Seguridad

10 principales fallos de seguridad de los dispositivos IoT

Una lista de los principales problemas de seguridad en dispositivos IoT en 2018, según OWASP.

La Fundación OWASP (Open Web Application Security Project) es una organización dedicada al análisis y difusión de temas, documentos y herramientas relacionadas con la seguridad del software a nivel mundial. Recientemente publicaron su «IoT Top 10 2018» como parte de su proyecto centrado en el Internet de las Cosas. Un breve documento en el que se indica cuáles son los 10 principales problemas de seguridad asociados a los dispositivos del Internet de las Cosas (IoT) y que deberían tener en cuenta todos aquellos que desarrollen, creen o gestionen sistemas IoT.

1. Contraseñas débiles, predecibles o dentro del código

Uso de credenciales no modificables, disponibles de manera pública o fáciles de adivinar mediante fuerza bruta; e incluso backdoors en firmware o software cliente que permiten obtener acceso no autorizado a sistemas aprovechando estas contraseñas vulnerables.

2. Servicios de red inseguros

Servicios de red inseguros e innecesarios que se ejecutan en el propio dispositivo, especialmente en aquellos expuestos a Internetque comprometa la confidencialidad, autenticidad o disponibilidad de la información o permita el control no autorizado de manera remota.

3. Ecosistema de interfaces inseguros

Problemas de seguridad en interfaces web, móviles, en la nube, o API de backend en ecosistemas que están fuera de los dispositivos y que permanente que tanto los dispositivos como ciertos componentes relacionados pueden ser comprometidos.

4. Falta de mecanismos de actualización de seguridad

No existe un sistema sencillo para actualizar el dispositivo de forma segura. Esto incluye: falta de validación del firmware en el dispositivo, falta de seguridad en el envío (transit not encrypted), falta de mecanismos que permitan evitar revolver un paso hacia atras, y falta de notificaciones acerca de cambios de seguridad debido a las actualizaciones.

5. Uso de componentes poco seguros o anticuados

Uso de componentes/librerías de software obsoletas y/o inseguras que podrían permitir que el dispositivo se vea comprometido. Esto incluye personalizaciones inseguras de la plataforma del sistema operativo y el uso de software de terceros o componentes de hardware de una cadena de suministro comprometida.

6. Insuficiente protección de la privacidad

Información personal del usuario almacenada en el dispositivo o en el entorno al que está conectado el dispositivo que se utiliza de forma no segura, inapropiada o sin permiso.

7. Transferencia y almacenamiento de datos de manera poco segura

Falta de encriptación o control de acceso a datos sensibles que se encuentran dentro del ecosistema; includente datos en reposo, en tránsito o durante su procesamiento.

8. Falta de controles de gestión

Falta de soporte de seguridad en los dispositivos lanzados en producción, incluida la gestión de activos, la gestión de actualizaciones, el desarme de seguridad, el monitoreo del sistema y las capacidades de respuesta.

9. Configuración poco segura por defecto

Dispositivos o sistemas lánzos con configuraciones por defecto poco seguras o sin la posibilidad de hacer más seguro al sistema mediate la aplicación de restricciones a partir de cambios en la configuración.

10. Falta de endurecimiento

Falta de medidas que permitan fortalecer los dispositivos desde el punto de vista físico, lo que permite a los atacantes llegar a información sensible que podría ser de utilizar en un futuro ataque remoto o tomar el control local del dispositivo.

Hace ya un tiempo que la seguridad en los dispositivos IoT es un tema que se sigue de cerca. Aspectos como la insuficiente protección de la privacidad, que se menciona en el punto 6, también fueron detectados por investigadores de ESET en un estudio que se publicó a principios de 2018 tras analizar doce dispositivos IoT populares disponibles en el mercado y en cada uno de los dispositivos inteligentes evaluados. presentó algún problema de privacidad; además de otro tipo de vulnerabilidades.

Hay quienes han tomado nota de algunos de estos problemas que presentan los dispositivos IoT y están tomando medidas, como es el caso del estado de California, en Estados Unidos, que aprobó una nueva ley que para el 2020 exigirá que todos los dispositivos inteligentes comercializarse debe configurarse con contraseñas únicas.

En opinión del jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez, en el informe Tendencias 2019, se espera que este año veamos casos más frecuentes de amenazas desarrolladas específicamente para dispositivos IoT.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!