13 de marzo de 2015

Avaya realizó en Chile su Partner Engace Week 2015

PR / Avaya

El mercado del Internet de las Cosas (IoT, por sus siglas en inglés) ha empezado a despegar en los últimos tiempos y pronto será común en los hogares. A día de hoy, los consumidores pueden comprar versiones que se conectan a Internet de casi todos los electrodomésticos imaginables. Una tendencia que parece al alza ante la que la consultora Gartner predice que en 2015 habrá 2.900 millones de dispositivos IoT conectados en espacios del hogar inteligente (‘Smart Home’).
Sin embargo, a pesar de la creciente aceptación del público por el hogar inteligente, estudios recientes parecen estar de acuerdo en que ‘seguridad’ no es una palabra que suela asociarse con los dispositivos IoT, lo que deja a los consumidores potencialmente expuestos. Recientemente, Symantec ha analizado 50 dispositivos presentes en el hogar inteligente, los cuales están disponibles hoy en día para comprobar los niveles de seguridad de todos ellos. De hecho, la investigación encontró que muchos de estos dispositivos y servicios presentan varios problemas de seguridad básica.

El panorama del hogar investigado
Los dispositivos del hogar inteligente pueden utilizar un servicio de nube back-end para monitorear el uso o permitir a los usuarios controlar de manera remota estos sistemas. Los usuarios pueden tener acceso a la información o controlar su dispositivo mediante un portal web o desde una aplicación móvil.

Para desarrollar la investigación, los expertos de Symantec se centraron en los siguientes dispositivos de IoT:
• Termostatos inteligentes
• Cerraduras inteligentes
• Focos inteligentes
• Detectores de humo inteligentes
• Dispositivos inteligentes de administración de energía
• Hubs inteligentes

No obstante, las conclusiones que se desprendieron del estudio también son aplicables a otros dispositivos inteligentes como:
• Alarmas de seguridad
• Cámaras de vigilancia IP
• Sistemas de entretenimiento (smart TV, decodificadores de TV, etc.)
• Routers de banda ancha
• Dispositivos de almacenamiento conectados a la red (NAS)

Problemas de seguridad básica
Las conclusiones del estudio desvelaron diversos problemas de seguridad en los dispositivos analizados, especialmente relacionados con una autentificación débil, vulnerabilidades web o potenciales ataques.
1.- Autenticación débil. Según explicaron desde Symantec, “ninguno de los dispositivos utilizaba autenticación mutua o contraseñas fuertes”. “Peor aún, algunos impidieron al usuario para configurar una contraseña fuerte en la interfaz de nube, al restringir la autenticación a un simple código PIN de cuatro dígitos. Si se combina esto con la ausencia de una autenticación de doble factor (2 FA) y ninguna contraseña para mitigar un ataque de fuerza bruta, entonces podrían ser un blanco fácil para los agresores”, indicaron.
2.- Vulnerabilidades web. Además de una autenticación débil, muchas interfaces web del hogar inteligente sufren de vulnerabilidades de aplicaciones web conocidas. Una prueba rápida con 15 interfaces de nube IoT reveló algunas vulnerabilidades graves, “y eso que este análisis solo fue superficial”. “Encontramos y reportamos diez vulnerabilidades relacionadas con path traversal, carga de archivos sin restricciones (ejecución remota de código), inclusión remota de archivos (RFI), e inyección SQL. Y aquí no solo hablamos de focos inteligentes; uno de los dispositivos afectados era una cerradura de puerta inteligente, que podía ser abierta de manera remota por Internet, sin siquiera conocer la contraseña”, explicaron.
3.- Ataques locales. Los atacantes que han accedido a una red doméstica, al irrumpir por ejemplo, en una red Wi-Fi con un cifrado débil, tienen otros vectores de ataque a su disposición: “Vimos dispositivos que transmiten localmente contraseñas en texto simple, o que no utilizan ninguna autenticación en absoluto. El uso de actualización de firmware sin validar, es también un rasgo común entre los dispositivos IoT. Este paso en falso de seguridad, le da a un agresor la capacidad para buscar en la red doméstica, contraseñas de dispositivos IoT. Estas credenciales robadas luego pueden utilizarse para ejecutar otros comandos e incluso, asumir el control del dispositivo al actualizarlo con una actualización de firmware maliciosa”.

