IoT - Internet de las cosas
Página del artículo
A medida que los consumidores compran más relojes inteligentes, rastreadores de actividad, auriculares holográficos y otros dispositivos de Internet de las cosas (IoT), la necesidad de mejorar la seguridad de estos dispositivos se volverá más apremiante. Los delincuentes en línea podrían aprovechar estos nuevos dispositivos para llevar a cabo violaciones de datos, espionaje corporativo o gubernamental y dañar infraestructuras críticas como las redes eléctricas.
- No conecte sus dispositivos a menos que sea necesario. El primer paso es considerar qué funcionalidad necesitas del dispositivo. El hecho de que tu televisor o refrigerador pueda conectarse a Internet no significa que quieras conectarlo. Analiza bien las funciones que ofrece y aprende exactamente qué ofrece la conectividad a Internet antes de conectarlo.
- Crear una red separada. Muchos enrutadores Wi-Fi admiten la conexión en red para invitados, de modo que los visitantes puedan conectarse a su red sin obtener acceso a archivos compartidos o dispositivos en red. Este tipo de separación también funciona bien para dispositivos IoT que tienen una seguridad cuestionable.
- Elija contraseñas buenas y una contraseña diferente para cada dispositivo. Es muy importante elegir contraseñas seguras, pero también debes asegurarte de elegir una contraseña diferente para cada dispositivo. Si un hacker logra obtener una de tus contraseñas, normalmente intentará obtenerla con otros servicios y dispositivos. Reutilizar contraseñas no es una buena idea. Utiliza un administrador de contraseñas para realizar un seguimiento de todas tus contraseñas.
- Desactive Universal Plug and Play (UPnP). Lamentablemente, UPnP puede hacer que los enrutadores, impresoras, cámaras y otros dispositivos sean vulnerables a ataques. Está diseñado para facilitar la conexión en red de dispositivos sin configuración, ayudándolos a descubrirse entre sí automáticamente. El problema es que los piratas informáticos también pueden descubrirlos desde fuera de su red local debido a las vulnerabilidades del protocolo UPnP. Es mejor desactivar UPnP por completo.
- Asegúrese de tener el firmware más reciente. Si desea asegurarse de tener los últimos parches de seguridad y reducir las posibilidades de que un ataque tenga éxito, debe mantener su firmware completamente actualizado. Las vulnerabilidades y los ataques se solucionarán a medida que surjan, por lo que sus dispositivos IoT y su enrutador deben actualizarse periódicamente. Automatice esto siempre que sea posible o establezca un cronograma para verificar si hay actualizaciones cada tres meses aproximadamente.
- Tenga cuidado con los servicios en la nube. Muchos dispositivos IoT dependen de servicios en la nube, pero el requisito de una conexión a Internet para que algo funcione puede ser un verdadero problema. No solo no funcionará cuando la red no esté disponible, sino que también puede sincronizar datos confidenciales u ofrecer otra ruta potencial para ingresar a su hogar. Asegúrese de leer la política de privacidad del proveedor y busque garantías sobre el cifrado y la protección de datos.
- Mantenga los dispositivos personales fuera del lugar de trabajo. No lleve sus dispositivos personales de IoT al trabajo. Existen muchos problemas potenciales de seguridad relacionados con los wearables. Todas las empresas deberían tener una política BYOD clara y, a menudo, es una buena idea prohibir que los dispositivos personales de IoT se conecten a la red o, al menos, limitarlos a una red para invitados.
- Seguimiento y evaluación de dispositivos. Las empresas necesitan rastrear todo lo que está conectado a la red y monitorear el flujo de tráfico. Es necesario evaluar los dispositivos para determinar el nivel de acceso que deben tener, para mantenerlos completamente actualizados y con los parches correspondientes, y para proteger los datos de extremo a extremo para preservar su integridad. Los dispositivos desconocidos deben generar una alerta. Comprender qué dispositivos están conectados y qué están haciendo es un requisito previo para una seguridad adecuada.
Para la seguridad de Smart TV
- Si su televisor inteligente funciona con la plataforma Android, vaya a la tienda Google Play y descargue cualquiera de las aplicaciones de seguridad diseñadas para proteger su teléfono inteligente Android.
- Si su enrutador Wi-Fi le permite crear varias cuentas, configure una cuenta de invitado para su televisor. De esta manera, no estarán en la misma red que mi PC y mi computadora portátil, donde usted realiza todas mis tareas confidenciales.
