Si bien la seguridad de los sistemas informáticos es un problema conocido desde hace varios años, el reciente aumento de la expansión de los sistemas IoT, a pesar de tener muchas ventajas, también representa un desafío sustancial para las empresas en términos de graves riesgos de seguridad derivados de los dispositivos conectados a la red, ni monitoreados ni protegidos.
Garantizar una atención adecuada a la seguridad de los sistemas de IoT
En la actualidad, hay alrededor de 10 000 millones de dispositivos de IoT instalados en todo el mundo y se espera que en 2025 lleguen a 16 000 millones, lo que supone un aumento anual medio de alrededor del 10%, si se excluyen los dispositivos de consumo (Fuente: Statista).
Por lo tanto, resulta evidente que, ante tal difusión de objetos conectados y, por lo tanto, teóricamente accesibles desde cualquier terminal o servidor conectado a Internet, asociada a la extrema diversificación de los sistemas operativos, idiomas y protocolos utilizados, además de una atención no siempre adecuada a la seguridad, es difícil implementar un enfoque sistemático para mitigar los riesgos.
De hecho, si bien los procedimientos para proteger los dispositivos de TI estándar han alcanzado un alto nivel de fiabilidad, no puede decirse lo mismo de los dispositivos de IoT, cuyos riesgos y vulnerabilidades son menos conocidos y, con demasiada frecuencia, se pasa por alto su seguridad. La razón es doble. En primer lugar, los sistemas de ciberseguridad estándar no tienen la capacidad de reconocer tipos específicos de dispositivos de IoT, cuyos perfiles de riesgo son únicos, como lo son los comportamientos asociados a ellos.
En segundo lugar, los dispositivos de IoT se pueden distribuir desde cualquier centro de negocios y no suelen considerarse parte de la TI, por lo que eluden los controles y procesos de seguridad típicos, como la gestión de recursos, los parches de seguridad, etc.
Por estas razones, los dispositivos de IoT se han convertido en uno de los objetivos de los ciberdelincuentes, utilizados tanto como elemento vulnerable dentro de una red protegida, lo que permite el acceso y permite lanzar un ataque desde el interior al eludir el perímetro de las defensas, como una herramienta activa para organizar un típico ataque coordinado. DDoS (denegación de servicio distribuida)
Riesgos y tipos de ataques a la seguridad de los sistemas de IoT
En general, el pirata informático que lleva a cabo un ciberataque aprovecha las vulnerabilidades del firmware o el software de un dispositivo o aprovecha los errores humanos en la configuración de los dispositivos, por ejemplo, contraseñas inadecuadas. En el caso específico de los dispositivos IoT, además de ser un eslabón débil en la gestión de la seguridad informática, también representan un potencial vector de malware.
Los temores sobre las tecnologías 5G de Huawei, basados en el hecho de que los dispositivos chinos puedan estar equipados con puertas traseras diseñadas para transformarlos en dispositivos de espionaje de telecomunicaciones italianos, sin tener en cuenta las valoraciones políticas, muestran que la posibilidad se percibe como real.
Sin entrar en detalles sobre las técnicas utilizadas, las acciones del hacker tienen como objetivo tomar el control de un sistema para lograr un objetivo determinado. En el caso de los sistemas IoT, los dos tipos de ataques que han tenido mayor difusión hasta ahora son la denegación de servicio distribuida y el ransomware.
Ataque DDoS (denegación de servicio distribuida)
El ataque DDoS es una de las armas cibernéticas más antiguas. Consiste en el acceso simultáneo desde varios terminales a un servidor o un sitio web, lo que imposibilita su uso ya sea sobrecargando los recursos del propio servidor o obstruyendo la conexión. Aunque existe toda una industria dedicada a desarrollar defensas contra este tipo de ataques, en última instancia solo es cuestión de ancho de banda: si el atacante tiene más ancho de banda del que el defensor puede manejar, el atacante gana.
A diferencia de otros tipos de ciberataques, los DDoS no siempre están motivados por una intención puramente delictiva, sino que tienen un amplio espectro de motivaciones, entre las que las principales son:
ideológico/político
Cuando el DDoS se utiliza como una forma de activismo, destinado a atacar objetivos que representan un símbolo en contraste con la propia ideología. En este caso, van desde la defensa de los derechos civiles, cuando el ataque se lleva a cabo en la infraestructura de un régimen autoritario, hasta actos de auténtico terrorismo.
