El Internet de las Cosas: las cinco amenazas principales

A la luz de este mercado emergente, CSO identifica cinco categorías de dispositivos IoT con riesgo para el próximo año. Los CSO que estén al tanto de las amenazas y peligros potenciales para sus organizaciones podrán prepararse de forma adecuada.

In-Car WiFi

Para 2013 los beneficios provenientes de los vehículos conectados podrían haber alcanzado los 21.700 millones de dólares, de acuerdo con los analistas de la empresa Visiongain, datos que serían superados por las previsiones para 2014. Durante este año Ford y GM aumentarán su oferta de In-Car WiFi, y convertirán sus vehículos en puntos de acceso móviles donde los pasajeros podrán conectar sus smartphones, tabletas y otros dispositivos a Internet, comenta John Pescatore, director de tendencias emergentes en el Instituto SANS.

Pero In-Car WiFi tiene las mismas vulnerabilidades y problemas de seguridad que los puntos de acceso WiFi tradicionales. Sin firewalls e instalaciones WiFi para pequeñas empresas, los dispositivos y datos usados en el vehículo podrían estar en peligro. Una vez dentro de la red, un atacante podría engañar al coche, explica Pescatore. Este es un ejemplo. Solo la imaginación puede limitar la clase de ataques que serían posibles en el momento en el que un hacker consiga acceso a la WiFi de un vehículo, a los dispositivos de sus pasajeros y a la identidad del coche (a través de spoofing).

“Los CISO y CSO de las empresas con personal que viajen con frecuencia deberían preocuparse por estas vulnerabilidades porque los hackers pueden utilizar estos ataques para acceder a información de la empresa”, afirma Jerry Irvine, CIO de Prescient Solutions.

Aplicaciones mHealth / Dispositivos médicos móviles

“El mercado de los dispositivos inalámbricos wearable utilizados en el campo del deporte, fitness y mHealth (mobile health) crecerá de 42 millones de dispositivos en 2013 a 171 millones en 2018”, comenta Jonathan Collins, analista jefe de ABI Research. A partir de 2014, los hackers aumentarán sus ataques a dispositivos médicos móviles que ejecuten Windows, como los marcapasos, añade Rodney Joffe, experto en tecnología de Nuestar. Los fabricantes tradicionales utilizan sistemas embebidos propietarios que son difíciles de hackear debido a su código fuente cerrado y sus restricciones. Pero los fabricantes de dispositivos no tradicionales a menudo utilizan Windows.

“Windows es muy popular entre estos dispositivos porque es barato, está en todas partes y es muy conocido entre los programadores”, explica Joffe, quien también afirma que a diferencia de los sistemas Windows de sobremesa, no hay mecanismos para instalar parches para los Windows instalados en estos dispositivos. Cuantos más de estos dispositivos estén conectados a Internet a través de frecuencias inalámbricas como WiFi, más virus se extenderán entre ellos.

Los CSO deberían preocuparse por el acceso remoto a estos dispositivos porque son un objetivo potencial de ataques maliciosos a los empleados, fugas de información relacionada con la salud y ataques a altos ejecutivos para influir o controlar la estabilidad financiera de la empresa, concluye Irvine.

Dispositivos wearables, Google Glass

El mercado global de tecnología wearable habría alcanzado los 4.600 millones de dólares en 2013, según datos de Visiongain, LTD, y continuará creciendo en 2014. En este mercado, dispositivos como las Google Glass son los mejores objetivos para un ataque porque se conectan automáticamente Internet. Y porque incluyen muy pocas (si alguna) soluciones de seguridad.

Hackear las Google Glass puede ofrecer a los atacantes información corporativa con-fidencial y datos de propiedad intelectual. Una empresa podría desconocer qué clases de datos o cuántos absorbe un usuario utilizando Google Glass a medida que se mueve por las oficinas y otros entornos de la empresa. Un hacker podría copiar todo ese audio y vídeo.

“Todas las organizaciones deberían definir políticas para los dispositivos wearable que limiten dónde pueden utilizarse, cuándo y cuál es su uso aceptable”, añade Irvine.

