El ecosistema de dispositivos conectados que no pertenecen a la gama habitual de ordenadores, tabletas y teléfonos inteligentes y que conocemos de forma genérica como Internet de las cosas no ha dejado de crecer en los últimos años. En entornos domésticos, por ejemplo, los usuarios hemos estado conectando todo dispositivos que van desde altavoces inteligentes a todo tipo de electrodomésticos como neveras o lavadoras, conexión que permite tener un mejor control de esos dispositivos y facilitarnos la vida, pero a cambio de quedar más expuestos a los ciberataques.
Las redes de dispositivos zombies son una amenaza constante
A pesar de que los delincuentes llevan muchos años aprovechándose de vulnerabilidades, malas configuraciones o incluso credenciales débiles para tomar el control de millones de dispositivos IoT, no parece que ni los fabricantes ni los usuarios de estos dispositivos hayan aprendido la lección. Ya sea por desconocimiento o desinterés, la protección de este tipo de dispositivos conectados sigue siendo una asignatura pendiente, aun sabiendo que los delincuentes pueden utilizarlos en nuestra contra o incluso usarlos para robar información personal.
La utilización de dispositivos IoT es algo habitual, lamentablemente, y cada año vemos como los ataques de denegación de servicio distribuidos (DDoS) aumentan su magnitud y capacidad para causar caídas en todo tipo de webs, gracias, en buena medida, al aumento de dispositivos vulnerables conectados a internet. Con relativamente poco esfuerzo, los atacantes pueden tumbar las webs incluso de las empresas y organismos con más recursos del planeta gracias a contar con millones de dispositivos vulnerados a su disposición.
Muchos de los dispositivos que integran las redes de ordenadores zombies (también llamadas botnets) ven comprometida su seguridad por fallos de diseño y vulnerabilidades que nunca serán corregidas, ya sea porque el fabricante no publica los parches correspondientes o porque los usuarios no los aplican. Si a esto le sumamos que muchos paneles de administración de estos dispositivos son accesibles vía web, sin una medida de protección más allá que una simple contraseña, tenemos el cóctel perfecto para que los atacantes se apoderen de todos los dispositivos IoT para realizar sus actividades delictivas.
Tampoco debemos olvidar nichos más pequeños pero que, en los últimos años, han experimentado un crecimiento importante en el número de incidentes relacionados con botnets, como son las Smart TV con sistema operativo Android y TV boxes usadas como centros de entretenimiento y visualización de contenido. Casos como el de la botnet Pandora han conseguido infectar a miles de estos dispositivos en los últimos meses mediante la distribución de aplicaciones maliciosas que ofrecen la posibilidad de ver contenido de pago de forma gratuita o a un bajo precio.
Problemas para nuestra privacidad y cómo solucionarlos
Que los dispositivos IoT que tengamos en nuestra casa pasen a formar parte de una botnet puede ser un problema serio, pero más grave resulta que información personal y privada se vea comprometida por la falta de medidas de seguridad implementadas por el fabricante o directamente por los usuarios. Por un lado, tenemos un mercado muy competitivo en el que vemos cómo aparecen todo tipo de dispositivos conectados cada poco tiempo, desplazando a otros anteriores y relegándolos al olvido (especialmente si hablamos de actualizaciones de seguridad). Este es un problema muy grave, puesto que deja expuestos millones de dispositivos que no tardarán en ser atacados y que pueden contener información personal, así como permitir a un atacante acceder a nuestra vida privada (comprometiendo la seguridad de videocámaras conectadas, por ejemplo) o ser usados como puerta de entrada a nuestra red doméstica para tratar de atacar a otros dispositivos como nuestros ordenadores personales.
Por otro lado, tenemos las medidas de protección que los usuarios implementan, ya sea configurando el dispositivo con las opciones que proporciona el fabricante o implementando medidas que mitiguen el posible impacto de tener un dispositivo conectado comprometido por un atacante. Aquí es donde falla la parte de ciberseguridad que es responsabilidad de los usuarios, ya que la mayoría tan solo se preocupa de aprender a conectar y configurar el dispositivo para que funcione como está pensado, no de protegerlo ante posibles ciberataques.
Por estos motivos es importante aplicar ciertas medidas de seguridad que ayuden a proteger estos dispositivos y el acceso a los mismos, medidas como:
- Utilización de contraseñas únicas y robustas, si puede ser complementadas con algún tipo de autenticación de doble factor.
- Actualizar el firmware y el sistema operativo de los dispositivos conectados periódicamente, puesto que suelen aplicar parches de seguridad.
- Evitar instalar aplicaciones o complementos de fuentes no fiables, revisando los permisos que requieren para funcionar y descartando aquellas excesivamente invasivas.
- Salvo que sea estrictamente necesario, debemos evitar rootear nuestros dispositivos, ya que esto permite a los atacantes evadir posibles mecanismos de seguridad implementados por el fabricante.
- Si tu dispositivo lo permite, instala una solución de seguridad que te ayude a detectar posibles amenazas.
- Separa las redes de tu casa de forma que dispositivos del IOT no tengan acceso a otros dispositivos donde se almacene información importante como tu ordenador personal. Muchos routers actuales ya permiten realizar esta segmentación de redes de forma sencilla activando una “red para invitados”