Internet de las cosas o Internet de los trastos

¿Sabes qué es el IoT o el Internet de las cosas? Lo que seguro sabes es que los lugares de trabajo cada vez están más interconectados. la comodidad que supone el ajustar el aire acondicionado o la iluminación desde el móvil, que la cafetera avise de que se ha quedado sin alguno de sus productos e incluso en un futuro cercano abrir un coche remotamente, impiden detenernos a hacernos la siguiente cuestión ¿Estos dispositivos son realmente seguros?

En INCIBE disponen de información sobre las medidas de ciberseguridad sobre Internet de las cosas a la hora de conectar a las redes de las empresas por ejemplo, las impresoras multifunción, en las que de base reflejamos su deficiente configuración y protección respecto a otros sistemas como ordenadores, servidores, etc. que sí «solemos» tener convenientemente protegidos mediante el uso de cortafuegos, instalando antimalware, utilizando contraseñas fuertes, etc.

En la actualidad, estos no son los únicos dispositivos que tenemos conectados al Internet de las cosas, o a lo que es lo mismo a la red de la empresa y a internet. Hay otros dispositivos desprotegidos con los que no contamos para la ciberseguridad de la empresa ya que no suelen estar incluidos en las auditorías de seguridad.

Los sistemas de seguridad físicos como cámaras de vigilancia Web IP, sistemas de control de presencia o alarmas que permiten el control remoto, sistemas de videoconferencia, medidores de energía o termostatos controlados en remoto desde un servidor, etc. son dispositivos que disponen de conexión directa a internet o las redes internas de la empresa y que no suelen estar contemplados por la política de seguridad de redes de las empresas. Son dispositivos englobados en lo que se denomina IoT o «Internet de las cosas», que consiste en conectar a internet objetos cotidianos con el fin de que puedan ser manejados o gestionar la información que generan en remoto.

Todos estos dispositivos pueden parecer inofensivos para la ciberseguridad de nuestras redes y empresas pero la realidad es que no es así. Al ser dispositivos conectados a internet de las cosas, son susceptibles de ser accedidos y comprometidos. Además, no suelen contar con los mismos estándares de calidad de seguridad de fábrica que otros dispositivos de red. Estos dispositivos suelen incluir deficiencias de seguridad como:

  • usuarios y contraseñas de acceso por defecto y sin mecanismos que obliguen al usuario a cambiarlas por otras más seguras;
  • páginas web de control y configuración inseguras o accesibles en remoto;
  • inexistencia de cifrado en las comunicaciones;
  • falta de personalización en la configuración de la seguridad;
  • falta de soporte y actualizaciones de los fallos de seguridad detectados tanto en el software de control como en el firmware de los dispositivos.

Esto hace que sean una presa fácil para los ciberdelincuentes, que buscan este tipo de dispositivos como punto de entrada a las redes de las empresas o a otros puntos de la red que se encuentran más protegidos. El ataque y compromiso de estos dispositivos puede dar lugar a consecuencias graves para la seguridad como:

  • ser añadidos a una red zombi que pueda realizar ataques DDoS, como es el caso de la red Mirai, que dejó en 2016 sin servicio a varias de las empresas más importantes a nivel mundial durante varias horas;
  • ser utilizado como puente o punto de entrada para atacar otros equipos de la misma red, para poder robar información o comprometer servidores para realizar otras acciones delictivas;

Hemos de ser conscientes del problema que suponen estos dispositivos para la seguridad de nuestra empresa, así como las consecuencias que puede acarrear su deficiente instalación, configuración y mantenimiento. Para ello debemos tomar todas las medidas de precaución que nos permitan estos dispositivos y tratarlos como cualquier otro elemento que tengamos conectado a nuestras redes, incluyéndolos dentro de las políticas de seguridad y del Plan Director de Seguridad (PDS) de la empresa.

Algunas medidas o buenas prácticas que podemos adoptar para proteger estos dispositivos conectados a Internet de las cosas podrían ser:

  • cambiar las contraseñas de fábrica por defecto;
  • adquirir los dispositivos que resulten más seguros y que permitan actualizaciones de seguridad;
  • habilitar su acceso a la red solo cuando sea necesario;
  • evitar configurar el acceso a la red wifi de la empresa;
  • deshabilitar el acceso remoto a los mismos desde fuera de la red interna corporativa;
  • restringir el acceso únicamente al personal estrictamente necesario;
  • desactivar la interfaz web si es posible;
  • establecer un canal cifrado de comunicación.

Los fabricantes, de momento, priman la experiencia de usuario antes que la ciberseguridad por lo que debemos ser precavidos con los dispositivos que conectamos a nuestras redes corporativas, ya sea a través de cable o por medio de una red wifi, por inofensivo que parezca. Cualquier dispositivo conectado a la red es susceptible de ser atacado y comprometido, y más si no dispone de las medidas de seguridad suficientes.

Autor: Marco Antonio Lozano Merino, Especialista en Ciberseguridad del INCIBE