Internet de las Cosas: vulnerabilidades y tipos de ataque que puede sufrir

Los dispositivos de casa que se conectan a Internet est��n expuestos igual que el m��vil o el PC, aunque a mayor nivel.

Actualizado a 29 de octubre de 2019 22:35 CET

Cada vez m��s cosas forman parte del llamado Internet de las cosas o Internet of Things (IoT), un concepto que hace referencia a la interconexi��n digital de objetos cotidianos y que actualmente se usa con una denotaci��n de conexi��n avanzada de dispositivos, sistemas y servicios que va m��s all�� del tradicional M2M (m��quina a m��quina) y cubre una amplia variedad de protocolos, dominios y aplicaciones.

Los peligros y vulnerabilidades del IoT

Es precisamente este concepto de interconexi��n total a trav��s de la Red lo que puede suponer un enorme riesgo para el usuario, ya que aunque tengamos el m��vil o el port��til protegidos con AVAST y otros cuantos antivirus y programas, cosas como la Smart TV o la nevera que pueden conectarse a Internet no disponen de este nivel de protecci��n y por tanto son blancos f��ciles de ser hackeados y abrir una vulnerabilidad para que un pirata entre en nuestra red.

Por ello hay quien considera al IoT como una pesadilla de seguridad en potencia. Seg��n la OSI, la Oficina de Seguridad del Internauta, estas son las vulnerabilidades usuales a las que los IoT est��n expuestos:

Credenciales de acceso al dispositivo (usuario y contrase?a) que vienen configuradas por defecto y que en algunos casos no pueden cambiarse por otras diferentes.
Al acceder al software de control y configuraci��n del dispositivo, ��ste usa protocolos de cifrado inseguro que provoca que se pueda ver toda la informaci��n o que se pueda acceder v��a Internet (en remoto) sin establecer un filtro de seguridad.
No hay un cifrado o est�� es inseguro en las comunicaciones que realizan los dispositivos con la nube, el servidor o el usuario.
Al facilitarse la configuraci��n del dispositivo, hay par��metros y caracter��sticas de seguridad que no pueden modificarse.
En algunos casos, no disponen de actualizaciones para corregir fallos de seguridad detectados tanto en el software, como en el firmware de los dispositivos, debido a que, por ejemplo, el soporte t��cnico tiene una duraci��n determinada en el tiempo, como sucede con los sistemas operativos antiguos o con la vida ��til del dispositivo.
En determinados dispositivos IoT, se ha detectado la presencia de puertas traseras o backdoors que vienen instaladas de f��brica y que posibilitan el acceso de forma remota al dispositivo y modifican el funcionamiento del mismo.

Los tipos de ataques a los dispositivos IoT

Todas estas vulnerabilidades son factibles de ser aprovechadas y explotadas por cibercriminales con conocimientos, us��ndolas como armas para realizar distintos ataques digitales como los siguientes:

Ransomware o secuestro de dispositivos: Este tipo de ataque consiste en la infecci��n del dispositivo mediante un virus que bloquea su uso hasta que se realiza un pago, normalmente en criptomonedas, para liberarlo. Aunque el pago no garantiza la recuperaci��n del control del dispositivo.
Ataques de denegaci��n de servicio (DOS/DDOS): Este tipo de ataque se aprovecha de las vulnerabilidades que tiene el dispositivo que le permiten obtener su control. ?ste se une a una red con miles de equipos infectados que atacan a objetivos predefinidos de forma conjunta.
Bots de spam: Con la infecci��n, se busca el control del dispositivo para utilizarlo posteriormente para dirigir y gestionar el env��o masivo de correo basura.
Robo de informaci��n: Se produce mediante el ataque al dispositivo IoT que permite a su vez el acceso a otros dispositivos conectados a la red, ya sean ordenadores, servidores, routers, etc. Este ciberataque permite acceder a documentos y archivos, as�� como realizar un an��lisis del tr��fico de la red a la que est��n conectados y robar las credenciales de los diferentes servicios que usan los usuarios de dicha red (cuentas de correo, redes sociales, servicios financieros, tiendas online, etc.).
Manipulaci��n de las mediciones: Este ataque tiene como objetivo que el servidor, en base a los datos observados, proporcione informaci��n falsa o ejecute ��rdenes err��neas para provocar aver��as en las infraestructuras o en las casas, por ejemplo, sobrecargar la red el��ctrica, apertura de puertas o grifos, funcionamiento an��malo de los electrodom��sticos o de la calefacci��n, etc.
Privacidad: Los atacantes pueden obtener informaci��n de la v��ctima, como su situaci��n en un determinado lugar, sus gustos u obtener informaci��n de los dispositivos que el usuario tiene conectados a la red.

Consejos para Proteger tu red IoT

Cambia las credenciales por defecto

Cambia las credenciales (nombre de usuario y contrase?a) que vienen por defecto, ya que ��stas credenciales son comunes al resto de dispositivos de la marca, y f��ciles de conseguir en una b��squeda en Internet, lo que les convierte en objetivo de ataques. Por ejemplo, la botnet Mirai infecta a los dispositivos IoT a trav��s de las credenciales usadas por defecto, instalando c��digo malicioso en los mismos.

Red Independiente

A��sla este tipo de sistemas y los dispositivos que utilizas para conectarte con ellos en una red independiente, as�� evitar��s que alguien que acceda a tu red wifi pueda interactuar con ellos. Si no necesitas acceder de forma remota a tu red, deshabilita la administraci��n remota.

Contrase?as robustas

Protege todos los dispositivos como m��nimo con WPA2 y contrase?as robustas. Tambi��n es importante proteger la seguridad del router para evitar que alguien conectado a la red pueda acceder a ��l.

Filtrado de tr��fico

Si tienes ciertos conocimientos t��cnicos, establece un filtrado de tr��fico en la red para evitar que el tr��fico no autorizado se dirija hacia alg��n dispositivo en concreto, o hacia el exterior de la red.

Datos cifrados

Es recomendable que la informaci��n que contenga o reciba el dispositivo est�� cifrada para evitar el robo, la manipulaci��n o la modificaci��n de las acciones a realizar.

Pasarle un antivirus

Realiza an��lisis peri��dicos con un antivirus en busca de infecciones, vulnerabilidades o cualquier otra amenaza.

Revisar los permisos de las apps

Si tienes dispositivos IoT y utilizas en tu m��vil las aplicaciones de control y gesti��n de los mismos, revisa que los permisos concedidos son los que necesita y si no, deshabilita aquellos permisos que no sean necesarios para su funcionamiento.

Pol��ticas de privacidad

Lee las pol��ticas de privacidad de los dispositivos que utilices para estar informado sobre qu�� informaci��n recolecta, almacena y el uso que hace de ella la empresa creadora del producto.

Actualizaciones

Mant��n actualizado el software de los equipos y el firmware de los dispositivos IoT. Cuando m��s actualizados est��n y tengan los ��ltimos parches de seguridad, m��s dif��cil ser��n de hackear.