La seguridad del IoT es la práctica de proteger los dispositivos del Internet de las Cosas (IoT) de los ataques.
Después de leer este artículo podrás:
Contenido relacionado
¿Seguridad de aplicaciones web?
¿Qué es la seguridad de la API?
Seguridad de los puntos de conexión
Ataques en ruta
Vulnerabilidad zero-day
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Los dispositivos del Internet de las cosas (IoT) son objetos informatizados conectados a Internet, como las cámaras de seguridad en red, los frigoríficos inteligentes y los automóviles con capacidad WiFi. La seguridad del IoT es el proceso de asegurar estos dispositivos y garantizar que no introduzcan amenazas en una red.
Es probable que cualquier cosa conectada a Internet se enfrente a un ataque en algún momento. Los atacantes pueden intentar poner en riesgo en remoto los dispositivos IoT mediante diversos métodos, desde el robo de credenciales hasta el aprovechamiento de vulnerabilidades. Una vez que controlan un dispositivo IoT, pueden utilizarlo para robar datos, realizar ataques de denegación de servicio distribuido (DDoS), o intentar poner en riesgo el resto de la red conectada.
La seguridad del IoT puede ser especialmente difícil, porque muchos dispositivos del IoT no se diseñan con una seguridad sólida; normalmente, el fabricante se centra en las funciones y en la facilidad de uso, más que en la seguridad, para que los dispositivos puedan salir al mercado rápidamente.
Los dispositivos IoT forman cada vez más parte de la vida cotidiana, y tanto los consumidores como las empresas pueden enfrentarse a los retos de seguridad del IoT.
Todos los dispositivos informáticos tienen firmware, que es el software que hace funcionar el hardware. En los ordenadores y teléfonos inteligentes, los sistemas operativos se ejecutan sobre el firmware; para la mayoría de los dispositivos IoT, el firmware es esencialmente el sistema operativo.
La mayoría del firmware del IoT no tiene tantas protecciones de seguridad como los sofisticados sistemas operativos que se ejecutan en los ordenadores. Y, con frecuencia, este firmware está plagado de vulnerabilidades conocidas que, en algunos casos, no se pueden parchear. Esto deja a los dispositivos IoT expuestos a los ataques que se dirigen a estas vulnerabilidades.
Muchos dispositivos IoT vienen con nombres de usuario y contraseñas de administrador por defecto. Estos nombres de usuario y contraseñas no suelen ser muy seguros, por ejemplo, utilizar "contraseña" como contraseña, y, lo que es peor, a veces todos los dispositivos IoT de un determinado modelo comparten estas mismas credenciales. En algunos casos, estas credenciales no se pueden restablecer.
Los atacantes conocen bien estos nombres de usuario y contraseñas por defecto, y muchos ataques a dispositivos IoT que tienen éxito se producen simplemente porque un atacante adivina las credenciales correctas.
Los atacantes en ruta se sitúan entre dos partes que confían la una en la otra, por ejemplo, una cámara de seguridad IoT y el servidor en la nube de la cámara, e interceptan las comunicaciones entre ambas. Los dispositivos IoT son especialmente vulnerables a este tipo de ataques, porque muchos de ellos no encriptan por defecto sus comunicaciones (la encriptación codifica los datos para que no puedan ser interpretados por partes no autorizadas).
Muchos dispositivos IoT, como las cámaras de seguridad IoT, los semáforos y las alarmas contra incendios, se colocan en posiciones más o menos permanentes en zonas públicas. Si un atacante tiene acceso físico al hardware de un dispositivo IoT, puede robar sus datos o tomar el control del dispositivo. Este enfoque solo afectaría a un dispositivo a la vez, pero un ataque físico podría tener un mayor efecto si el atacante obtiene información que le permita poner en riesgo a otros dispositivos de la red.
Los agentes maliciosos suelen utilizar dispositivos IoT no seguros para generar tráfico de red en un ataque DDoS. Los ataques DDoS son más potentes cuando las partes atacantes pueden enviar tráfico a su objetivo desde una amplia gama de dispositivos. Estos ataques son más difíciles de bloquear, porque hay muchas direcciones IP involucradas (cada dispositivo tiene su propia dirección IP). Una de las mayores botnets de DDoS de las que se tiene constancia, la botnet Mirai, está formada en gran parte por dispositivos IoT.
