Principales problemas de seguridad asociados con dispositivos IoT
- Endpoint
Las contraseñas débiles, los interfaces inseguros y la falta de mecanismos de actualización seguros, son algunos de los fallos que permiten realizar ataques remotos o tomar el control local del dispositivo. Este año veremos más amenazas desarrolladas específicamente para dispositivos IoT.
También puedes leer... Cómo evaluar las opciones de SD-WAN Gestión de cuentas con privilegios para Dummies |
La Fundación OWASP (Open Web Application Security Project) ha publicado su “IoT Top 10 2018”, que recoge cuáles son los 10 principales problemas de seguridad asociados con dispositivos de la Internet de las Cosas que deberían ser tenidos en cuenta por todos aquellos que desarrollen, creen o manejen sistemas IoT. Son los siguientes:
--El uso de credenciales débiles no modificables, disponibles de manera pública o fáciles de adivinar mediante fuerza bruta; e incluso de backdoors en firmware o software cliente que permiten obtener acceso no autorizado a sistemas aprovechando estas contraseñas vulnerables.
--Servicios de red inseguros e innecesarios corriendo en el propio dispositivo, especialmente en aquellos expuestos a Internet, que comprometen la confidencialidad, autenticidad o disponibilidad de la información o permiten control no autorizado de manera remota.
--Problemas de seguridad en interfaces web, móviles, en la nube, o API de backend en ecosistemas que están fuera de los dispositivos y que permiten que tanto los dispositivos como ciertos componentes relacionados puedan ser comprometidos.
--La falta de mecanismos de actualización seguros. Esto incluye la falta de validación del firmware en el dispositivo, la falta de seguridad en el envío (tránsito no cifrado), la falta de mecanismos que permitan evitar volver un paso hacia atrás, y la falta de notificaciones acerca de cambios de seguridad debido a las actualizaciones.
--El uso de componentes/librerías de software obsoletas y/o inseguras que podrían permitir que el dispositivo sea comprometido. Esto incluye personalizaciones inseguras de la plataforma del sistema operativo y el uso de software de terceras partes o componentes de hardware de una cadena de suministro comprometida.
--La información personal del usuario almacenada en el dispositivo o en el entorno al cual se conecta el dispositivo que es utilizada de manera poco segura, inapropiada o sin permiso.
--La falta de cifrado o control de acceso para datos sensibles que están dentro del ecosistema; incluyendo datos en reposo, en tránsito o durante su procesamiento.
--La falta de soporte de seguridad en dispositivos lanzados a producción, incluyendo la gestión de activos, gestión de actualizaciones, desarmado seguro, monitoreo de sistemas y capacidades de respuesta.
--Los dispositivos o sistemas lanzados con configuraciones por defecto poco seguras o sin la posibilidad de hacer más seguro al sistema mediante la aplicación de restricciones a partir de cambios en la configuración.
--La falta de medidas que permitan robustecer los dispositivos desde el punto de vista físico, lo que permite a potenciales atacantes llegar a información sensible que podría ser de utilidad en un futuro ataque remoto o tomar control local del dispositivo.
Hace ya un tiempo que la seguridad en los dispositivos IoT es un tema que se sigue de cerca. Un estudio de ESET en el que se analizaron 12 dispositivos IoT disponibles concluyó que cada uno de los dispositivos evaluados presentó algún problema de privacidad, además de otro tipo de vulnerabilidades. Según el informe Tendencias 2019, se espera que este año veamos con más frecuencia casos de amenazas desarrolladas específicamente para dispositivos IoT.