Skip to main content Skip to main menu Skip to footer

IoT - Internet de las cosas

IoT - Internet de las cosas

Disminuir el tamaño del texto Aumentar el tamaño del texto

Page Article

A medida que los consumidores compran más relojes inteligentes, rastreadores de actividad, auriculares holográficos y otros dispositivos de la Internet de las Cosas (IoT), la necesidad de mejorar la seguridad en estos dispositivos será más acuciante. Los delincuentes en línea podrían aprovechar estos nuevos dispositivos para llevar a cabo violaciones de datos, espionaje corporativo o gubernamental, y dañar infraestructuras críticas como las redes eléctricas.

  • No conectes tus dispositivos a menos que lo necesites. El primer paso es considerar qué funcionalidad necesitas del dispositivo. Que tu televisor o tu nevera puedan conectarse a Internet no significa que quieras conectarlos definitivamente. Fíjate bien en las funciones que ofrece y conoce exactamente lo que aporta la conectividad a Internet antes de conectarlo.
  • Crea una red independiente. Muchos routers Wi-Fi admiten redes de invitados para que los visitantes puedan conectarse a tu red sin acceder a los archivos compartidos o a los dispositivos en red. Este tipo de separación también funciona bien para los dispositivos IoT que tienen una seguridad cuestionable.
  • Elige buenas contraseñas y una contraseña diferente para cada dispositivo. Es muy importante elegir contraseñas fuertes, pero también debes asegurarte de elegir una contraseña diferente para cada dispositivo. Si un pirata informático consigue una de tus contraseñas, normalmente la probará con otros servicios y dispositivos. Reutilizar contraseñas no es una buena idea. Utiliza un gestor de contraseñas para llevar un control de todas tus contraseñas.
  • Desactive el Plug and Play Universal (UPnP). Lamentablemente, UPnP puede hacer que routers, impresoras, cámaras y otros dispositivos sean vulnerables a los ataques. Está diseñado para facilitar la conexión en red de los dispositivos sin necesidad de configuración, ayudándoles a descubrirse automáticamente entre sí. El problema es que los hackers también pueden descubrirlos potencialmente desde fuera de su red local debido a las vulnerabilidades del protocolo UPnP. Lo mejor es desactivar UPnP por completo.
  • Asegúrese de tener el último firmware. Si quieres asegurarte de que tienes los últimos parches de seguridad y reducir las posibilidades de que un ataque tenga éxito, tienes que mantener tu firmware totalmente actualizado. Las vulnerabilidades y los exploits se corregirán a medida que vayan surgiendo, por lo que sus dispositivos IoT y su router deben actualizarse con regularidad. Automatiza esto siempre que sea posible o establece un programa para buscar actualizaciones cada tres meses aproximadamente.
  • Desconfíe de los servicios en la nube. Muchos dispositivos IoT dependen de servicios en la nube, pero el requisito de una conexión a Internet para que algo funcione puede ser un verdadero problema. No sólo no funcionará cuando la red esté caída, sino que también puede estar sincronizando datos sensibles u ofreciendo otra ruta potencial para entrar en tu casa. Asegúrate de leer la política de privacidad del proveedor y busca garantías sobre el cifrado y la protección de datos.
  • Mantenga los dispositivos personales fuera del lugar de trabajo. No lleves tus dispositivos personales de IoT al trabajo. Hay muchos problemas de seguridad potenciales para los wearables. Todas las empresas deberían tener una política clara de BYOD, y a menudo es una buena idea prohibir que los dispositivos IoT personales se conecten a la red, o al menos limitarlos a una red de invitados.
  • Rastrear y evaluar los dispositivos. Las empresas necesitan rastrear todo lo que se conecta a la red y supervisar el flujo de tráfico. Los dispositivos deben ser evaluados para determinar el nivel de acceso que deben tener, para mantenerlos totalmente parcheados y actualizados, y para proteger los datos de extremo a extremo para preservar su integridad. Los dispositivos desconocidos deben marcar una alerta. Entender qué dispositivos están conectados y qué hacen es un requisito previo para una seguridad adecuada.

