En la fiebre por la conectividad, cada vez tenemos más aparatos que se conectan a Internet: cámaras de vigilancia, asistentes virtuales, aspiradoras, domótica que controlamos desde nuestra app, etc…
Seguramente estas Navidades uno de los regalos estrella ha sido el de los asistentes virtuales que, con las órdenes de nuestra voz, nos ejecutan servicios y "nos hacen la vida más fácil".
Todos estos dispositivos son los que han venido a denominarse IoTs, Internet of Things o Internet de las Cosas, es decir, cualquier objeto con capacidad para conectarse a Internet o a otros objetos, cuyo objetivo es permitir que los ordenadores interactúen con elementos de la vida real y actúen de forma autónoma respecto a los seres humanos, para que nosotros podamos centrarnos en tareas de mayor valor añadido.
Sin embargo, estos dispositivos tienen muchísimas vulnerabilidades desde el punto de vista de seguridad porque han sido diseñados pensado en su funcionalidad, pero no en su seguridad, por lo que los mecanismos necesarios para su conectividad de forma remota son intrínsecamente inseguros.
Esto ha hecho que se hayan convertido en los dispositivos más fáciles de hackear. Al final, un IoT no deja de ser un ordenador, con capacidad de proceso, por lo que cualquier ciberdelincuente puede hacerse con su control y manejarlo a su antojo.
Por ejemplo, un IoT hackeado puede formar parte de botnets (redes de bots u ordenadores zombies) y ser utilizados para llevar otros ataques o minar criptomonedas. También, usuarios infiltrados en una red, pueden capturar o manipular la información que se transmite en la red donde esté conectado el dispositivo, o cambiar su comportamiento.
Recientemente hemos conocido algunos ataques a IoTs que ponen los pelos de punta, como el de un hacker que accedió a una cámara de vigilancia, instalada en la habitación de unas niñas, y hablaba con la niña haciéndose pasar por Papá Noel.
No tan reciente (octubre 2016), pero sí de gran repercusión a nivel mundial, fue el ataque de Mirai, en el que una red de millones de dispositivos IoT perpetraron un ataque de denegación de servicio (DDoS) que afectó a Twitter, Github, Amazon o Spotify.
En este sentido, el FBI ya ha advertido a los propietarios de dispositivos IoT que aíslen esos equipos en una red wifi secundaria, es decir, diferente de la que utilizan para conectar sus dispositivos principales como portátiles, ordenadores o móviles. De esta forma, si un IoT es atacado se impediría que, desde dicho dispositivo, se pueda acceder a los dispositivos principales de los usuarios.
Consejos para mejorar la protección de IoTs
Pero, ¿cómo podemos, entonces, proteger los dispositivos IoT de ciberataques?
El primer consejo que os ofrecemos es que a la hora de elegir estos dispositivos se revisen las prestaciones relativas a la seguridad y evitar comprar productos baratos, que ya sabemos que lo barato siempre acaba siendo caro.
Otro consejo es cambiar las credenciales que vienen por defecto que permiten acceder al control del dispositivo y su configuración, porque habitualmente suelen traer unas estándar, tales como "admin/1234" o similar que son fácilmente descifrables.
Muchos routers ofrecen ya dos redes separadas: la de usuarios y la de invitados. Por tanto, tal y como aconseja el FBI, utilizar la red de invitados para conectar estos dispositivos y, de esta forma, aislar estos dispositivos en redes separadas.
En este sentido, la solución Wefender desarrollada por TECTECO, ofrece seguridad específica para IoT, mediante la asignación de una política de seguridad que los mantiene aislados del resto de dispositivos, limitando su acceso únicamente a Internet e impidiendo el acceso a otros dispositivos dentro de la red.
En definitiva: mucho cuidado con los dispositivos que conectas a tu red WiFi, ya que pueden comprometer la seguridad de toda la red y los dispositivos conectados a ella.