México Seguridad 

Dispositivos IoT desechados revelan mucho

Canales TI 0 Comments

 

Los dispositivos inteligentes conectados en red, como cámaras de vigilancia y lámparas controladas por aplicaciones, pueden ser fácilmente hackeados. Particularmente en el caso de dispositivos IoT económicos, la contraseña está, con frecuencia, predeterminada en el firmware y no se puede modificar. Aquí les dejamos una pequeña anécdota sobre la locura de la incertidumbre del IoT, seguida por las 10 principales vulnerabilidades de los dispositivos IoT, definidas por OWASP.

 

Una investigación detallada de Limited Results ha demostrado que los dispositivos IoT pueden revelar datos sensibles incluso luego de haber sido desechados. Unos aficionados pusieron lámparas inteligentes en funcionamiento y luego las desarmaron, les quitaron las placas de circuito e intentaron leerlas. El resultado fue que en todas las lamparitas se encontraron casi las mismas brechas de seguridad. En todos los casos, los datos no estaban encriptados y hasta se podía leer la contraseña de la red WLAN utilizada por el usuario. Uno de los dispositivos hasta reveló una clave privada para la codificación de RSA. Este procedimiento relativamente simple significa que por lo menos la red WLAN queda abierta a los hackers cuando toman estos dispositivos de la basura.

 

¿Se necesita ser todo un especialista para extraer información útil de estos dispositivos? Aparentemente no. El equipo probado ha sido tan mal programado y desarrollado que una persona con un poco de experiencia puede acceder fácilmente a información sensible –a pesar de que esto ya se sabe desde hace varios años y ha sido aprovechado innumerables veces para realizar ataques.

 

OWASP, el Proyecto Abierto de Seguridad de Aplicaciones Web, ha compilado una lista de 10 puntos, para el año pasado, que representan los mayores peligros en las redes IoT basadas en dispositivos IoT. La lista es la siguiente:

 

  1. Contraseñas poco seguras, predecibles o con codificación fija
  2. Servicios de red inseguros
  3. Interfaces de ecosistemas inseguras
  4. Falta de mecanismos de actualización seguros
  5. Uso de componentes inseguros o desactualizados
  6. Insuficiente protección de la privacidad
  7. Transferencia y almacenamiento de datos inseguro
  8. Falta de gestión de dispositivos
  9. Configuración predeterminada insegura
  10. Falta de refuerzo físico de la seguridad del sistema

 

Una vez más se advierte el peligro de la inadecuada protección de las contraseñas de los dispositivos IoT. A fines del año pasado, se promulgó una ley en el Estado de California de Estados Unidos que regula la seguridad de los dispositivos conectados en red. Concretamente, está previsto que a partir del año 2020 no se permitirá entregar dispositivos con contraseñas estándares. Lo que no está todavía claro es cuándo se aplicarán otras normas similares.

 

David Montoya, Director Regional de Paessler América

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

PHP Code Snippets Powered By : XYZScripts.com