Foto: Shutterstock
http://www.netmedia.mx/b-secure/el-lado-b-del-internet-de-las-cosas/
B:Secure

El lado B del Internet de las Cosas

Buenos Aires, Argentina.-Las tecnologías interconectadas traerán beneficios a todas las industrias. En agricultura tenemos el ejemplo de Grupo Altex, que utiliza desde hace décadas una buena cantidad de dispositivos de monitoreo en sus invernaderos, y así podremos citar varios casos en México y a nivel global. Sin embargo, los niveles de riesgo del internet de las cosas (IoT) van en proporción a sus beneficios. ¿Qué pasará cuando un marcapasos, una casa inteligente o los sensores de una industria nuclear sean atacados y controlados por los hackers?

En el marco de la séptima cumbre Latinoamericana de analistas de seguridad de Kaspersky Lab, Roberto Martínez, analista senior del equipo global de Investigación y Análisis de la firma, señaló que las muestras de malware para dispositivos IoT se han duplicado en lo que va del 2017, en comparación con los números del 2013 al 2016.

“Vemos un despegue de los ataques IoT. Es un fenómeno lejos de ser reversible, irá en aumento”, dijo el analista.

Crecimiento de malware IoT (Fuente: Kaspersky Lab)

La ventana indiscreta
De acuerdo con cifras de la consultora Gartner, actualmente hay más de 6,000 millones de dispositivos conectados. A decir de Martínez, el reto es manejar adecuadamente los miles y millones de aparatos, ya que desde el refrigerador hasta los juguetes inteligentes de los niños podrían convertirse en la ventana indiscreta de los datos.

“El ciclo de seguridad de estos dispositivos, específicamente el software o firmware, no cumplen con estándares adecuados; no existen actualizaciones o parches, y vienen con contraseñas de fábrica y genéricas. A esto se suma el desconocimiento de los usuarios”, explicó Martínez.

La punta del icerberg de estos ataques lo vimos con Mirai en 2016, un malware enfocado en infectar cámaras y routers IP para realizar ataques de Denegación de Servicio (DDos), explicó el analista.

En abril de este año, la firma de seguridad detectó Hajime, un botnet peer to peer que afectó a más de 300,000 dispositivos, y a la fecha se desconoce el objetivo de este malware para IoT.

Un informe de la compañía, destacó que el número de muestras de malware que tienen como objetivo a los dispositivos inteligentes llegó a 7,000, y de esa cifra 50% nació en 2017. Entre los servicios más atacados se encuentran videograbadoras digitales o cámaras IP (63%), y 20% eran contra dispositivos conectados a una red, entre ellos enrutadores, módems DSL, etcétera. Cerca del 1% de los objetivos eran los dispositivos más comunes utilizados por el público, como impresoras y dispositivos inteligentes para el hogar.

La explosión de la IoT, que de acuerdo con Gartner alcanzará a más de 20,000 millones de dispositivos conectados a la red en 2020, impulsará el crecimiento de las amenazas.

En este sentido, una industria clave es el sector salud. Según datos de la firma de investigación Grand View, se invertirán a nivel global alrededor de $410,000 millones de dólares en dispositivos, software y servicios IoT en ese rubro para el 2022.

En agosto del 2017, la Administración de Alimentos y Medicamentos en Estados Unidos (FDA) emitió un comunicado donde alertó a los portadores de cierto modelo de marcapasos cardíaco sobre una posible vulnerabilidad. En total, identificó 465,000 dispositivos susceptibles a ataques —los cuales iban desde modificar la frecuencia cardíaca hasta apagar el marcapasos—.

Medjack es el nombre dado a la acción de infectar o corromper dispositivos médicos para robar información confidencial de hospitales y pacientes, y “este fenómeno pone en riesgo no solo la data de las personas sino su vida”, dijo tajante Martínez.

En México, existe un número importante de artefactos médicos IoT expuestos en la red.

Internet of Evil Things
Al parecer, el cibercrimen encontró el medio perfecto para atacar: los dispositivos IoT. “Son portables, de bajo costo y existe una cartera infinita de código open source gratuito”, dijo el analista de Kaspersky.

El costo de los kit de hackeo IoT no supera los $3,000 pesos, ya sea una estación de hackeo portátil con Raspberry PI, Raspberry Pwn, PwnBerry Pi, PwnPi o una  Raspberry Pi Zero. Además, estas herramientas se pueden instalar fácilmente en cualquier dispositivo, incluso hay extensiones para cajeros automáticos.

En palabras del fundador y CEO de la compañía, Eugene Kaspersky: “Los IoT botnets, los grupos criminales tradicionales y los ciberdelincuentes ya trabajan juntos”.

Lo preocupante del escenario es la unión de fuerzas, y que a diferencia de los “buenos”, ellos trabajan en nuevos modelos de negocios criminales y objetivos de ataque, añadió Kaspersky.

Entre los objetivos de los cibercriminales se verán cada día más ataques a infraestructuras críticas. En diciembre del 2015, la red nacional de Ucrania sufrió un ataque cibernético que provocó un corte al suministro de energía. Durante unas horas, más de 6,000 hogares de esa región se quedaron sin energía eléctrica.

En 2016, un grupo de cibercriminales atacó hospitales en Estados Unidos y Alemania. Paralizaron las operaciones de los nosocomios por varias horas.

Transportación, servicios financieros y telecomunicaciones se citan entre las industrias críticas que los hackers tienen en la mira. La IoT podría ser la puerta de entrada. Según datos de la firma de seguridad, se espera que para el 2020 una de cada cinco transacciones financieras se realicen a través de smartwatches, pulseras fitness o de pago, un negocio valuado en alrededor de $500,000 millones de dólares al año.

Blockchain y legislación of things
Los vectores de ataque serán variados, cada día surgirán más y nuevos modelos de amenazas. A ese hecho se suma que la IoT sigue en fase de expansión. ¿Qué hacer?

En entrevista, Martínez explicó que no existe una tecnología genérica para responder a todos los ataques por venir. Sin embargo, las organizaciones públicas y las empresas deben visualizar a la seguridad como un tema estratégico, y de ahí partir a la creación de un modelo integral proactivo y adaptable.

Los sistemas de seguridad deben contar también con inteligencia: recolectar información, identificar patrones y mejorar la fase de respuesta y mitigación.

En el tema de la IoT, la empresa ve en la tecnología de blockchain una opción para reducir los niveles de vulnerabilidad de estos dispositivos conectados. Mejoraría los procesos de autenticación y control, al entregar información de quién y dónde se conecta. Además, los datos que almacenan estos artefactos podrían ir cifrados, lo que ayudaría reducir los riesgos. Sin embargo, el llamado blockchain of things sigue en fase análisis.

Otra iniciativa, que ayudaría a controlar los riesgos del IoT viene del lado de la legislación. En 2016, el gobierno de Estados Unidos publicó un documento que regulaba el uso y seguridad de dispositivos IoT en el sector salud. Estos mismos marcos de referencia se podrían replicar a otras industrias, como la metalúrgica, la aeronáutica, la de energía, entre otras.

Netmedia es mucha más que noticias. suscríbase y reciba lo mejor

Te recomendamos

El lado B del Internet de las Cosas