Los dispositivos IoT deben actualizarse siempre que el fabricante publique un parche de vulnerabilidad o una actualización de software. Estas actualizaciones eliminan las vulnerabilidades de las que podrían aprovecharse los atacantes. No contar con el software más reciente puede hacer que un dispositivo sea más vulnerable a los ataques, incluso si está obsoleto por solo unos días. En muchos casos, las actualizaciones del firmware del IoT las controla el fabricante, no el propietario del dispositivo, y es responsabilidad del fabricante asegurarse de que se parcheen las vulnerabilidades.
Si es posible, las credenciales de administración de los dispositivos IoT deben ser actualizadas. Es mejor evitar la reutilización de credenciales en varios dispositivos y aplicaciones: cada dispositivo debe tener una contraseña única. Esto ayuda a prevenir los ataques basados en credenciales.
Los dispositivos IoT se conectan entre sí, con servidores y con otros dispositivos en red. Cada dispositivo conectado debe ser autenticado para garantizar que no acepte entradas o solicitudes de partes no autorizadas.
Por ejemplo, un atacante podría hacerse pasar por un dispositivo IoT y solicitar datos confidenciales a un servidor, pero si el servidor le exige primero que presente un certificado TLS auténtico (más sobre este concepto a continuación), este ataque no tendrá éxito.
En su mayor parte, este tipo de autenticación lo debe configurar el fabricante del dispositivo.
Los intercambios de datos de los dispositivos IoT son vulnerables a las partes externas y a los atacantes en ruta cuando pasan por la red, a menos que se utilice la encriptación para proteger los datos. Pensemos que la encriptación es como un sobre que protege el contenido de una carta mientras viaja por el servicio postal.
La encriptación debe combinarse con la autenticación para evitar del todo los ataques en ruta. De lo contrario, el atacante podría establecer conexiones encriptadas separadas entre un dispositivo IoT y otro, y ninguno de ellos sería consciente de que sus comunicaciones están siendo interceptadas.
La mayoría de los dispositivos IoT vienen con múltiples características, algunas de las cuales pueden no recibir uso por el propietario. Pero incluso cuando las características no tengan uso, pueden mantener puertos adicionales abiertos en el dispositivo en caso de uso. Cuantos más puertos un dispositivo conectado a Internet deje abierto, mayor será la superficie de ataque —a menudo los atacantes simplemente hacen ping en distintos puertos de un dispositivo, buscando una apertura. Apagar características de dispositivo innecesarias cerrará estos puertos extra.
El filtrado de DNS es el proceso de utilizar el Sistema de nombres de dominio para bloquear sitios web maliciosos. Añadir el filtrado de DNS como medida de seguridad a una red con dispositivos IoT evita que esos dispositivos lleguen a lugares de Internet a los que no deberían llegar (es decir, al dominio de un atacante).
El Transport Layer Security mutuo (mTLS) es un tipo de autenticación mutua, que es cuando ambos lados de una conexión de red se autentican mutuamente. TLS es un protocolo para verificar el servidor en una conexión cliente-servidor; mTLS verifica ambos dispositivos conectados, en lugar de solo uno.
mTLS es importante para la seguridad del IoT, ya que garantiza que solo los dispositivos y servidores legítimos puedan enviar comandos o solicitar datos. También encripta todas las comunicaciones a través de la red para que los atacantes no puedan interceptarlas.
mTLS requiere la emisión de certificados TLS a todos los dispositivos y servidores autenticados. Un certificado TLS contiene la clave pública del dispositivo e información sobre quién emitió el certificado. Mostrar un certificado TLS para iniciar una conexión de red puede compararse con que una persona muestre su DNI para demostrar su identidad.
Cloudflare API Shield protege los dispositivos IoT al asegurar las API de IoT con el uso de una fuerte identidad basada en el certificado del cliente y una estricta validación basada en el esquema. Más información sobre Cloudflare API Shield.
Cloudflare Zero Trust es compatible con mTLS tanto para los dispositivos IoT como para los demás recursos informáticos de una organización, como los ordenadores portátiles de los empleados y los servidores internos. Para obtener más información sobre la instalación de mTLS con Cloudflare Zero Trust, consulta nuestra documentación. O bien, lee más sobre mTLS.