1 88 Table of Contents 90 124

seguritecnia 460

SEGURITECNIA Enero 2019 89 Ciberseguridad recta con éste o medir y tomar acciones en lugares concretos, como en la vía pública, estaciones y aeropuertos, hos- pitales, edificios o en la habitación de un hotel. Debe tenerse en cuenta que hay es- cenarios donde un atacante puede ana- lizar las debilidades de un dispositivo IoT sin ni siquiera disponer de acceso fí- sico al mismo, por ejemplo, obteniendo el firmware o los detalles de las actua- lizaciones desde la web del fabricante. Este vector de ataque es probable- mente el más prevalente ya que, sin las adecuadas protecciones a nivel físico, el dispositivo puede ser manipulado sin li- mitación hasta ser vulnerado. Sobre comunicaciones Multitud de ataques tienen como obje- tivo los protocolos o tecnologías de co- municación del dispositivo IoT con el resto del ecosistema: otros dispositivos IoT, un controlador (o hub ), apps móvi- les, servicios remotos, “la nube”, etc. La finalidad de estos ataques es la inter- ceptación y manipulación de todos los datos intercambiados. Las soluciones IoT emplean una gran variedad de tecnologías de comunica- ción, tanto cableadas como inalámbri- cas (más expuestas al no requerir ac- ceso físico), cómo por ejemplo Blue- tooth y BLE, Wi-Fi, Z-Wave, LoRaWan, SigFox, comunicaciones móviles (2/3/4/5G), etc., y otros mecanismos de comunicación propietarios (empleando habitualmente las frecuencias de 433 y 868 MHz en Europa). Este vector de ataque es probable- mente el más común, ya que todos los dispositivos IoT disponen de múltiples mecanismos de comunicación, habi- tualmente haciendo uso de varios de ellos simultáneamente. Sobre las capacidades de gestión Los mecanismos de gestión de los pro- pios dispositivos IoT (comúnmente aso- ciados a un interfaz web), locales o re- motos (a través de plataformas espe- cíficas), permiten su configuración y administración. Por este motivo, los ata- ques sobre estos tienen un mayor im- pacto, ya que permitirían la manipu- lación no autorizada de uno o de to- dos los dispositivos de un mismo tipo, o vinculados a un mismo entorno o so- lución IoT. Este vector de ataque es probable- mente el más atractivo para un atacante, ya que su objetivo final es poder contro- lar y administrar a su antojo, y sin limita- ciones, los dispositivos IoT vulnerados. Sobre los servicios y/o datos Por último, las soluciones IoT, conforma- das normalmente por controladores (o hubs ), sensores y actuadores, recogen, procesan, almacenan y trasmiten datos, tanto en los propios dispositivos como en servidores centrales. En función de las capacidades y funcionalidad de la solución, algunos de estos datos pue- den ser muy sensibles, como los asocia- dos a infraestructuras críticas, entornos de seguridad física o entornos médicos. En consecuencia, el objetivo de mu- chos ataques se centra “simplemente” en la obtención y/o manipulación de estos datos. Este vector de ataque es probable- mente el más sutil, ya que se centra en la funcionalidad principal y la lógica de negocio de la solución IoT, para benefi- cio del atacante. Los riesgos asociados a todos estos vectores de ataque son múltiples, y permitirían a un potencial atacante ob- tener toda la información almacenada localmente en el dispositivo IoT o inter- cambiada con servicios remotos, inclu- yendo los datos de los usuarios junto a detalles internos críticos para su funcio- namiento, como su firmware, contrase- ñas o claves de cifrado. Asimismo, el atacante dispondría de acceso privilegiado al dispositivo IoT y control completo del mismo, pudiendo modificar su comportamiento, sutil e imperceptiblemente, o significativa- mente, según sus objetivos. Estas ca- pacidades permitirían cometer fraudes, realizar denegaciones de servicio (DoS), suplantar a otros elementos, manipular los datos recabados por sensores o las acciones llevadas a cabo por actuadores, etc. ¿Realmente deseamos un fu- turo en el que estemos comple- tamente rodeados de tecnología, involucrada irremediablemente en cada tarea y acción diaria, y donde no podamos realmente es- tar seguros de quién tiene acceso a toda nuestra información y acti- vidades, quién las controla y ma- nipula, y donde hayamos perdido el control de nuestro entorno tecnológico? Todavía estamos a tiempo de evaluar la seguridad del ecosistema IoT global y tomar acciones para mejorarla, aunque no hay mucho margen... S

RkJQdWJsaXNoZXIy MzA3NDY=