redseguridad 080

Vectores de ataque del Internet de las Cosas S i uno se para a reflexionar acer- ca del ritmo tan vertiginoso con el que estamos incorporando las nuevas tecnologías en nuestras vidas –tanto a nivel global del conjunto de la sociedad, como individualmente en el plano personal y profesional–, así como a la creciente tendencia que se avecina en el corto, medio y largo plazo con el ecosistema que se ha dado en denominar Internet de las Cosas (IoT, en sus siglas en inglés, Internet of Things ), es inevitable plan- tearse si las tecnologías y soluciones que estamos adoptando son suficien- temente seguras. Para poder evaluar de manera glo- bal y detallada la seguridad de cual- quier dispositivo IoT, ya sea individual- mente o como parte de una solución IoT más compleja que integra múltiples componentes y servicios, es necesario identificar y definir las áreas de análisis asociadas a la superficie de exposición y a los vectores de ataque propios de dichos dispositivos, con el propósito de poder evaluar las potenciales debili- dades y vulnerabilidades de seguridad y/o privacidad que les afectan y a sus servicios o plataformas asociadas. El presente artículo condensa el estudio realizado y publicado en el año 2017 por el CEM (Centro de Estudios en Movilidad e IoT) del ISMS Forum (disponible en www.ismsfo- rum.es/estudioCEM ). En concreto, se focaliza en el Bloque II, centrado en el "Análisis de los vectores de ataque del Internet de las cosas (IoT)" y, por tanto, en los aspectos más técni- cos asociados a las vulnerabilidades de los dispositivos y soluciones del Internet de las Cosas. Desafortunadamente, es importan- te reseñar que los dispositivos IoT presentan vulnerabilidades de segu- ridad comunes a otras tecnologías similares, ya conocidas desde hace años o incluso décadas. Por lo que parece, la industria tecnológica no aprende de la Historia y no es capaz de mitigar, o incluso erradicar por completo, algunos de los proble- mas que nos han tenido ocupados durante los últimos años; como, por ejemplo, debilidades en los mecanis- mos de autentificación, autorización y cifrado (tanto en reposo como en tránsito), vulnerabilidades en los inter- faces de gestión y administración del dispositivo IoT, o carencias a la hora de actualizar los dispositivos o en su integración con "la nube", con aplica- ciones móviles y web. Los distintos vectores de ataque asociados a un dispositivo IoT se pueden agrupar en diferentes cate- gorías, según su naturaleza, que a su vez reflejan la aproximación que podría tomar un potencial atacante a la hora de intentar vulnerar la seguri- dad de los mismos y la privacidad de su propietario o de sus usuarios, así como a la hora de encontrar debili- dades en sus mecanismos de segu- ridad, en caso de aquellas soluciones IoT que sí implementan algún tipo de protección. Las categorías descritas a continuación presentan numerosos riesgos de seguridad asociados al ecosistema de IoT y, por tanto, a cualquier tecnología conectada. Vector de ataque físico Existen numerosos ataques que úni- camente requieren de acceso físico al dispositivo IoT y a sus múltiples puertos o interfaces físicos (USB, Ethernet, consola, etc.), o incluso a sus botones. Desafortunadamente, numerosos dispositivos IoT deben estar en el día a día al alcance del usuario, al permitir la interacción directa con éste o medir y tomar acciones en lugares concretos, como en la vía pública, estaciones y aero- 74 red seguridad primer trimestre 2018 Raúl Siles Fundador y analista de Seguridad de DinoSec/ Coordinador del grupo de Amenazas y Sensibilización del Centro de Estudios en Movilidad e IoT de ISMS Forum opinión seguridad IoT monográfico