1 87 Table of Contents 89 124

seguritecnia 460

88 SEGURITECNIA Enero 2019 Ciberseguridad Con la colaboración de: tan vulnerabilidades de seguridad co- munes a otras tecnologías similares, ya conocidas desde hace años o incluso dé- cadas. Por lo que parece, la industria tec- nológica no aprende de la Historia y no es capaz de mitigar, o incluso erradicar por completo, algunos de los problemas que nos han tenido ocupados durante los últimos años; como, por ejemplo, de- bilidades en los mecanismos de autenti- ficación, autorización y cifrado (tanto en reposo como en tránsito), vulnerabilida- des en los interfaces de gestión y admi- nistración del dispositivo IoT, o carencias a la hora de actualizar los dispositivos o en su integración con “la nube”, con apli- caciones móviles y web. Los distintos vectores de ataque aso- ciados a un dispositivo IoT se pueden agrupar en diferentes categorías, se- gún su naturaleza, que a su vez reflejan la aproximación que podría tomar un potencial atacante a la hora de intentar vulnerar la seguridad de los mismos y la privacidad de su propietario o de sus usuarios, así como a la hora de encon- trar debilidades en sus mecanismos de seguridad, en caso de aquellas solucio- nes IoT que sí implementan algún tipo de protección. Las categorías descritas a continuación presentan numerosos riesgos de seguridad asociados al eco- sistema de IoT y, por tanto, a cualquier tecnología conectada. Vector de ataque físico Existen numerosos ataques que única- mente requieren de acceso físico al dis- positivo IoT y a sus múltiples puertos o interfaces físicos (USB, Ethernet, consola, etc.), o incluso a sus botones. Desafor- tunadamente, numerosos dispositivos IoT deben estar en el día a día al alcance del usuario, al permitir la interacción di- S i uno se para a reflexionar acerca del ritmo tan vertigi- noso con el que estamos in- corporando las nuevas tecnologías en nuestras vidas –tanto a nivel global del conjunto de la sociedad, como indivi- dualmente en el plano personal y pro- fesional–, así como a la creciente ten- dencia que se avecina en el corto, me- dio y largo plazo con el ecosistema que se ha dado en denominar Inter- net de las Cosas (IoT, en sus siglas en inglés, Internet of Things ), es inevitable plantearse si las tecnologías y solucio- nes que estamos adoptando son sufi- cientemente seguras. Para poder evaluar de manera glo- bal y detallada la seguridad de cual- quier dispositivo IoT, ya sea individual- mente o como parte de una solución IoT más compleja que integra múlti- ples componentes y servicios, es ne- cesario identificar y definir las áreas de análisis asociadas a la superficie de ex- posición y a los vectores de ataque pro- pios de dichos dispositivos, con el pro- pósito de poder evaluar las potenciales debilidades y vulnerabilidades de segu- ridad y/o privacidad que les afectan y a sus servicios o plataformas asociadas. El presente artículo condensa el estu- dio realizado y publicado en el año 2017 por el CEM (Centro de Estudios en Mo- vilidad e IoT) del ISMS Forum (disponi- ble en www.ismsforum.es/estudioCEM ). En concreto, se focaliza en el Bloque II, centrado en el “Análisis de los vectores de ataque del Internet de las cosas (IoT)” y, por tanto, en los aspectos más técni- cos asociados a las vulnerabilidades de los dispositivos y soluciones del Internet de las Cosas. Desafortunadamente, es importante reseñar que los dispositivos IoT presen- Raúl Siles Fundador y analista de Seguridad de DinoSec / Coordinador del grupo de Amenazas y Sensibilización del Centro de Estudios en Movilidad e IoT de ISMS Forum Vectores de ataque del Internet de las Cosas

RkJQdWJsaXNoZXIy MzA3NDY=