Conoce a tu enemigo, principales vectores de ataque

 

Los vectores de ataque son los métodos que utilizan los ciberdelincuentes para hacerse con su objetivo, como por ejemplo, obtener información o tomar el control del dispositivo. Los principales vectores de ataque que afectan a los dispositivos IoT son:

• Errores en la implementación de los dispositivos IoT dentro de la red empresarial. El principal error que se comete es no segmentar adecuadamente la red, evitando que ante un acceso no autorizado al dispositivo IoT, se tenga además acceso a otros recursos de la empresa.
• Si un ciberdelincuente consigue acceso a la red local o LAN, donde se encuentra el dispositivo IoT, o al receptor de la información, podría acceder a esta llegando incluso a modificarla. A este tipo de ciberataques se les conoce como hombre en el medio o MitM, por sus siglas en inglés Man-in-the-Middle.
• Acceso no autorizado a la plataforma de administración. Los dispositivos IoT suelen contar con una interfaz web o aplicación móvil para su administración. Si estas cuentan con vulnerabilidades o configuraciones de seguridad deficientes, se podría producir un acceso no autorizado y los ciberdelincuentes podrían controlar el dispositivo a su antojo.
• El acceso físico a los dispositivos IoT por parte de los ciberdelincuentes puede ser el origen de un incidente de seguridad. En algunos casos, estos dispositivos se encuentran expuestos a posibles accesos no autorizados a la información que gestionan, robos o vandalismo.
• Los usuarios también conforman un factor muy importante en cuanto a la ciberseguridad de los dispositivos IoT de la empresa. Los ciberdelincuentes pueden llevar a cabo ataques de ingeniería social, con los que fuerzan a las posibles víctimas a realizar acciones maliciosas, como facilitar las credenciales de acceso al dispositivo o instalar actualizaciones fraudulentas que contienen algún tipo de malware.

Medidas de seguridad

En los dispositivos IoT, debido a sus reducidas capacidades de cómputo, no se pueden implementar las soluciones habituales de seguridad, como los antivirus. Para suplir estas carencias es necesario aplicar otras medidas de seguridad, que protegerán tanto al propio dispositivo IoT como a la red empresarial.

• Establecer un acceso seguro a la interfaz de administración del dispositivo, especialmente si esta es accesible desde Internet. Algunas de las pautas a tener en cuenta son:
  • Utilizar como mínimo mecanismos basados en la dupla usuario y contraseñas, y siempre que sea posible, habilitar un segundo factor de autenticación.
  • Evitar nombres de usuario genéricos, como root, administrador, administrator, etc.
  • Establecer una contraseña robusta, que cuente con ocho caracteres como mínimo e incluya mayúsculas, minúsculas, números y símbolos, teniendo siempre en cuenta que cuanto más larga sea mejor.
• En caso de utilizar una app móvil, se debe descargar de repositorios oficiales y siempre mantenerla actualizada a la última versión disponible.
• Implementar canales seguros de comunicación que utilicen técnicas criptográficas para cifrar la información que se envía y recibe desde el dispositivo IoT; por ejemplo, cuando se utilice el navegador web se verificará que el protocolo es “https”. Como alternativa se puede optar por una VPN o red privada virtual para crear un medio seguro de comunicación.
• Aplicar las últimas actualizaciones y parches de seguridad tan pronto como sea posible. Los dispositivos IoT deben estar contemplados en la política de actualizaciones de software de la empresa, contemplando todas las casuísticas posibles, ya que en muchas ocasiones la disponibilidad es clave. Es recomendable comprobar regularmente la web del fabricante del dispositivo para verificar si se está utilizando la última versión de software.
• Dispositivos de seguridad perimetral, como un cortafuegos que filtre las conexiones que se establecen desde y hacia el dispositivo. Además, es recomendable ubicar los dispositivos IoT en una zona aislada de la red empresarial, denominada DMZ o zona desmilitarizada, y siempre que no sea imprescindible, se deben desactivar las funciones de administración a través de Internet.
• La seguridad física del dispositivo también debe tenerse en cuenta. Por ello, se deben implementar medidas que eviten accesos no autorizados, modificaciones fraudulentas, robo o destrucción.
• Formación y concienciación en ciberseguridad. Los usuarios que gestionan y utilizan los dispositivos IoT deben estar formados en materia de ciberseguridad para evitar situaciones que puedan poner en riesgo la seguridad de la empresa.