Para la seguridad de los televisores inteligentes

  • Si su televisor inteligente funciona con la plataforma Android, vaya a la tienda Google Play y descargue cualquiera de las aplicaciones de seguridad diseñadas para proteger su teléfono inteligente Android.
  • Si su router Wi-Fi le permite crear varias cuentas, configure una cuenta de invitado para tu televisor. De esta manera no están en la misma red que mi PC y el portátil donde se hacen todas mis cosas sensibles. 
  • Asegúrese de que el "firmware", el software permanente integrado en la memoria de sólo lectura de un dispositivo informático, esté actualizado cuando utilice por primera vez el televisor y lo configure. de lectura de un dispositivo informático, esté actualizado la primera vez que utilice el televisor y lo configure para que acepte automáticamente las futuras actualizaciones de firmware que estén disponibles. para que acepte automáticamente las futuras actualizaciones del firmware cuando estén disponibles.
  • Tenga cuidado al instalar nuevas aplicaciones porque podrían esconder malware. Su mejor opción: Evite las aplicaciones de fuentes desconocidas y de lugares no oficiales. oficiales.
  • Limite lo que hace en línea a través de ese televisor. Aunque estos televisores facilitan que sea fácil conectarse, no los utilice para hacer nada que implique números de cuenta números de cuenta, PINs, contraseñas u otra información sensible.
  • No hagas ningún tipo de transacción financiera a través de tu televisor es una muy mala idea.

Las 10 principales vulnerabilidades del Internet de las cosas

Interfaz web insegura

Resumen: Un atacante utiliza credenciales débiles, captura credenciales en texto plano o enumera cuentas para acceder a la interfaz web.

¿Cómo puedo hacer que mi interfaz web sea segura?

  • Las contraseñas por defecto y, en el mejor de los casos, los nombres de usuario por defecto deben cambiarse durante la configuración inicial.
  • Garantizar que los mecanismos de recuperación de contraseñas sean robustos y no proporcionen a un atacante con información que indique una cuenta válida.
  • Asegurar que la interfaz web no es susceptible de XSS, SQLi o CSRF.
  • Garantizar que las credenciales no queden expuestas en el tráfico de red interno o externo.
  • Garantizar que no se permiten las contraseñas débiles.
  • Asegurar el bloqueo de la cuenta después de 3 -5 intentos fallidos de inicio de sesión.

Autenticación o autorización insuficiente

Resumen: Un atacante utiliza contraseñas débiles, mecanismos inseguros de recuperación de de recuperación de contraseñas, credenciales mal protegidas o falta de control de acceso granular para acceder a una interfaz concreta.

¿Cómo puedo mejorar mi autenticación/autorización?

Se requiere una autenticación/autorización suficiente:

  • Asegurarse de que las contraseñas fuertes son necesarias.
  • Garantizar el control de acceso granular cuando sea necesario.
  • Garantizar que las credenciales estén debidamente protegidas.
  • Implantar la autenticación de dos factores siempre que sea posible.
  • Garantizar que los mecanismos de recuperación de contraseñas sean seguros.
  • Garantizar la reautenticación necesaria para las funciones sensibles.
  • Garantizar la disponibilidad de opciones para configurar los controles de las contraseñas.

Servicios de red inseguros

Resumen: Un atacante utiliza servicios de red vulnerables para atacar el dispositivo o rebotar los ataques en el dispositivo.

¿Cómo puedo asegurar mis servicios de red?

  • Garantizar que sólo los puertos necesarios estén expuestos y disponibles.
  • Garantizar que los servicios no sean vulnerables a los ataques de desbordamiento de búfer y fuzzing.
  • Garantizar que los servicios no son vulnerables a los ataques DoS que pueden afectar al al propio dispositivo o a otros dispositivos y/o usuarios de la red local o de otras redes.
  • Asegurarse de que los puertos o servicios de red no están expuestos a Internet a través de UPnP por ejemplo.

Falta de encriptación del transporte

Resumen: Un atacante utiliza la falta de cifrado de transporte para ver los datos que pasan por la red.

¿Cómo utilizar el cifrado de transporte?

  • Garantizar el cifrado de los datos mediante protocolos como SSL y TLS mientras en tránsito por las redes.
  • Garantizar la utilización de otras técnicas de cifrado estándar del sector para proteger los datos durante el transporte si SSL o TLS no están disponibles.
  • Garantizar que sólo se utilizan los estándares de cifrado aceptados y evitar el uso de protocolos de encriptación propietarios.

Preocupación por la privacidad

Resumen: Un atacante utiliza múltiples vectores, como una autenticación autenticación, la falta de encriptación del transporte o los servicios de red inseguros para ver los datos personales que no están debidamente protegidos o que se recogen innecesariamente.

¿Cómo puedo evitar los problemas de privacidad?

  • Garantizar que sólo se recogen los datos críticos para la funcionalidad del dispositivo se recogen.
  • Garantizar que los datos recogidos sean de naturaleza menos sensible (es decir, intentar no recoger datos sensibles).
  • Garantizar que los datos recogidos sean desidentificados o anónimos.
  • Garantizar que todos los datos recogidos estén debidamente protegidos con encriptación.
  • Garantizar que el dispositivo y todos sus componentes protegen adecuadamente la información personal información personal.
  • Garantizar que sólo las personas autorizadas tengan acceso a la información personal recopilada información personal.
  • Garantizar la fijación de los límites de conservación de los datos recogidos.
  • Garantizar que los usuarios finales reciban un "aviso y elección" si los datos recogidos son más de los que cabría esperar del producto.

