Si uno se para a reflexionar acerca del ritmo tan vertiginoso con el que estamos incorporando las nuevas tecnologías en nuestras vidas –tanto a nivel global del conjunto de la sociedad, como individualmente en el plano personal y profesional–, así como a la creciente tendencia que se avecina en el corto, medio y largo plazo con el ecosistema que se ha dado en denominar Internet de las Cosas (IoT, en sus siglas en inglés, Internet of Things), es inevitable plantearse si las tecnologías y soluciones que estamos adoptando son suficientemente seguras.
Para poder evaluar de manera global y detallada la seguridad de cualquier dispositivo IoT, ya sea individualmente o como parte de una solución IoT más compleja que integra múltiples componentes y servicios, es necesario identificar y definir las áreas de análisis asociadas a la superficie de exposición y a los vectores de ataque propios de dichos dispositivos, con el propósito de poder evaluar las potenciales debilidades y vulnerabilidades de seguridad y/o privacidad que les afectan y a sus servicios o plataformas asociadas.
El presente artículo condensa el estudio realizado y publicado en el año 2017 por el CEM (Centro de Estudios en Movilidad e IoT) del ISMS Forum (disponible en www.ismsforum.es/estudioCEM). En concreto, se focaliza en el Bloque II, centrado en el «Análisis de los vectores de ataque del Internet de las cosas (IoT)» y, por tanto, en los aspectos más técnicos asociados a las vulnerabilidades de los dispositivos y soluciones del Internet de las Cosas.
Desafortunadamente, es importante reseñar que los dispositivos IoT presentan vulnerabilidades de seguridad comunes a otras tecnologías similares, ya conocidas desde hace años o incluso décadas. Por lo que parece, la industria tecnológica no aprende de la Historia y no es capaz de mitigar, o incluso erradicar por completo, algunos de los problemas que nos han tenido ocupados durante los últimos años; como, por ejemplo, debilidades en los mecanismos de autentificación, autorización y cifrado (tanto en reposo como en tránsito), vulnerabilidades en los interfaces de gestión y administración del dispositivo IoT, o carencias a la hora de actualizar los dispositivos o en su integración con «la nube», con aplicaciones móviles y web.
Los distintos vectores de ataque asociados a un dispositivo IoT se pueden agrupar en diferentes categorías, según su naturaleza, que a su vez reflejan la aproximación que podría tomar un potencial atacante a la hora de intentar vulnerar la seguridad de los mismos y la privacidad de su propietario o de sus usuarios, así como a la hora de encontrar debilidades en sus mecanismos de seguridad, en caso de aquellas soluciones IoT que sí implementan algún tipo de protección. Las categorías descritas a continuación presentan numerosos riesgos de seguridad asociados al ecosistema de IoT y, por tanto, a cualquier tecnología conectada.
Vector de ataque físico
Existen numerosos ataques que únicamente requieren de acceso físico al dispositivo IoT y a sus múltiples puertos o interfaces físicos (USB, Ethernet, consola, etc.), o incluso a sus botones. Desafortunadamente, numerosos dispositivos IoT deben estar en el día a día al alcance del usuario, al permitir la interacción directa con éste o medir y tomar acciones en lugares concretos, como en la vía pública, estaciones y aeropuertos, hospitales, edificios o en la habitación de un hotel.
Debe tenerse en cuenta que hay escenarios donde un atacante puede analizar las debilidades de un dispositivo IoT sin ni siquiera disponer de acceso físico al mismo, por ejemplo, obteniendo el firmware o los detalles de las actualizaciones desde la web del fabricante.
Este vector de ataque es probablemente el más prevalente ya que, sin las adecuadas protecciones a nivel físico, el dispositivo puede ser manipulado sin limitación hasta ser vulnerado.
Sobre comunicaciones
Multitud de ataques tienen como objetivo los protocolos o tecnologías de comunicación del dispositivo IoT con el resto del ecosistema: otros dispositivos IoT, un controlador (o hub), apps móviles, servicios remotos, «la nube», etc. La finalidad de estos ataques es la interceptación y manipulación de todos los datos intercambiados.
Las soluciones IoT emplean una gran variedad de tecnologías de comunicación, tanto cableadas como inalámbricas (más expuestas al no requerir acceso físico), cómo por ejemplo Bluetooth y BLE, Wi-Fi, Z-Wave, LoRaWan, SigFox, comunicaciones móviles (2/3/4/5G), etc., y otros mecanismos de comunicación propietarios (empleando habitualmente las frecuencias de 433 y 868 MHz en Europa).
Este vector de ataque es probablemente el más común, ya que todos los dispositivos IoT disponen de múltiples mecanismos de comunicación, habitualmente haciendo uso de varios de ellos simultáneamente.
Sobre las capacidades de gestión
Los mecanismos de gestión de los propios dispositivos IoT (comúnmente asociados a un interfaz web), locales o remotos (a través de plataformas específicas), permiten su configuración y administración. Por este motivo, los ataques sobre estos tienen un mayor impacto, ya que permitirían la manipulación no autorizada de uno o de todos los dispositivos de un mismo tipo, o vinculados a un mismo entorno o solución IoT.
Este vector de ataque es probablemente el más atractivo para un atacante, ya que su objetivo final es poder controlar y administrar a su antojo, y sin limitaciones, los dispositivos IoT vulnerados.
Sobre los servicios y/o datos
Por último, las soluciones IoT, conformadas normalmente por controladores (o hubs), sensores y actuadores, recogen, procesan, almacenan y trasmiten datos, tanto en los propios dispositivos como en servidores centrales. En función de las capacidades y funcionalidad de la solución, algunos de estos datos pueden ser muy sensibles, como los asociados a infraestructuras críticas, entornos de seguridad física o entornos médicos. En consecuencia, el objetivo de muchos ataques se centra «simplemente» en la obtención y/o manipulación de estos datos.
Este vector de ataque es probablemente el más sutil, ya que se centra en la funcionalidad principal y la lógica de negocio de la solución IoT, para beneficio del atacante.
Los riesgos asociados a todos estos vectores de ataque son múltiples, y permitirían a un potencial atacante obtener toda la información almacenada localmente en el dispositivo IoT o intercambiada con servicios remotos, incluyendo los datos de los usuarios junto a detalles internos críticos para su funcionamiento, como su firmware, contraseñas o claves de cifrado.
Asimismo, el atacante dispondría de acceso privilegiado al dispositivo IoT y control completo del mismo, pudiendo modificar su comportamiento, sutil e imperceptiblemente, o significativamente, según sus objetivos. Estas capacidades permitirían cometer fraudes, realizar denegaciones de servicio (DoS), suplantar a otros elementos, manipular los datos recabados por sensores o las acciones llevadas a cabo por actuadores, etc.
¿Realmente deseamos un futuro en el que estemos completamente rodeados de tecnología, involucrada irremediablemente en cada tarea y acción diaria, y donde no podamos realmente estar seguros de quién tiene acceso a toda nuestra información y actividades, quién las controla y manipula, y donde hayamos perdido el control de nuestro entorno tecnológico? Todavía estamos a tiempo de evaluar la seguridad del ecosistema IoT global y tomar acciones para mejorarla, aunque no hay mucho margen…