El análisis de la seguridad de los dispositivos conectados a la Internet de las cosas (IoT, sigla en inglés) presenta una gran complejidad debido a la amplia variedad de equipos y software existentes en elmercado.
Eset, compañía especializada en la detección proactiva de amenazas, investigó este tipo de dispositivos y explicó en un comunicado que me envió cómo descubrir sus vulnerabilidades.
Según una encuesta realizada por esta empresa a principios del año 2018, el 70% de los usuarios cree que los dispositivos IoT no son seguros. Sin embargo, el 62% aseguró que los compraría igual.
Para el 2020, según una proyección de la consultora Gartner, se calcula que habrá 20 mil millones de dispositivos IoT en el mundo, un número que equivale a 3 dispositivos por habitante.
Estas cifras se ven reflejadas en la cantidad de dispositivos IoT que se encuentran actualmente en los hogares y en las compras, dado que en 2018 las ventas de dispositivos inteligentes superó a la cantidad de equipos móviles vendidos.
Este panorama vuelve fundamental tener en cuenta los aspectos de seguridad de este tipo de dispositivos.
Lo primero que hay que tener en cuenta es observar la información que se presenta en su configuración, interacciones, tráfico u otros archivos que pueden ser útiles para conocer mejor su funcionamiento, el entorno donde están conectados o incluso información personal del usuario.
Si bien su análisis puede resultar complejo, las técnicas más útiles para obtener información sobre vulnerabilidades son las siguientes, según el relevamiento de Eset:
Ingeniería reversa de aplicaciones y «firmwares»
Todos los dispositivos IoT son controlados a través de aplicaciones que se pueden descargar y a las que se le puede aplicar ingeniería reversa.
A veces es mejor comenzar con el análisis de las aplicaciones que controlan los dispositivos inteligentes para ver cuáles son más vulnerables y podrían permitir un mejor análisis.
La ingeniería inversa se utiliza para entender cómo funciona una aplicación a partir de su ejecutable o empaquetado.
En el caso de las aplicaciones móviles se puede, incluso, llegar a obtener el código fuente de estas, lo que es útil para analizar sus funciones, entender cómo recibe y envía información y hasta descubrir vulnerabilidades y cómo explotarlas.
Análisis de tráfico y MiTM
Una gran cantidad de información viaja desde y hacia los dispositivos, por lo que conocerla dá amplia ventaja en el control del equipo.
Ya sea porque el dispositivo se comunica a través de protocolos inseguros o por que se logró descifrar la comunicación, a partir del análisis del tráfico de red se puede obtener información sensible y también entender y analizar protocolos de comunicación.
MiTM es una sigla en inglés por un ataque “man in the middle“ o si lo traducimos literalmente a “hombre en el medio”, un tipo de amenaza que se aprovecha de un intermediario.
Muchas veces se pueden alterar los paquetes enviados y recibidos o hasta incluso generar nuevos.
“Muchos dispositivos se vuelven inseguros por usuarios que no prestan atención a las configuraciones. Es muy común, encontrar puertos y servicios habilitados por defecto, incluso algunos obsoletos o que no están siendo utilizados. Además, hay casos de usuarios y contraseñas por defecto que tampoco se cambian a la hora de activarlos”, comentó Camilo Gutierrez, jefe del laboratorio de investigación de Eset Latinoamérica.
“Si se quiere disfrutar de una casa inteligente priorizando la seguridad, es importante considerar algunas medidas para disfrutar de la tecnología de manera segura”, recomendó Gutierrez.
Eset brindó los siguientes consejos para mantener protegidos los dispositivos hogareños:
- Mantener los dispositivos actualizados. Muchas vulnerabilidades son reportadas y corregidas en poco tiempo, por lo que si se mantienes en la última versión de las aplicaciones y firmware se estará menos expuesto.
- Investigar y analizar qué equipos comprar. En Internet hay muchas revisiones y análisis de seguridad publicados sobre varios dispositivos. Incluso se puede utilizar la ingeniería reversa para analizar las aplicaciones antes de comprar un dispositivo y elegir así el modelo más seguro.
- Tomarse un tiempo para configurar los dispositivos correctamente. Deshabilitar puertos y servicios que no se utilicen, evitar las configuraciones por defecto y cambiar las contraseñas.