Delincuentes:
cuando el ataque tiene como objetivo la extorsión económica, la
ciberguerra;
cuando el DDoS se utiliza para obtener objetivos político-militares de una organización militar o paramilitar. Esta actividad suele asociarse a los estados que utilizan este tipo de ataques para obtener ventajas geopolíticas. No es ningún misterio que detrás de varios ataques a infraestructuras estadounidenses y europeas haya grupos ubicados en Rusia y China, presumiblemente vinculados a estructuras gubernamentales.
Dado que para llevar a cabo un ataque DDoS es necesario crear una red de dispositivos distribuidos, que a una determinada orden comience a realizar accesos con el objetivo marcado, el sistema IoT, precisamente por su amplia difusión, se convierte en uno de los medios ideales para llevar a cabo este tipo de ataques.
Un ejemplo es la botnet «Mirai», uno de los malware más comunes diseñado para operar principalmente en dispositivos IoT; descubierto en 2016, tuvo una difusión significativa también en 2019.
Ransomware
A diferencia de un DDoS, este tipo de ataque tiene fines exclusivamente delictivos. De hecho, el objetivo es hacer que un recurso no esté disponible, normalmente los datos contenidos en un servidor o un ordenador personal, y luego pedir un rescate por la devolución del propio recurso.
En la práctica, el ataque consiste en introducir en el ordenador vulnerable un programa malicioso que cifra los datos del usuario, haciéndolos inaccesibles, y luego informa a la víctima de que sus datos solo se pueden recuperar mediante una contraseña que se proporciona previo pago de un rescate.
La participación de los sistemas IoT en este tipo de ciberdelitos es aún marginal. Una posible estrategia es tomar el control de una planta industrial y pedir un rescate, como ocurrió en Ucrania en 2015, cuando un grupo de piratas informáticos se apoderó de la red SCADA de un grupo de empresas distribuidoras de energía, provocando un importante apagón. En el caso concreto, a diferencia de los ataques de ransomware más comunes, teniendo en cuenta la situación geopolítica del período, es más probable que la operación tuviera fines militares y no delictivos.
Conclusiones
Los problemas relacionados con la seguridad informática siguen siendo, ante todo, una cuestión cultural: se puede tener un sistema con medidas de seguridad avanzadas organizado en varias capas, que se actualice continuamente para poder hacer frente a los ataques más refinados, pero mientras la contraseña siga siendo el nombre de nuestro hijo, ninguno de esos sistemas nos será útil. Es evidente que todavía hay problemas con la percepción del riesgo, y esta actitud debería cambiar: las posibles consecuencias catastróficas de la ciberdelincuencia están, por ahora, relegadas al cine, pero el fenómeno podría agravarse. La noticia de la primera muerte directamente relacionada con un ciberdelito se remonta al pasado mes de septiembre, cuando un paciente ingresado de urgencia en el hospital de Düsseldorf (Alemania) fue desviado a otro hospital debido al bloqueo de los sistemas informáticos provocado por el ransomware, y luego falleció como consecuencia del retraso en el tratamiento.
Por este motivo, cada vez es más importante un trabajo de alfabetización digital generalizada, considerando las nuevas tecnologías no solo desde el punto de vista del mero uso, sino también desde el punto de vista del uso seguro. La mejor arma para defenderse de los ciberataques es una empresa plenamente consciente de los riesgos y no una simple usuaria de la tecnología de la información.
Además, dado que la seguridad de un sistema de IoT, desde el punto de vista de la ciberseguridad, es un parámetro difícil de evaluar, incluso más que la calidad del producto o su fiabilidad, resulta fundamental una trazabilidad clara y transparente de la cadena de suministro. De hecho, es casi imposible garantizar la seguridad de un producto cuando proviene de un país «opaco», como, por ejemplo, China, país desde el que, entre otras cosas, se lanza un porcentaje importante de ciberataques.
Anticipar los nuevos desafíos y no padecerlos por miopía, cuando el problema ya ha aflorado con toda su gravedad, puede ser una opción estratégica en el contexto de la actual temporada político-económica, en la que esperamos una recuperación económica decisiva, por lo que no podemos dejar de plantearnos una recuperación de nuestra capacidad interna para controlar el diseño y la producción de los sistemas de IoT. Aprovechar este problema crítico, aprovechando la necesidad de seguridad y alto rendimiento, está sin duda al alcance de nuestro sistema de producción. Tenemos las habilidades, hay que aprovecharlas.
Fuente: Zerounoweb.it, Network Digital360
