La Internet de las Cosas dejó de ser únicamente un concepto y su aplicación ya extrapoló los usos planeados para los dispositivos con esa característica. Eso por que en octubre de 2016, dispositivos de Internet de las Cosas fueron usados de forma masiva durante ataques DDoS (de navegación de servicio) para formación de botnets que derrumban diversos servidores de internet, interrumpiendo el servicio de gigantes como Twitter, Netflix, Spotify, Airbnb, Reddit, Etsy, SoundCloud y hasta el mismo The New York Times.
Para realizar el gigantesco ataque, que llegó hasta 1 Tbps, el mayor de todo tipo registrado hasta entonces, los hackers usaron un botnet compuesto de dispositivos IoT, principalmente cámaras y otros equipamientos de video conectados a internet. Por medio de un software llamado Mirai, que usa malware de e-mails de phishing para infectar desde un único computador hasta una red doméstica, el malware fue distribuido automáticamente a todo tipo de dispositivo IoT, formando la red para buscar en la internet dispositivos con poca o nula seguridad incluida.
De acuerdo con la empresa Symantec, ese tipo de ataque tiende a crecer considerablemente y se multiplica debido a problemas- o hasta la misma falta- de seguridad en dispositivos IoT, convirtiéndolos en objetivos fáciles de ser violados por malwares pre-programados con contraseñas padrón de uso común, tales como “admin” o la famosa secuencia “1234”. El propio creador de Mirai dice posteriormente que usando únicamente las combinaciones de logins y contraseñas comunes como los citados, fue suficiente para conectarse a 380 mil dispositivos.
Una vez que los ataques tienden a crecer, el problema no puede ser solucionado únicamente con la modificación de contraseñas. La situación exige un esfuerzo de toda la industria y culpar apenas a los usuarios no ayudará a encontrar una solución eficiente.
De esa forma, es preciso que los fabricantes de dispositivos asuman la responsabilidad de proporcionar un ambiente seguro para IoT, en un esfuerzo que envuelva a toda la cadena, sobre todo en lo que concierne a la instalación, conexión e integración para que un dispositivo pueda tener con otros dispositivos o aplicaciones, como ruteadores Wi-Fi y servicios en la Nube. Actualmente, cuando un dispositivo cualquiera es llevado a casa, este es adicionado a la red doméstica. Las formas de su configuración y las exigencias de seguridad se establecerán a lo largo de su uso, en cuanto a la seguridad y privacidad de ese dispositivo.
En tanto, los propios fabricantes todavía no implementan en ese proceso muchas prácticas o patrones de seguridad. Y es aquí donde entra toda la industria en el sentido de determinar de forma más contundente una serie de prácticas y tecnologías de seguridad para el ciclo de vida de ese dispositivo. Abajo, están listadas algunas estrategias para tornar el dispositivo IoT a redes más seguras:
-Cambio de contraseñas patrones: modificar contraseñas, como ya se dijo, no elimina los riesgos, asegurarse de que todas las contraseñas patrón sean modificadas por contraseñas fuertes es un paso importante, una vez que los nombres de usuario y contraseñas para la mayoría de los dispositivos IoT pueden ser fácilmente contratados en la internet, tornándolos vulnerables.
Actualizar dispositivo IoT: siempre que los parches de seguridad para dispositivos estén disponibles, es necesario hacer la actualización, ya que un dispositivo con configuración desactualizada es un objetivo fácil para los hackers;
-Deshabilite el Universal Plug and Play (UPnP) en ruteadores;
-Atención en la adquisición/ compra: al adquirir dispositivos IoT, verifique que sean de empresas que tengan una buena reputación en tecnología. Esto se puede reflejar en el precio, pero es más por un lado de orientación de atención a la seguridad;
-Uso de tokens: en vez de utilizar únicamente contraseñas cuando un dispositivo es adicionado a la red, puede exigir una configuración por medio del uso de tokens. Una vez que los nuevos aparatos se conecten a internet de forma “inteligente”, generalmente por medio de una red Wi-Fi, la contraseña en este caso es registrada para el dispositivo y es almacenada. Eso vuelve difícil ofrecer personalizaciones de acceso a la red para dispositivos diferentes.
Por eso, ofrecer un token de seguridad sería una alternativa para ser usada en la autentificación del ruteador Wi-Fi. En el caso de los dispositivos que también requieren conectarse a la Nube, podría ser usada esa alternativa. Con el modelo de token OAuth, las personas no serían obligadas a distribuir sus contraseñas para una cuenta que será conectada a un dispositivo. El dispositivo no ve la contraseña, pero usa una credencial de token para autentificar siempre;
-Soluciones que avanzan como mecanismo y eliminan la necesidad de autentificación basada en contraseña: para imaginar los riesgos asociados al uso de contraseñas como opción única de autentificación, la industria de TI viene, de forma general, trabajando en algunas soluciones, como OAuth, OpenID Connect y Fast IDentity Online, soluciones que complementan o eliminan la necesidad de autentificación basada en la contraseña. El mismo debe ser hecho para IoT. Ya despuntan, en ese sentido, iniciativas de grupos que comienzan a realizar padrones de protocolos en comunicación dispositivo a dispositivo, pero que necesitan, en tanto, ofrecer un salto para proporcionar más seguridad en la autenticación y autorización. Por ejemplo: así como computadores se comunican a través de HTTP, esos dispositivos conectados pueden usar protocolos más apropiados a sus limitaciones, basándose en un modelo OAuth para esos mismos protocolos.
Como vimos, el escenario es bastante nebuloso cuando se trata de seguridad digital, sobre todo en los dispositivos IoT. La principal recomendación –y acción- es ser tan rápidos a la par de los cibercriminales, lo que se convierte en un desafío para las industrias que otorgan soluciones de seguridad.
Fuentes:
http://www.darkreading.com/endpoint/changing-iot-passwords-wont-stop-attacks-heres-what-will/a/d-id/1327416?
http://cio.com.br/tecnologia/2016/10/24/ataques-provenientes-de-multiplas-plataformas-iot-devem-se-intensificar/
https://seginfo.com.br/2016/10/18/como-o-uso-de-logins-e-senhas-padrao-facilitou-a-criacao-de-uma-botnet-de-dispositivos-iot/
http://itforum365.com.br/noticias/detalhe/121919/ataques-ddos-baseados-em-internet-das-coisas-manual-de-sobrevivencia