Inseguridad en el Internet de las cosas: una problemática sin solución a corto plazo.

En pleno 2019 ya no resulta extraño hablar de las “virtudes” que nos ofrecen los dispositivos del llamado Internet de las cosas (IoT). Por desgracia, tampoco es nada sorprendente ver ataques a estos dispositivos de forma continua, ataques que pueden llegar a tener consecuencias graves si no se mitigan a tiempo.

Noticias recientes como el anuncio del gobierno japonés de “auditar” los dispositivos IoT de sus ciudadanos en busca de los que aún mantengan las credenciales por defecto para después notificarselo a sus propietarios, han vuelto a sacar a relucir el debate sobre la inseguridad de la gran mayoría de estos aparatos.

Inseguridad por diseño

Uno de los problemas principales de los dispositivos del Internet de las cosas es la poca preocupación que tienen sus fabricantes en lo que respecta a la seguridad. En un mundo donde las fechas de lanzamiento y los costes tienen un peso muy importante a la hora de tomar decisiones, la seguridad de estos aparatos queda en un segundo plano la mayoría de las veces.

También se ha de tener en cuenta que muchos fabricantes consideran que la seguridad de su dispositivo choca directamente con la usabilidad del mismo. Si bien es cierto que toda implementación de una capa de seguridad repercute en mayor o menor medida en la usabilidad, siempre se puede buscar un equilibrio que permita cumplir unos requisitos mínimos en materia de protección del aparato y de los datos que este almacena.

Las fechas que se marcan como plazo para el lanzamiento de estos dispositivos, para así adelantarse a la competencia, tampoco permiten que el equipo de desarrolladores del firmware que suele gobernar estos dispositivos lo revisen en busca de vulnerabilidades. Esto provoca que los investigadores descubran no pocos agujeros de seguridad con la esperanza de que las empresas los solucionen pero, por desgracia, la despreocupación de los fabricantes a la hora de implementar las debidas soluciones hace que sean los usuarios quienes paguen las consecuencias

Intensificación de los ataques

Sabedores del aumento del número de dispositivos del Internet de las cosas y de su inseguridad, los delincuentes no tardaron en empezar a aprovechar las múltiples vulnerabilidades existentes, y las nuevas que van apareciendo constantemente. Hace ya algunos años empezamos a ver como aparecían las primeras noticias que hablaban de ataques a dispositivos como cámaras IP, algo bastante llamativo por aquel entonces.

Sin embargo, los ataques que hemos venido observando en años posteriores han demostrado que la inseguridad de estos dispositivos pueden poner en peligro mucho más que imágenes capturadas por una cámara web. La entrada en escena de asistentes virtuales como Siri, Alexa o el propio asistente de Google o Facebook a través de dispositivos domésticos capaces de reconocer órdenes por voz o grabar vídeo también ha puesto en duda la seguridad de nuestra privacidad en el hogar.

Pero estas ofensivas contra la privacidad palidecen ante la utilización de dispositivos IoT en actividades criminales a gran escala. Los ataques de la botnet Mirai supusieron un punto de inflexión y una llamada de atención, y han demostrado que miles de dispositivos IoT comprometidos y utilizados de forma conjunta en un ataque podían ocasionar graves daños. A la gravedad de estos asaltos se une el hecho de que no se requieren conocimientos avanzados para hacerse con una botnet compuesta por este tipo de dispositivos. De esta manera se incrementó el número de incidentes.

Soluciones y medidas a tener en cuenta

Ante esta situación, los usuarios somos los principales perjudicados por la inseguridad del Internet de las cosas. El problema es que a la mayoría no parecen importarles estos incidentes hasta que les afectan directamente. Por ese motivo, resulta esencial concienciar a todos los niveles de la importancia de valorar la seguridad de estos dispositivos y cómo una vulnerabilidad o fallo de diseño puede tener consecuencias graves a título personal.

Tampoco sirve de nada recomendar la instalación de actualizaciones que solucionen posibles fallos de seguridad si las empresas desarrolladoras no las publican y se centran únicamente en lanzar una nueva versión del dispositivo pero que contiene los mismos fallos de seguridad que los modelos anteriores.

La buena noticia es que se empiezan a promover legislaciones que obligan a los fabricantes a proporcionar un mínimo de seguridad y actualizaciones a los dispositivos que desarrollan. Esto es algo que aún tardaremos en ver de forma efectiva y que solo supone un primer paso, pero es mucho mejor que la situación actual.

Al final, a aquellos usuarios que estén preocupados actualmente por la seguridad de sus dispositivos IoT o por los datos privados que almacenan en ellos solo les queda la opción de indagar por su cuenta, limitar las funcionalidades que puedan suponer un riesgo, usar soluciones de seguridad que revisen la configuración de seguridad de los dispositivos conectados a su red o, en casos extremos, sustituir el firmware que viene de fábrica por otro que sí esté siendo monitorizado y actualizado de forma continua.

Conclusión

El avance de los dispositivos conectados es imparable y lo debemos asumir. Pero lo que no podemos permitir es que este avance vaya acompañado de un riesgo creciente para nuestra seguridad y la privacidad de nuestros datos. Es hora de exigir unos mínimos de seguridad, tanto en el diseño como durante la vida útil del dispositivos para así dificultar las cosas, aunque sea un poco, a los atacantes, y que estos dejen de ver el IoT como un gran filón de aparatos dispuestos a ser comprometidos y utilizados en todo tipo de actividades delictivas.

Josep Albors

Día Internacional de la Internet Segura 2019: trabajando juntos para que los niños tengan una mejor experiencia online