redseguridad 080

red seguridad primer trimestre 2018 75 puertos, hospitales, edificios o en la habitación de un hotel. Debe tenerse en cuenta que hay escenarios donde un atacante puede analizar las debilidades de un dispo- sitivo IoT sin ni siquiera disponer de acceso físico al mismo, por ejemplo, obteniendo el firmware o los detalles de las actualizaciones desde la web del fabricante. Este vector de ataque es proba- blemente el más prevalente ya que, sin las adecuadas protecciones a nivel físico, el dispositivo puede ser manipulado sin limitación hasta ser vulnerado. Sobre comunicaciones Multitud de ataques tienen como objetivo los protocolos o tecnologías de comunicación del dispositivo IoT con el resto del ecosistema: otros dispositivos IoT, un controlador (o hub ), apps móviles, servicios remo- tos, "la nube", etc. La finalidad de estos ataques es la interceptación y manipulación de todos los datos intercambiados. Las soluciones IoT emplean una gran variedad de tecnologías de comunicación, tanto cableadas como inalámbricas (más expuestas al no requerir acceso físico), cómo por ejemplo Bluetooth y BLE, Wi-Fi, Z-Wave, LoRaWan, SigFox, comuni- caciones móviles (2/3/4/5G), etc., y otros mecanismos de comunicación propietarios (empleando habitual- mente las frecuencias de 433 y 868 MHz en Europa). Este vector de ataque es probable- mente el más común, ya que todos los dispositivos IoT disponen de múl- tiples mecanismos de comunicación, habitualmente haciendo uso de varios de ellos simultáneamente. Sobre las capacidades de gestión Los mecanismos de gestión de los propios dispositivos IoT (común- mente asociados a un interfaz web), locales o remotos (a través de pla- taformas específicas), permiten su configuración y administración. Por este motivo, los ataques sobre estos tienen un mayor impacto, ya que per- mitirían la manipulación no autorizada de uno o de todos los dispositivos de un mismo tipo, o vinculados a un mismo entorno o solución IoT. Este vector de ataque es proba- blemente el más atractivo para un atacante, ya que su objetivo final es poder controlar y administrar a su antojo, y sin limitaciones, los disposi- tivos IoT vulnerados. Sobre los servicios y/o datos Por último, las soluciones IoT, con- formadas normalmente por controla- dores (o hubs ), sensores y actuado- res, recogen, procesan, almacenan y trasmiten datos, tanto en los propios dispositivos como en servidores cen- trales. En función de las capacida- des y funcionalidad de la solución, algunos de estos datos pueden ser muy sensibles, como los asociados a infraestructuras críticas, entornos de seguridad física o entornos médi- cos. En consecuencia, el objetivo de muchos ataques se centra "simple- mente" en la obtención y/o manipula- ción de estos datos. Este vector de ataque es probable- mente el más sutil, ya que se centra en la funcionalidad principal y la lógica de negocio de la solución IoT, para beneficio del atacante. Los riesgos asociados a todos estos vectores de ataque son múltiples, y permitirían a un potencial atacante obtener toda la información almace- nada localmente en el dispositivo IoT o intercambiada con servicios remotos, incluyendo los datos de los usuarios junto a detalles internos críticos para su funcionamiento, como su firmware , contraseñas o claves de cifrado. Asimismo, el atacante dispondría de acceso privilegiado al dispositivo IoT y control completo del mismo, pudien- do modificar su comportamiento, sutil e imperceptiblemente, o significativa- mente, según sus objetivos. Estas capacidades permitirían cometer frau- des, realizar denegaciones de servicio (DoS), suplantar a otros elementos, manipular los datos recabados por sensores o las acciones llevadas a cabo por actuadores, etc. ¿Realmente deseamos un futuro en el que estemos completamente rodea- dos de tecnología, involucrada irreme- diablemente en cada tarea y acción diaria, y donde no podamos realmente estar seguros de quién tiene acceso a toda nuestra información y activida- des, quién las controla y manipula, y donde hayamos perdido el control de nuestro entorno tecnológico? Todavía estamos a tiempo de evaluar la segu- ridad del ecosistema IoT global y tomar acciones para mejorarla, aun- que no hay mucho margen... El vector de ataque sobre las comunicaciones es el más común, ya que los dispositivos IoT disponen de múltiples mecanismos de este tipo. opinión seguridad IoT monográfico