La Fundación OWASP (Open Web Application Security Project) es una organización dedicada al análisis y divulgación de temas, documentos y herramientas relacionadas con la seguridad del software a nivel global. Recientemente publicaron su “IoT Top 10 2018” como parte de su proyecto enfocado a la Internet de las Cosas. Un breve documento en el que se indica cuáles son los 10 principales problemas de seguridad asociados con dispositivos de la Internet de las Cosas (IoT) y que deberían ser tenidos en cuenta por todos aquellos que desarrollen, creen o manejo sistemas IoT.
1. Contraseñas débiles, predecibles o dentro del código
Uso de credenciales no modificables, disponibles de manera pública o fáciles de adivinar mediante fuerza bruta; e incluso de backdoors en firmware o software cliente que permiten obtener acceso no autorizado a sistemas aprovechando estas contraseñas vulnerables.
2. Servicios de red inseguros
Servicios de red inseguros e innecesarios corriendo en el propio dispositivo, especialmente en aquellos expuestos a Internet, que comprometen la confidencialidad, autenticidad o disponibilidad de la información o permiten control no autorizado de manera remota.
3. Ecosistema de interfaces inseguros
Problemas de seguridad en interfaces web, móviles, en la nube, o API de backend en ecosistemas que están fuera de los dispositivos y que permiten que tanto los dispositivos como ciertos componentes relacionados puedan ser comprometidos.
4. Falta de mecanismos de actualización seguros
Falta de un sistema sencillo para actualizar el dispositivo de manera segura. Esto incluye: falta de validación del firmware en el dispositivo, falta de seguridad en el envío (tránsito no cifrado), falta de mecanismos que permitan evitar volver un paso hacia atrás, y falta de notificaciones acerca de cambios de seguridad debido a las actualizaciones.
5. Uso de componentes poco seguros o anticuados
Uso de componentes/librerías de software obsoletas y/o inseguras que podrían permitir que el dispositivo sea comprometido. Esto incluye personalizaciones inseguras de la plataforma del sistema operativo y el uso de software de terceras partes o componentes de hardware de una cadena de suministro comprometida.
6. Insuficiente protección a la privacidad
Información personal del usuario almacenada en el dispositivo o en el entorno al cual se conecta el dispositivo que es utilizada de manera poco segura, inapropiada o sin permiso.
7. Transferencia y almacenamiento de datos de manera poco seguro
Falta de cifrado o control de acceso para datos sensibles que están dentro del ecosistema; incluyendo datos en reposo, en tránsito o durante su procesamiento.
8. Falta de controles de gestión
Falta de soporte de seguridad en dispositivos lanzados a producción, incluyendo la gestión de activos, gestión de actualizaciones, desarmado seguro, monitoreo de sistemas y capacidades de respuesta.
9. Configuración poco segura por defecto
Dispositivos o sistemas lanzados con configuraciones por defecto poco seguras o sin la posibilidad de hacer más seguro al sistema mediante la aplicación de restricciones a partir de cambios en la configuración.
10. Falta de hardening
Falta de medidas que permitan robustecer los dispositivos desde el punto de vista físico, lo que permite a potenciales atacantes llegar a información sensible que podría ser de utilidad en un futuro ataque remoto o tomar control local del dispositivo.
Hace ya un tiempo que la seguridad en los dispositivos IoT es un tema que se sigue de cerca. Aspectos como la insuficiente protección a la privacidad, que se menciona en el punto 6, también fueron detectados por investigadores de ESET en un estudio que se publicó a principios de 2018 luego de analizar doce populares dispositivos IoT disponibles en el mercado y en el que cada uno de los dispositivos inteligentes evaluados presentó algún problema de privacidad; además de otro tipo de vulnerabilidades.
Hay quienes ya tomaron nota de algunos de estos problemas que presentan los dispositivos IoT y están tomando medidas, como es el caso del estado de California, en Estados Unidos, que aprobó una nueva ley que para el año 2020 exigirá que todos los dispositivos inteligentes comercializados deberán venir configurados con contraseñas únicas.
De acuerdo a la opinión jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez, en el informe Tendencias 2019, es de esperarse que este año veamos con más frecuencia casos de amenazas desarrolladas específicamente para dispositivos IoT.