Opinión Fui una de las primeras personas en utilizar un dispositivo de Internet de las cosas (IoT). Era la máquina de Coca-Cola* del Departamento de Ciencias de la Computación de Carnegie-Mellon. Es cierto que no necesitaba comprobarlo ya que mi escuela, la Universidad de West Virginia, estaba a 77 millas de CMU, pero pensé que era realmente genial en la década de 1970 poder ver qué pasaba con la máquina de coca a través de Internet. . Eso fue entonces. Esto es ahora. Hoy. No estoy muy entusiasmado con el IoT. Verá, si bien no era cierto que los cepillos de dientes inteligentes estuvieran detrás de un ataque de denegación de servicio distribuido (DDoS), podrían haberlo estado. Más concretamente, algunos ataques DDoS ya comienzan desde los dispositivos que lleva en la muñeca, en el bolsillo y repartidos por toda la casa. Por ejemplo, el año pasado, Nokia señaló en su Informe Nokia Threat Intelligence 2023 que los ataques DDoS de botnets de IoT se quintuplicaron entre 2022 y 2023. De hecho, más del 40 por ciento de todo el tráfico DDoS actual proviene de botnets de IoT. Deberíamos haberlo visto venir. Los primeros ataques DDoS importantes de botnet de IoT, que utilizaron la herramienta LizardStresser DDoS, arruinaron la temporada navideña de 2015 para muchos usuarios de Xbox Live cuando dejaron el servicio fuera de línea durante días durante la temporada alta de Navidad. En 2016, los piratas informáticos de LizardStresser continuaron con un ataque de 400 Gbps respaldado por más de 1200 cámaras de vídeo. Desde entonces sólo ha empeorado. Mucho peor. Quizás no creas que pequeños dispositivos como bombillas inteligentes, termostatos y, sí, cepillos de dientes, puedan causar tanto daño, y estarías en lo cierto. Individualmente no cuentan mucho. Pero, cuando coordinas algunos de los más de 5 billones (es decir, billones con un T) de dispositivos IoT, es otra historia completamente diferente. Entonces, ¿por qué la seguridad de IoT es tan mala? Déjame contar las formas. En primer lugar, los dispositivos IoT no suelen tener sistemas operativos como tales, sino firmware que también actúa como sistema operativo. En resumen, cualquier problema de seguridad en el firmware es fácilmente accesible para un posible atacante. Además, con demasiada frecuencia, el firmware no tiene tanta seguridad como los sistemas operativos. De hecho, demasiados dispositivos «inteligentes» utilizan software antiguo y tonto con problemas de seguridad conocidos. Como señaló el FBI en 2022, muchos dispositivos médicos de IoT [PDF] ejecutar software obsoleto e inseguro. ¿Cuántos? Según Armis, una empresa de seguridad, el 39 por ciento de los sistemas de llamadas a enfermeras tienen vulnerabilidades y exposiciones comunes (CVE) críticas y sin parches. Ah, ¿y las bombas de infusión, que suministran líquidos a los pacientes? El 30 por ciento de ellos tienen CVE sin parches. ¿Le sorprendería saber que el 19 por ciento de las unidades médicas de IoT se ejecutan en versiones de Windows que ya no son compatibles? No lo creo. Preferiría no ir al hospital de todos modos, pero ¿sabiendo que algunos de los equipos de los que depende mi vida no son seguros? No simplemente no. Para facilitar aún más los ataques de IoT, los dispositivos de IoT más basura no utilizan redes seguras. Las redes inseguras también son especialmente vulnerables a los ataques de intermediario (MITM). Eso hace que robar credenciales sea increíblemente simple. Todo esto surge del simple hecho de que la seguridad de IoT es una idea de último momento. Un problema más obvio pero muy común es que muchos dispositivos de IoT vienen con contraseñas predeterminadas débiles o, peor aún, contraseñas codificadas compartidas. Sí, hace que sea más fácil para el público de Joe configurar el dispositivo, pero también es una invitación abierta para que cualquier hacker inscriba su dispositivo en una botnet. Por supuesto, estas vulnerabilidades podrían solucionarse… si a los fabricantes de IoT les importara un comino la seguridad. Muchos no lo hacen. Muchos no actualizan su firmware en absoluto. Para ellos, su seguridad es un costo. Compraste el dispositivo, ahora es tu problema. ¿Qué puedes hacer al respecto? No mucho, para ser honesto. Por eso prefiero no comprar nunca ningún dispositivo «inteligente». Verá, no existe una «S» para seguridad en IoT. Nunca lo ha habido y dudo mucho que alguna vez lo haya. Sólo puedes comprar a proveedores que prioricen la seguridad. Descubrir cuáles hacen eso puede ser casi imposible, ya que no facilitan su búsqueda. Sin embargo, puedo decir una cosa: si un dispositivo IoT ejecuta Windows, simplemente diga que no. Windows ya es bastante difícil de proteger en una computadora; en hardware independiente, es casi imposible. El simple hecho de que los dispositivos médicos, de todas las cosas que realmente desea proteger, ejecuten con frecuencia versiones obsoletas de Windows dice todo lo que necesito sobre la seriedad con la que sus fabricantes se toman la seguridad. Todo se reduce al resultado final. Lo que realmente les importa a muchos de los que fabrican dispositivos IoT es la M por dinero. No les importa en absoluto proteger el software, especialmente mantenerlo parcheado y seguro una vez que esté en sus manos. Estás mucho más seguro con dispositivos tontos que con los inteligentes. ® Bootnote * Sí, el Departamento de Ciencias de la Computación de Carnegie-Mellon ya tenía una máquina de Coca-Cola conectada a Internet en 1992.

Source link