IoT: riesgos del internet de los trastos
¿Tu lugar de trabajo es una oficina inteligente en la que controlas a distancia el aire a condicionado y el sistema de iluminación de tu empresa? ¿La máquina del café avisa a la empresa de vending cuando queda poco azúcar? ¿Controlas la ubicación de tus vehículos de empresa desde tu ordenador? ¿Sabes que es el Internet de las cosas IoT?
Hace poco, publicábamos unos artículos sobre las medidas de ciberseguridad a la hora de conectar a las redes de las empresas los vehículos de empresa y las impresoras multifunción. Veíamos su deficiente configuración y protección respecto a otros sistemas como ordenadores, servidores, etc. que si «solemos» tener convenientemente protegidos, mediante el uso de cortafuegos, instalando antimalware, utilizando contraseñas fuertes, etc.
Pero, estos no son los únicos dispositivos que tenemos conectados a la red de la empresa y a internet. Hay otros dispositivos desprotegidos con los que no contamos para la ciberseguridad de la empresa ya que no suelen estar incluidos en las auditorías de seguridad. Los sistemas de seguridad físicos como cámaras de vigilancia Web IP, sistemas de control de presencia o alarmas que permiten el control remoto, sistemas de videoconferencia, medidores de energía o termostatos controlados en remoto desde un servidor, etc. son dispositivos que disponen de conexión directa a internet o las redes internas de la empresa y que no suelen estar controlados por la política de seguridad de redes de las empresas. Son dispositivos englobados en lo que se denomina IoT o «Internet de las cosas», que consiste en conectar a internet objetos cotidianos con el fin de que puedan ser manejados o gestionar la información que generan en remoto.
Todos estos dispositivos pueden parecer inofensivos para la ciberseguridad de nuestras redes y empresas pero no es así. Al ser dispositivos conectados a internet, son susceptibles de ser accedidos y comprometidos, además no suelen contar con los mismos estándares de calidad de seguridad de fábrica que otros dispositivos de red. Estos dispositivos suelen incluir deficiencias de seguridad como:
- usuarios y contraseñas de acceso por defecto y sin mecanismos que obliguen al usuario a cambiarlas por otras más seguras;
- páginas web de control y configuración inseguras o accesibles en remoto;
- inexistencia de cifrado en las comunicaciones;
- falta de personalización en la configuración de la seguridad;
- falta de soporte y actualizaciones de los fallos de seguridad detectados tanto en el software de control como en el firmware de los dispositivos.
Esto hace que sean una presa fácil para los ciberdelincuentes, que buscan este tipo de dispositivos como punto de entrada a las redes de las empresas o a otros puntos de la red que se encuentran más protegidos. El ataque y compromiso de estos dispositivos puede dar lugar a consecuencias graves para la seguridad como:
- ser añadirlos a una red zombi que pueda realizar ataques DDoS, como es el caso de la red Mirai, que dejó en 2016 sin servicio a varias de las empresas más importantes a nivel mundial durante varias horas;
- ser utilizado como puente o punto de entrada para atacar otros equipos de la misma red, para poder robar información o comprometer servidores para realizar otras acciones delictivas;
- reconfigurar los dispositivos y cambiar sus condiciones de utilización. Se podría manipular los termostatos del CPD para elevar su temperatura y producir una seria avería en los servidores ahí alojados.
Debemos ser conscientes del problema que suponen estos dispositivos para la seguridad de nuestras empresas, así como las consecuencias que puede acarrear su deficiente instalación, configuración y mantenimiento. Para ello debemos tomar todas las medidas de precaución que nos permitan estos dispositivos, y debemos tratarlos como cualquier otro elemento que tengamos conectado a nuestras redes, incluyéndolos dentro de las políticas de seguridad y del PDS de la empresa.
Algunas medidas o buenas prácticas que podemos adoptar para proteger estos dispositivos son:
- cambiar las contraseñas de fábrica por defecto;
- adquirir los dispositivos que resulten más seguros y que permitan actualizaciones de seguridad;
- habilitar su acceso a la red solo cuando sea necesario;
- evitar configurar el acceso a la red wifi de la empresa;
- deshabilitar el acceso remoto a los mismos desde fuera de la red interna corporativa;
- restringir el acceso únicamente al personal estrictamente necesario;
- desactivar la interfaz web si es posible;
- establecer un canal cifrado de comunicación.
Debemos ser precavidos con los dispositivos que conectamos a nuestras redes corporativas, ya sea a través de cable o por medio de una red wifi, por inofensivo que parezca. Cualquier dispositivo conectado a la red es susceptible de ser atacado y comprometido, y más si no dispone de las medidas de seguridad suficientes.