Inicio / Protege tu empresa / Blog / Riesgos de Seguridad de IoT: Equipamiento de oficinas inteligentes

Riesgos de Seguridad de IoT: Equipamiento de oficinas inteligentes

Publicado el 24/08/2015, por INCIBE
Riesgos de Seguridad de IoT: Equipamiento de oficinas inteligentes

Hemos impartido cursos al personal sobre buenas prácticas en la protección del puesto de trabajo, hemos contratado una auditoría de seguridad a nuestra web para estar seguros de que no es una vía de entrada para hackers, incluso hemos implantado una política de control de acceso que nos permitirá saber quién accede a la empresa en cada momento… ¡Ya está!¡Nuestra empresa no puede ser más segura! ¿De verdad? ¿Hemos comprobado los equipamientos inteligentes de oficina que tenemos implantados en nuestras instalaciones?¿La fotocopiadora desde la que imprimen en todas las sedes?¿Los termostatos de todas las sedes que gestionan de forma remota desde servicios generales de la empresa? Uppsss…

El incremento de conectividad y almacenamiento de información global van más allá de los ordenadores, los teléfonos y las tabletas. El Internet of Things (IoT) es un concepto cada vez más difundido que se refiere al conjunto de objetos de todo tipo que se encuentran conectados a Internet. Desde la fotocopiadora que tenemos enfrente hasta termostato que mantiene la temperatura en esos confortables 23ºC.

Para el año 2020 se espera que haya en todo el mundo hasta 26.000 millones de dispositivos de todo tipo conectados a internet.

Muchos de esos objetos de oficina "inteligentes" van a estar conectados a Internet, lo que supone un grave riesgo de seguridad para la empresa. Un reciente estudio reveló que el 70% de los dispositivos "inteligentes" son vulnerables a los ataques más simples, desde acceso sin contraseñas, contraseñas simples, hasta sistemas de control remoto (vía web) fácilmente explotables o sistemas que revelan información confidencial.

Pero, ¿y todo esto nos afecta como empresarios? ¿Qué equipamiento inteligente podemos tener en la empresa? Cada oficina es un mundo pero seguro que algún dispositivo de este tipo tenemos. Podríamos encontrarnos por ejemplo con:

  • impresoras y fotocopiadoras que se conectan a Internet
  • servidores de almacenamiento en red (NAS)
  • sistemas de control de presencia
  • termostatos
  • cámaras Web IP
  • alarmas que permiten el control remoto
  • tomas de corriente con control remoto
  • concentradores USB "inteligentes"

…y así un largo etcétera que va creciendo… entre los que veremos hasta bombillas conectadas.

Como decimos, estos dispositivos "inteligentes" pueden ser muy efectivos y eficaces en muchos aspectos, pero como en muchas otras cosas debemos de tener en cuenta también aspectos relacionados con la Ciberseguridad. Los principales problemas desde este punto de vista vienen a menudo provocados por:

  • Páginas web de control remoto de los dispositivos inseguras.
  • Autenticación insuficiente (contraseñas débiles) o inexistente en el dispositivo.
  • Servicios de red inseguros.
  • Falta de cifrado en las comunicaciones.
  • Imposibilidad de configurar parámetros de seguridad.
  • Firmware (Software embebido) inseguro.

Las consecuencias de estas "vulnerabilidades" podrían incluir:

  • una persona, sin relación alguna con la compañía, podría controlar esos dispositivos
  • esta persona podría obtener información sensible y confidencial de la compañía
  • …podría desconfigurar los dispositivos inteligente, alterando así las condiciones de trabajo de la empresa
  • …y podría utilizarlos como máquinas de salto hacia otros sistemas más sensibles.

¿Sabías que existen en internet servicios (como shodanHQ) que permiten buscar aquellos dispositivos de este tipo que se encuentren conectados a Internet? De ahí la importancia de evitar que estos dispositivos sean accesibles desde internet.

Soluciones

Si su empresa adquiere algún tipo de dispositivo inteligente, seguro que le aportará grandes ventajas, pero no olvide los siguientes consejos le pueden ayudar a mitigar los riesgos de los que hablábamos antes:

  • Nunca permita el acceso remoto (desde fuera de la oficina) a ningún dispositivo. Si fuera imperativo el acceso remoto, infórmese bien de los riesgos antes de continuar.
  • Active reglas de firewall para ello y permita el acceso únicamente a los empleados que sea necesario.
  • De hecho, si no necesita acceder desde su ordenador, no los conecte si quiera la red de la empresa ni configure en ellos la conexión Wifi.
  • Si resulta imprescindible su conexión a la red de la empresa (por ejemplo en el caso de las impresoras/fotocopiadoras), asegúrese de mantener el firmware del dispositivo actualizado y evite que pueda ser accedido desde fuera de la empresa.
  • Cambie las contraseñas de los dispositivos y establezca nuevas contraseñas robustas.
  • Si el dispositivo lo permite, deshabilite la interfaz web.
  • Considere el impacto de la fuga de información que podría causar el dispositivo. ¿Podría afectar a clientes o al nombre de la compañía? Tome medidas en consecuencia.

Cierre

A día de hoy los dispositivos inteligentes son de gran utilidad, pero debemos de valorar los riesgos para la seguridad de la compañía, sobre todo si los conectamos a Internet y permitimos su control desde fuera de la empresa.

Por supuesto el nivel de seguridad que se deba aplicar a un dispositivo (de cualquier tipo, incluidos los dispositivos inteligentes de oficina), debe ser proporcional a la peligrosidad que tendría el acceso no autorizado al mismo. Es diferente el caso de un atacante que consigue acceder a una "bombilla inteligente", cuyo mayor peligro sería el encendido y apagado de la misma sin control, del caso de un atacante que accediera a una impresora y pudiera leer los documentos potencialmente sensibles que estamos imprimiendo.

En cualquier caso, el acceso no autorizado a un dispositivo que se encuentra físicamente en la empresa es una importante brecha de la seguridad perimetral. Si ha conseguido comprometer el dispositivo, entonces el atacante tiene acceso a la red interna y será cuestión de tiempo que pueda acceder a otros dispositivos, potencialmente más críticos. El mejor consejo: Infórmese bien antes de adquirir algún dispositivo inteligente.