Potencial de ataques
“Hasta ahora, no hemos visto ataques de malware generalizados que apunten a los dispositivos del hogar inteligente, como routers y dispositivos de almacenamiento conectados a la red. En la actualidad, la mayoría de los ataques IoT son pruebas de concepto y todavía no generan ganancias para los agresores. Esto no significa que los ciberdelincuentes no atacarán a los dispositivos IoT en un futuro, cuando la tecnología se vuelva más convencional”, afirmaron los expertos de Symantec.

Además, aseguraron que “dada la experiencia con otros casos del pasado, sabemos que los agresores son creativos y siempre buscarán nuevos métodos de ataque. Incluso si es solo para hacer un uso indebido de la tecnología, chantajear al usuario, o tener un enlace permanente en una red doméstica, los cibercriminales están siempre listos y deseosos de atacar cualquier blanco que puedan y que les represente un beneficio”.

Así que, “antes de dejarte llevar por tus nuevos proyectos de automatización en tu hogar, tómate un momento para pensar si al contar con las comodidades que brindan los dispositivos podrías exponerte a ti y a tu hogar a ataques cibernéticos. Verifica la protección con que cuentan y exige una mejor seguridad de parte de los fabricantes de tus dispositivos de hogar inteligente y de IoT, para ayudar a mejorar las cosas”, recomendaron.

Mitigación
Por desgracia, es difícil para un usuario asegurar por sí mismo sus dispositivos IoT, ya que la mayoría de ellos no proporciona un modo seguro de operación. No obstante, Symantec recomienda a los usuarios tomar en cuenta los siguientes consejos para reducir el riesgo de un posible ataque:
• Utiliza contraseñas fuertes y únicas para cuentas de dispositivos y redes Wi-Fi.
• Cambia las contraseñas que vienen por default.
• Usa un método de cifrado más fuerte al configurar redes Wi-Fi, como WPA2.
• Deshabilita o protege el acceso remoto a los dispositivos IoT, cuando no lo requieras.
• Utiliza conexiones por cable en lugar de wireless, donde sea posible.
• Emplea los dispositivos en una red doméstica separada, cuando sea posible.
• Ten cuidado al comprar dispositivos IoT usados, ya que pueden haber sido manipulados.
• Investiga las medidas de seguridad del fabricante o vendedor del dispositivo.
• Modifica la configuración de privacidad y seguridad del dispositivo, según tus necesidades.
• Deshabilita características que no sean necesarias o no uses.
• Instala las actualizaciones en cuanto estén disponibles.
• Asegúrate de que una interrupción, generada, por ejemplo, por saturaciones o a fallas en la red, no resulte en un estado inseguro de la instalación.
• Verifica si las características inteligentes son realmente necesarias o si un dispositivo normal sería suficiente.

Como un líder en la industria de seguridad, Symantec ayuda a varios fabricantes de dispositivos IoT para construir dispositivos seguros. Por eso, recomienda a los fabricantes considerar los siguientes cinco principios, que son fundamentales en el desarrollo de nuevos dispositivos:
• Modelo de confianza para IoT, por ejemplo, la autenticación del dispositivo a través de SSL.
• Proteger el código que opera el IoT, por ejemplo, una firma de código digital.
• Protección efectiva host-based para IoT, por ejemplo, protección de endpoint y hardening del sistema.
• Gestión segura y eficaz para IoT, por ejemplo, configuración y actualizaciones over-the-air.
• Análisis de seguridad para identificar y resolver amenazas nuevas y avanzadas, por ejemplo, detección de anomalías.