Un estudio de HP reveló que los modernos productos que se conectan a Internet y forman parte del Internet de las Cosas o Internet of Things (IoT), presentan, en promedio, 25 vulnerabilidades. Esto significa que el 70% es vulnerable a ataques, y por lo tanto, que las posibilidades de los cibercriminales se siguen expandiendo.
Desde ESET, habíamos sugerido que los cibercriminales están apuntando al IoT, ya que por su estructura, esos dispositivos resultan muchas veces difíciles de proteger y se están haciendo investigaciones en torno a esto. Ya ha habido varios casos en los que se aprovechan vulnerabilidades para alterar el funcionamiento normal de estos equipos, por los que IoT sigue siendo, en muchos aspectos, un desafío en términos de seguridad.
Las vulnerabilidades encontradas en la investigación de HP tienen que ver con la seguridad de las contraseñas, problemas de privacidad, falta de cifrado, interfaces web inseguras -seis de los dispositivos evaluados presentan credenciales predeterminadas débiles y credenciales transmitidas en texto plano-, falta de permisos granulares de acceso, y protección inadecuada del software -el 60% no usa cifrado cuando descarga actualizaciones, permitiendo que puedan ser interceptadas y modificadas. Esto podría ser preocupante si tenemos en cuenta que la cantidad de dispositivos conectados seguirá creciendo exponencialmente en el futuro cercano; según Gartner, para el año 2020 habrá 30 mil millones.
Pero a medida que la tecnología avanza y nos ofrece cada vez más posibilidades, se abre también la puerta a amenazas que comprometen la seguridad de los datos, que pueden ir desde vulnerabilidades de software o Cross-Site scripting (XSS) hasta ataques de denegación de servicio (DOS).
El reporte también reveló que el 70% de los dispositivos usa servicios de red sin cifrado -es decir, no se cifran las comunicaciones entre Internet y la red local. Además, el 80% no requiere contraseñas con la suficiente fuerza y longitud para acceder. Por otra parte, el 90% recolecta al menos un dato personal del usuario, ya sea a través del dispositivo mismo, su aplicación móvil o la nube. Esta información puede ser nombres, direcciones o tarjetas de crédito, por ejemplo, por lo que la seguridad de la Internet de las Cosas preocupa a 7 de cada 10 usuarios -según el informe.
El estudio se hizo sobre 10 populares productos IoT y sus componentes mobile o en la nube, y dejó al descubierto un total de 250 vulnerabilidades. Incluyó televisores, webcams, termostatos, tomacorrientes, aspersores, hubs, cerraduras, alarmas, balanzas y controles de portones de garage.
Para protegerse de los desafíos de seguridad que plantea IoT, es necesario que las organizaciones identifiquen vulnerabilidades antes de que sean explotadas.