- Asegúrese de que el "firmware" (software permanente integrado en la memoria de solo lectura de un dispositivo informático) esté actualizado cuando utilice el televisor por primera vez y configúrelo para que acepte automáticamente futuras actualizaciones de firmware a medida que estén disponibles.
- Tenga cuidado al instalar aplicaciones nuevas, ya que podrían estar ocultando malware. Lo mejor es evitar las aplicaciones de fuentes desconocidas y ubicaciones no oficiales.
- Limite lo que hace en línea a través de ese televisor. Aunque estos televisores facilitan la conexión a Internet, no los use para hacer nada que involucre números de cuenta, PIN, contraseñas u otra información confidencial.
- No realizar ningún tipo de transacción financiera a través del televisor es una muy mala idea.
Las 10 principales vulnerabilidades del Internet de las cosas
Interfaz web insegura
Resumen: Un atacante utiliza credenciales débiles, captura credenciales de texto simple o enumera cuentas para acceder a la interfaz web.
¿Cómo puedo hacer que mi interfaz web sea segura?
- Las contraseñas predeterminadas y, lo ideal, los nombres de usuario predeterminados se deben cambiar durante la configuración inicial.
- Garantizar que los mecanismos de recuperación de contraseña sean sólidos y no proporcionen a un atacante información que indique una cuenta válida.
- Garantizar que la interfaz web no sea susceptible a XSS, SQLi o CSRF.
- Garantizar que las credenciales no queden expuestas en el tráfico de red interno o externo.
- Asegurarse de que no se permitan contraseñas débiles.
- Garantizar el bloqueo de la cuenta después de 3 a 5 intentos fallidos de inicio de sesión.
Autenticación o autorización insuficiente
Resumen: Un atacante utiliza contraseñas débiles, mecanismos de recuperación de contraseñas inseguros, credenciales mal protegidas o falta de control de acceso granular para acceder a una interfaz particular.
¿Cómo puedo mejorar mi autenticación/autorización?
Para una autenticación/autorización suficiente se requiere:
- Asegurarse de que se requieren contraseñas seguras.
- Garantizar que exista un control de acceso granular cuando sea necesario.
- Garantizar que las credenciales estén adecuadamente protegidas.
- Implemente la autenticación de dos factores siempre que sea posible.
- Garantizar que los mecanismos de recuperación de contraseña sean seguros.
- Es necesario garantizar la nueva autenticación para las funciones confidenciales.
- Garantizar que haya opciones disponibles para configurar controles de contraseña.
Servicios de red inseguros
Resumen: Un atacante utiliza servicios de red vulnerables para atacar el propio dispositivo o hacer rebotar ataques fuera del dispositivo.
¿Cómo puedo proteger mis servicios de red?
- Garantizar que solo los puertos necesarios estén expuestos y disponibles.
- Garantizar que los servicios no sean vulnerables a desbordamientos de búfer y ataques de fuzzing.
- Garantizar que los servicios no sean vulnerables a ataques DoS que puedan afectar al propio dispositivo o a otros dispositivos y/o usuarios de la red local u otras redes.
- Asegurarse de que los puertos o servicios de red no estén expuestos a Internet a través de UPnP, por ejemplo.
Falta de cifrado de transporte
Resumen: Un atacante aprovecha la falta de cifrado de transporte para ver los datos que pasan por la red.
¿Cómo utilizo el cifrado de transporte?
- Garantizar que los datos estén encriptados mediante protocolos como SSL y TLS mientras transitan por las redes.
- Garantizar que se utilicen otras técnicas de cifrado estándar de la industria para proteger los datos durante el transporte si SSL o TLS no están disponibles.
- Garantizar que solo se utilicen estándares de cifrado aceptados y evitar el uso de protocolos de cifrado propietarios.
Problemas relativos a la privacidad
Resumen: Un atacante utiliza múltiples vectores como autenticación insuficiente, falta de cifrado de transporte o servicios de red inseguros para ver datos personales que no están siendo protegidos adecuadamente o que se recopilan innecesariamente.
¿Cómo puedo evitar problemas de privacidad?
- Garantizar que solo se recopilen datos críticos para la funcionalidad del dispositivo.
- Asegurarse de que cualquier dato recopilado sea de naturaleza menos sensible (es decir, tratar de no recopilar datos confidenciales).
- Garantizar que todos los datos recopilados sean desidentificados o anonimizados.
- Garantizar que todos los datos recopilados estén adecuadamente protegidos mediante cifrado.