Monitorización y control del inventario retail, M2M

Los beneficios del M2M inalámbrico global han alcanzado los 50.000 millones de dólares en 2013 según Visiongain. A partir de 2014, las tecnologías de gestión de inventarios incluirán cada vez más económicos transmisores de datos 3G en sus paquetes. Estos transmisores se conectan a internet y, según comenta Pescatore, harán que esas aplicaciones sean vulnerables a ataques desde la red

“Estos dispositivos rudimentarios permiten la detección, recuperación de información estadística, gestión remota y muy poco más”, añade Irvine. Existen muy pocas soluciones de seguridad para proteger estos dispositivos o limitar su espionaje.

El propósito de los nuevos transmisores 3G es reportar su posición de forma constante y en tiempo real. Pero los hackers que normalmente bombardearían un sitio web con ataques DoS podrían cambiar de estrategia interceptando estos transmisores y diciéndole a los servidores que WalMart, por ejemplo, está agotando de forma continua sus existencias de balones de fútbol y provocar la llegada masiva de nuevos productos a su tiendas, continúa diciendo Pescatore. “Estos hackers u otros oportunistas podrían influir en las acciones de Kellogg’s por ejemplo aumentando o disminuyendo su producción de Corn Flakes”, concluye Pescatore. Las empresas deben configurar de forma segura estos sistemas de control de inventario y tecnologías M2M y segmentarlas en frecuencias encriptadas, seguras e inaccesibles. Y esto no sucede hoy en día.”Yo puedo ir con un escáner de frecuencias y ver qué comunicaciones encuentro. Una vez detectadas, puedo ver cuál es su frecuencia y señal. Y una tenga esto puedo afectar a sus comunicaciones”, explica Irvine.

Drones (aviones no pilotados) para uso doméstico

En febrero de 2012, el Congreso de los Estados Unidos estableció la “FAA Modernization and Reform Act” con abundantes provisiones para los dones con la confianza general de que la FAA aceleraría la inclusión de drones/vehículos aéreos no tripulados en el sistema aéreo nacional en un plazo de tres años (para 2015). “Los drones estarán presentes en todo el país dentro de cinco años”, afirma Erik Cabetas, socio administrativo de Include Security. Los CSO deberían comenzar a planificar medidas para garantizar la seguridad de los drones ahora.

“Dado que los drones dependen de señales de telemetría vulnerables, los atacantes podrían debilitarlos usando cualquiera de los ataques clásicos tipo buffer overruns, cadenas de formato, inyecciones SQL y bypasses de auténticación sobre su firmware”, explica Cabetas.

Ya existen ejemplos de ataques con éxito a drones. En 2009, insurgentes de oriente medio interceptaron señales del drone Predator por culpa de un fallo en el uso de protocolos seguros, comenta Cabetas. Y esto permitió que pudiesen espiar lo que los Predators estaban espiando interceptando sus transmisiones áreas. Sin protocolos seguros sería posible realizar ataques similares en vehículos aéreos no tripulados domésticos.

En 2012, estudiantes del colegio A&M de Texas, por invitación de Homeland Security (seguridad nacional) interceptaron las señales GPS del drone de la Universidad insinuando datos de localización erróneos a sus ordenadores de navegación, lo que provocó finalmente la colisión del aparato, apunta Cabetas.

“Pero lo más peligroso que he visto hasta ahora fue lo que consiguió el ganador de los DroneGames 2012, un concurso de programación de drones. El ganador creó un virus que se apoderaba de cualquier drone que se acercase al drone infectado”, afirma Cabetas. Utilizando una única vulnerabilidad en el homogéneo Firmware de los drones, un atacante podría llenar el cielo de dispositivos voladores dispuestos a seguir sus instrucciones.

Y en un par de años, los drones serán componentes estándar de pruebas de penetración física, espionaje corporativo y ataques de hackers, según afirma Cabetas. “Los atacantes podrían tomar fotos de alta resolución y vídeos a través de ventanas (descubriendo contraseñas apuntadas en post-its y otros tipos de datos sensibles). Serían capaces de incorporar micrófonos de alta fidelidad para escuchar conversaciones desde el exterior de habitaciones específicas (como salas de reuniones o el despacho del CEO)”, asegura Cabetas.

Los CSO deberían investigar medidas de seguridad física adecuadas para ataques de drones que no posean o controlen al tiempo que exigen protocolos de seguridad para cualquier vínculo aéreo no tripulado que utilicen.