Interfaz insegura de la nube

Resumen: Un atacante utiliza múltiples vectores, como la insuficiente autenticación, la falta de cifrado de transporte y la enumeración de cuentas para acceder datos o controles a través del sitio web de la nube.

¿Cómo puedo proteger mi interfaz en la nube?

  • Las contraseñas por defecto y, en el mejor de los casos, los nombres de usuario por defecto deben cambiarse durante la configuración inicial.
  • Garantizar que las cuentas de usuario no puedan ser enumeradas utilizando funcionalidades como mecanismos de restablecimiento de contraseñas.
  • Asegurar el bloqueo de la cuenta después de 3 a 5 intentos fallidos de inicio de sesión.
  • Garantizar que la interfaz web basada en la nube no es susceptible de XSS, SQLi o CSRF.
  • Garantizar que las credenciales no estén expuestas en Internet.
  • Implementar la autenticación de dos factores si es posible.

Interfaz móvil insegura

Resumen: Un atacante utiliza múltiples vectores, como la insuficiente autenticación, la falta de cifrado de transporte y la enumeración de cuentas para acceder datos o controles a través de la interfaz móvil.

¿Cómo puedo proteger mi interfaz móvil?

  • Las contraseñas por defecto y, en el mejor de los casos, los nombres de usuario por defecto deben cambiarse durante la configuración inicial.
  • Garantizar que las cuentas de usuario no puedan ser enumeradas utilizando funcionalidades como mecanismos de restablecimiento de contraseñas.
  • Asegurar el bloqueo de la cuenta después de 3 a 5 intentos fallidos de inicio de sesión.
  • Garantizar que las credenciales no queden expuestas mientras se está conectado a redes inalámbricas.
  • Implementar la autenticación de dos factores si es posible.

Configuración de seguridad insuficiente

Resumen: Un atacante utiliza la falta de permisos granulares para acceder a datos o controles en el dispositivo. El atacante también podría utilizar la falta de opciones de cifrado opciones de cifrado y la falta de opciones de contraseña para realizar otros ataques que lleven a comprometer el dispositivo y/o los datos.

¿Cómo puedo mejorar mi configuración de seguridad?

  • Garantizar la capacidad de separar a los usuarios normales de los usuarios administrativos.
  • Garantizar la capacidad de cifrar los datos en reposo o en tránsito.
  • Garantizar la capacidad de forzar políticas de contraseñas fuertes.
  • Garantizar la capacidad de activar el registro de eventos de seguridad.
  • Garantizar la capacidad de notificar a los usuarios finales los eventos de seguridad.

Software o firmware inseguro

Resumen: El atacante utiliza múltiples vectores como la captura de archivos de actualización a través de conexiones no cifradas, el propio archivo de actualización no está cifrado o son pueden realizar su propia actualización maliciosa a través del secuestro de DNS.

¿Cómo puedo proteger mi software/firmware?

  • Asegurarse de que el dispositivo tiene capacidad de actualización (muy importante).
  • Asegurarse de que el archivo de actualización está encriptado utilizando métodos de encriptación aceptados.
  • Asegurarse de que el archivo de actualización se transmite a través de una conexión cifrada.
  • Garantizar que el archivo de actualización no exponga datos sensibles.
  • Asegurarse de que la actualización está firmada y verificada antes de permitir que la actualización sea cargada y aplicada.
  • Garantizar que el servidor de actualización es seguro.

Poca seguridad física

Resumen: El atacante utiliza vectores como puertos USB, tarjetas SD u otros medios de almacenamiento para acceder al sistema operativo y potencialmente a cualquier dato almacenado en el dispositivo.

¿Cómo puedo asegurar físicamente mi dispositivo?

  • Garantizar que el soporte de almacenamiento de datos no pueda ser retirado fácilmente.
  • Garantizar que los datos almacenados estén encriptados en reposo.
  • Asegurarse de que los puertos USB u otros puertos externos no puedan ser utilizados para acceder al dispositivo.
  • Garantizar que el dispositivo no pueda desmontarse fácilmente.
  • Asegurarse de que sólo los puertos externos necesarios, como el USB, son necesarios para que el producto funcione
  • Asegurarse de que el producto tiene la capacidad de limitar las capacidades administrativas.




Related Topics

Relacionado con esto:

Page Footer has no content