- Garantizar que el dispositivo y todos sus componentes protejan adecuadamente la información personal.
- Garantizar que sólo las personas autorizadas tengan acceso a la información personal recopilada.
- Garantizar que se establezcan límites de retención para los datos recopilados.
- Garantizar que los usuarios finales reciban "aviso y opciones" si los datos recopilados son más de lo que se esperaría del producto.
Interfaz de nube insegura
Resumen: Un atacante utiliza múltiples vectores, como autenticación insuficiente, falta de cifrado de transporte y enumeración de cuentas para acceder a datos o controles a través del sitio web en la nube.
¿Cómo protejo mi interfaz en la nube?
- Las contraseñas predeterminadas y, lo ideal, los nombres de usuario predeterminados se deben cambiar durante la configuración inicial.
- Garantizar que las cuentas de usuario no se puedan enumerar mediante funciones como mecanismos de restablecimiento de contraseña.
- Garantizar el bloqueo de la cuenta después de 3 a 5 intentos fallidos de inicio de sesión.
- Garantizar que la interfaz web basada en la nube no sea susceptible a XSS, SQLi o CSRF.
- Garantizar que las credenciales no queden expuestas en Internet.
- Implemente la autenticación de dos factores si es posible.
Interfaz móvil insegura
Resumen: Un atacante utiliza múltiples vectores como autenticación insuficiente, falta de cifrado de transporte y enumeración de cuentas para acceder a datos o controles a través de la interfaz móvil.
¿Cómo puedo proteger mi interfaz móvil?
- Las contraseñas predeterminadas y, lo ideal, los nombres de usuario predeterminados se deben cambiar durante la configuración inicial.
- Garantizar que las cuentas de usuario no se puedan enumerar mediante funciones como mecanismos de restablecimiento de contraseña.
- Garantizar el bloqueo de la cuenta después de 3 a 5 intentos fallidos de inicio de sesión.
- Garantizar que las credenciales no queden expuestas mientras está conectado a redes inalámbricas.
- Implementar la autenticación de dos factores si es posible.
Configuración de seguridad insuficiente
Resumen: Un atacante aprovecha la falta de permisos granulares para acceder a los datos o controles del dispositivo. El atacante también podría aprovechar la falta de opciones de cifrado y contraseña para realizar otros ataques que pongan en riesgo el dispositivo o los datos.
¿Cómo puedo mejorar mi configurabilidad de seguridad?
- Garantizar la capacidad de separar a los usuarios normales de los usuarios administrativos.
- Garantizar la capacidad de cifrar datos en reposo o en tránsito.
- Garantizar la capacidad de imponer políticas de contraseñas seguras.
- Garantizar la capacidad de habilitar el registro de eventos de seguridad.
- Garantizar la capacidad de notificar a los usuarios finales sobre eventos de seguridad.
Software o firmware inseguro
Resumen: El atacante utiliza múltiples vectores, como capturar archivos de actualización a través de conexiones no cifradas, el archivo de actualización en sí no está cifrado o puede realizar su propia actualización maliciosa a través del secuestro de DNS.
¿Cómo protejo mi software/firmware?
- Asegurarse de que el dispositivo tenga la capacidad de actualizarse (muy importante).
- Asegurarse de que el archivo de actualización esté cifrado mediante métodos de cifrado aceptados.
- Garantizar que el archivo de actualización se transmita a través de una conexión cifrada.
- Garantizar que el archivo de actualización no exponga datos confidenciales.
- Asegurarse de que la actualización esté firmada y verificada antes de permitir que se cargue y aplique.
- Garantizar que el servidor de actualización sea seguro.
Mala seguridad física
Resumen: El atacante utiliza vectores como puertos USB, tarjetas SD u otros medios de almacenamiento para acceder al sistema operativo y potencialmente a cualquier dato almacenado en el dispositivo.
¿Cómo puedo proteger físicamente mi dispositivo?
- Garantizar que el medio de almacenamiento de datos no se pueda extraer fácilmente.
- Garantizar que los datos almacenados estén cifrados en reposo.
- Asegurarse de que los puertos USB u otros puertos externos no puedan usarse para acceder al dispositivo de forma malintencionada.
- Asegurarse de que el dispositivo no se pueda desmontar fácilmente.
- Asegurarse de que solo se requieren los puertos externos necesarios, como USB, para que el producto funcione
- Garantizar que el producto tenga la capacidad de limitar las capacidades administrativas.