IoT no seguro, vulnerabilidades ilimitadas

Todos hemos escuchado la frase “vivimos en un mundo hiperconectado”. Tenemos acceso a vastos almacenes de información y aplicaciones a través de un dispositivo en nuestro bolsillo. Cada vez más de nuestros datos personales e incluso biométricos se procesan activamente en la nube para brindar información sobre cómo funciona nuestro cuerpo.

Sin embargo, el Internet de las cosas (IoT) no está exento de desafíos. Al traer más dispositivos en línea (dándoles una dirección IP y haciéndolos direccionables) estamos aumentando activamente el área de superficie de un mundo pirateable.

El crecimiento explosivo de IoT se ha emparejado con un crecimiento explosivo en el abuso de dispositivos. Los dispositivos conectados que nos deleitan con el conocimiento de nuestros hábitos y patrones tienen la capacidad de socavar nuestra privacidad, asediar nuestra identidad y, en los casos más extremos, causar daños físicos reales a través de la guerra cibernética.

Canal de comentarios de IoT

Gartner pronosticó que se venderían 322 millones de dispositivos portátiles en 2017. El aumento masivo del 48 % desde 2015 se debe en parte a la popularización de la tecnología portátil como estilo de vida. A medida que la tecnología se integra en nuestra vida diaria a través de la rutina o como un hábito, nos estamos convirtiendo en máquinas generadoras de micro-bio-datos.

Los dispositivos y su conectividad van desde los más pequeños hasta cosas con pantallas y funciones interactivas. Lo que probablemente no estemos pensando es en la multitud de dispositivos necesarios para tener un canal de retroalimentación.

¿De qué sirve una medida si no puede verla o aprender lo que significa? Estos dispositivos están generando una tonelada de correo electrónico transaccional a través de nuestros teléfonos y otros monitores de "salida" para que nos demos cuenta del valor de medir nuestra actividad diaria.

Los mensajes generados por correo electrónico e IoT presentan oportunidades únicas para los phishers y los estafadores.

Cada flujo de correo generado por un nuevo dispositivo portátil debe protegerse porque el phishing definitivamente está en aumento.

Según el APWG (Anti-Phishing Working Group), los ataques de phishing aumentaron un 65 por ciento entre 2015 y 2016.

Conexiones infinitas

Los eventos en mi casa generan correos electrónicos y notificaciones automáticas que me alertan sobre movimiento o cuando mi paseador de perros trae a mi perro a casa después de un jugueteo en el parque. Por la noche, millones de personas usan un Fitbit para dormir para poder monitorear, registrar y analizar sus patrones de sueño.

Los juguetes de los niños se están supercargando con capacidades digitales, animatrónicos, y se puede acceder a ellos de forma remota para una mayor interactividad a través de Bluetooth y otros estándares de comunicación.

Mi sous vide cooker tiene conexión wi-fi y bluetooth para que pueda avisar a mi teléfono si la temperatura del baño de agua cambia, o cuando está listo para sumergir la comida. El GPS de mi iPhone, combinado con una correa para el pecho, se convierte en un rastreador de entrenamiento de cuerpo completo que registra mi ruta en Strava y cuánto sufrí escalando el terreno montañoso del Área de la Bahía.

Seguridad Marginal

Cada dispositivo agregado al floreciente IoT es esencialmente capaz de recopilar y transmitir información de identificación personal (PII). Los fabricantes de estos dispositivos se están moviendo rápidamente para intentar introducir dispositivos cada vez más inteligentes y sensibles que van desde la biometría hasta la automatización del hogar y la conectividad automotriz. Sin embargo, todos estos dispositivos introducen nuevos riesgos y desafíos de seguridad en lo que ya es un entorno inseguro.

Quizás el compromiso más famoso de un dispositivo similar a IoT no fue un dispositivo IoT en absoluto, sino una red con espacio de aire. El virus Stuxnet paralizó una instalación de enriquecimiento nuclear iraní: un virus informático en realidad causó daños masivos en el mundo físico. Stuxnet fue un ejemplo de guerra cibernética que solo imaginamos posible en las películas. A menor escala, pero infinitamente más tangible, fue la filtración de millones de grabaciones de voz de niños y sus padres a través de un oso de peluche conectado.

Cada dispositivo IoT es esencialmente un punto final al que se puede acceder a través de API o algún otro medio para enviar y recibir información.

Lo que es extremadamente atractivo para los phishers y los piratas informáticos es la naturaleza de los dispositivos IoT: siempre encendidos y aprovechando la conexión más rápida disponible.

Cada dispositivo individual requiere que el punto final sea seguro para garantizar que no pueda verse comprometido y absorbido por una red de bots capaz de montar un ataque DDoS u otras formas de contenido malicioso. Dado que la mayoría de los dispositivos se fabrican en el extranjero, hay poca o ninguna supervisión sobre cómo se construyen estos dispositivos o los tipos de servicios que se ejecutan en ellos.

Mayor conciencia

Organizaciones preocupadas por la seguridad como Arbor Networks están extrayendo datos de trampas para medir la actividad de explotación en torno a IoT. De manera similar, el Grupo de Trabajo Anti-Abuso de Mensajería, Malware y Móviles (M3AAWG) está comenzando a tomarse muy en serio las amenazas implícitas en una sociedad exponencialmente conectada.

En abril de 2017, M3AAWG anunció un nuevo grupo de interés especial de IoT para coordinar los esfuerzos de los miembros para resolver problemas de abuso de dispositivos IoT comprometidos. El nuevo grupo de interés especial desarrollará pautas y procesos de reputación para los fabricantes de dispositivos, además de crear conciencia sobre los peligros del IoT no seguro.

Seguridad primero

Al igual que los submarinos, y su caracterización de "correr en silencio, correr en profundidad", IoT, como un subsector de tecnología floreciente, necesita poner la seguridad a la vanguardia de la marcha hacia la fabricación de dispositivos más innovadores. No hay duda de que IoT está enriqueciendo nuestras vidas. Todos podemos estar de acuerdo en que, desde el teléfono móvil hasta los relojes y los rastreadores de actividad física, todos somos un poco más inteligentes gracias a ello; sin embargo, los protocolos y las políticas de seguridad deben seguir el ritmo.

Como resultado, la mensajería debe protegerse como parte de la protección general de los datos que estos dispositivos envían hacia y desde todos los días. IoT ha aumentado la cantidad de datos que nos sentimos cómodos abriendo al mundo exterior y nuestro nivel de comodidad con la externalización de detalles sobre nuestras rutinas. Pero al mismo tiempo, debemos asegurarnos de que los malos actores no ingresen y usen esos datos en nuestra contra.

Si desea obtener más información sobre otras estafas específicas por correo electrónico y cómo puede protegerse, consulte Phishing, Doxxing, Botnets y otras estafas por correo electrónico: lo que necesita saber.