Internet of Things (IoT) o internet de las cosas, abarca hoy en día más de 31.000 millones de dispositivos según las últimas estimaciones, número que incluso me parece pequeño para todo lo que abarca. Simplificando mucho el concepto, los dispositivos IoT son objetos cotidianos conectados a internet, a priori uno puede pensar que en su casa prácticamente no tiene nada de ésto, pero si lo pensamos bien, en un hogar cualquiera puedes encontrar fácilmente cualquiera de estos dispositivos conectados:
- SmartTV
- Altavoces inteligentes
- Termostatos avanzados
- Cámaras o equipos orientados a seguridad
- Routers para el acceso a internet
- Equipos de reproducción de video (AndroidTV, AppleTV, Amazon FireTV…)
- Etc, etc, etc…
Y dentro de poco, esto aumentará, tanto porque disminuirá el precio de equipos relacionados a esta tecnología (lavadoras, lavavajillas, frigoríficos inteligentes…), como por la proliferación de las redes 5G, que multiplicarán las opciones y capacidades de conexión, llegando el día en que prácticamente todo, desde nuestro coche hasta nuestro inodoro estén conectados a internet enviando y recibiendo datos, y no es broma respecto a lo último, ya existen inodoros capaces de detectarnos y remitirnos a través de la típica app de móvil información sobre nuestros hábitos y recomendaciones sobre salud.
En lo relativo a la empresa más de lo mismo, instalación de sensores, autómatas, equipos de fabricación, dispositivos de seguridad, cámaras, unidades de temperatura, equipos de riego, arduinos, raspberries, SAIs… y prácticamente cualquier cosa que se nos ocurra.
Y ahora el meollo de la cuestión
En todo el contexto anterior, hay un problema más que generalizado: la seguridad.
Y es que cuando por ejemplo se desarrolla una cafetera inteligente, los fabricantes se centran exclusivamente en la funcionalidad del aparato, esa diferenciación tecnológica que compense pagar 300€ por el dispositivo, posibilidades como la de programar el café a través del smartphone, y por supuesto sencillez para conectarse, tanta sencillez como para decidir establecer un punto de acceso inalámbrico en el equipo sin contraseña, lo cual puede provocar que luego éste pueda ser hackeado, y por ejemplo utilizarse para minar criptomoneda o para solicitar un rescate del aparato. Esto que parece una broma, no lo es tanto para la marca de cafeteras Smarter, que últimamente ha salido en bastantes noticias tecnológicas por estos motivos:
Los equipos IoT a día de hoy son un problema muy serio en lo relativo a seguridad, tanto es así que por ejemplo Mozi, una botnet que se propaga en dispositivos IoT a través de exploits o vulnerabilidades conocidas, y contraseñas débiles o por defecto, acapara actualmente el 90% del tráfico de red de equipos IoT.
¿Por qué los dispositivos IoT son tan vulnerables?
Los motivos son muchos, quizá los más representativos son:
En muchos casos durante su diseño y desarrollo no se presta atención a la seguridad del dispositivo, incluso a pesar de la criticidad de algunos aparatos, como pueden ser autómatas industriales.
Muchos equipos de este tipo, especialmente en empresas y orientados a automatismos, datan de hace muchos años, su estabilidad funcional hace que sigan vigentes, pero cuándo fueron desarrollados, la ciberseguridad no era un problema como lo es hoy en día.
Es muy típico, que estos equipos posean contraseñas “por defecto”, las que se implantan en fábrica y son de dominio público a través del manual del equipo.
También es muy típico el uso de contraseñas débiles (admin-admin, root-root, qwerty, password…) que es como tenerlo sin nada.
Es común que estos equipos estén directamente expuestos a internet, sin firewall de ningún tipo delante de ellos que los proteja, o filtre origen de conexiones. A nivel de empresa esto es fundamental.
Suele ser típico que los fabricantes no ofrezcan un soporte continuado del firmware del equipo, lo cual provoca que a los pocos años, o incluso meses, sea vulnerable. En los routers “del hogar” esto resulta especialmente dañino.
También es común que en caso de tenerlas disponibles, no se lleven a cabo tareas de actualización y mantenimiento del equipo periódicas.
Y por último, añadiría que no existe una concienciación sobre seguridad, no sólo en el ámbito IoT, sino a un nivel general. Frases o ideas como ¿por qué me iban a atacar a mi, o a mi empresa? están al orden del día, y la respuesta es muy sencilla, por ánimo de lucro, sin más.
