde el punto de vista de la prevención, la primera sería cambiar las credenciales predeterminadas en estos dispositivos IoT; establecer una contraseña única para cada aparato y emplear una combinación de mayúsculas, minúsculas, números y caracteres especiales son formas sencillas pero eficaces de hacerlos más seguros. También deberíamos cambiar las contraseñas periódicamente.

Aunque la seguridad no suele ser el principal factor a tener en cuenta a la hora de adquirir nuevos elementos IoT, antes de comprarlo es aconsejable investigar, en reseñas y comentarios, acerca de las vulnerabilidades conocidas de un dispositivo, al igual que hacemos con sus características técnicas. Ello nos permitiría detectar las principales puertas de acceso de los ciberdelincuentes y tratar de bloquearlas. Asimismo, al igual que hacemos con nuestro PC o smartphone, debemos actualizar el software de estos dispositivos de acuerdo a su última versión.

Según explican en Ikusi, también es buena idea implantar elementos IoT de forma gradual y, si es posible, hacer pruebas de seguridad. Ello nos permite aprender sobre las mejores prácticas de uso e identificar posibles errores y situaciones peligrosas que pongan en riesgo la seguridad de los dispositivos y del hogar o la oficina.

Más complejo, pero muy útil, es configurar una red wifi para estos sistemas separada de la principal del hogar. De esta forma, una intrusión en un dispositivo conectado no afectaría a la integridad de los sistemas donde almacenamos nuestra información más sensible.

Y teniendo en cuenta que gran parte de los dispositivos IoT dependen de servicios en la nube, antes de seleccionar un proveedor es imprescindible conocer su política de privacidad para saber si ofrece los recursos necesarios de cifrado de información y protección de datos.

Para detectar si se ha producido un ataque, es interesante disponer de una solución de seguridad que se ejecute a nivel de red para identificar anomalías y comunicaciones no autorizadas, ya que muchos dispositivos inteligentes son sistemas cerrados, lo que dificulta la detección de intrusiones. Aun así, cada vez se ofrecen más soluciones de seguridad IoT, que automatizan la respuesta a los ataques y avisan al usuario sobre comportamientos inesperados en cuanto ocurren.

En el caso de que se registre una brecha de seguridad, hay que dejar de usar ese dispositivo inmediatamente y contactar con el fabricante para solicitarle una solución para dicha vulnerabilidad. Si no se puede solventar, habría que reemplazarlo por uno nuevo.