Por Daniel Madero, Director Regional Iberia de MobileIron
Cientos de frigoríficos conectados, traídos por departamentos comerciales confiados, están saturando la red Wi-Fi de un hospital. Los médicos, que dependen de la voz por Wi-Fi para comunicarse, han dejado de recibir mensajes por el ‘busca y el equipo de supervisión médica no está enviando los últimos datos necesarios para tratar a los pacientes. No estamos hablando de un fallo en la conexión a Twitter: es algo que afecta a la vida de las personas.
Este es el Internet de las Cosas (…sospechosas). Y la realidad es que realmente no sabemos cómo están diseñados o “securizados” estos dispositivos para el consumidor y el ‘prosumidor’. Ese frigorífico inteligente, el reproductor digital o la videocámara conectada pueden ser el origen de ataques del tipo Denial of Service (DDoS) que hemos visto este año. Estos ataques provocaron fallos con la conectividad a Internet, pero podría haber sido mucho peor.
Imagina que el ataque a la red Mirai (ahora disponible en alquiler) se aplicara a una red eléctrica conectada. ¿Cuánto tiempo tendrá que pasar hasta que se restauren los servicios?
¿Qué pasaría si la conexión a la red dejara de funcionar en una cadena de tiendas debido a un ataque en el IoT? ¿Cuántos clientes se marcharían si sus tarjetas de crédito de repente dejaran de funcionar? ¿Y cuántos posiblemente no volverían nunca más?
La verdad es que los recientes ataques ocurridos contra Dyn, Deutsche Telekom y TalkTalk son muy incómodos. Cientos de miles de personas han quedado sin conexión o no han podido acceder a páginas web, aunque nadie ha resultado gravemente herido… al menos todavía.
¿Qué pasaría si la conexión a la red dejara de funcionar en una cadena de tiendas debido a un ataque en el IoT?
Es fácil acordarse de los principios de la informática tradicional: tener miedo a la tecnología y resistirse. Fuimos testigos de esta actitud a finales de los años 90 con el Wi-Fi y a finales de la década del 2000 con el iPhone. Sin embargo, los nuevos dispositivos del IoT podrían ser una fuente de gran valor. Los frigoríficos conectados parecen una tontería hasta que te das cuenta de que podrían contribuir a aumentar los ingresos y la productividad en un sector como el farmacéutico. Las cámaras IP pueden ayudar a gestionarlos servicios de emergencias al ofrecer a los coordinadores vídeos en tiempo real que mejorarían el conocimiento de la situación. Los reproductores digitales pueden proporcionar experiencias de inmersión a los consumidores minoristas, al garantizar que se les muestra contenido relevante en cualquier tienda y en cualquier parte del mundo.
Los empleados siempre ganan. Aunque se les diga que no, ellos (particulares o departamentos enteros) darán un rodeo para conseguir lo que quieren, ignorando completamente las prácticas de seguridad recomendadas. El verdadero número de dispositivos IoT, que se estima alcanzará la cifra de entre 50 y 200 miles de millones en el 2020, significa que las empresas tecnológicas estarán sobrepasadas rápidamente. ¿Quieres ver una demostración histórica de la adopción tecnológica impulsada por los empleados? Intenta encontrar una oficina comercial con un solo acceso a Ethernet por cable o una empresa que diga “no permitimos iPhones”.
La respuesta es desarrollar las piezas que permiten decir ‘sí’ al Internet de las Cosas (…sospechosas). A continuación se detallan algunas ideas que podrías empezar a poner en práctica hoy mismo.
- Segmenta la red: los usuarios aportarán nuevos dispositivos a la red que posiblemente no quieras que se conecten a la infraestructura crítica, así que es el momento de añadir un par de nuevas SSID y VLAN a tu red. Es posible que ya tengas configurada una red de invitados que permita conectividad a Internet a la vez que bloquea el acceso a los recursos corporativos. Todo eso está bien, pero es posible que los dispositivos IoT necesiten acceder a algunos recursos corporativos, mientras que los invitados no necesitan ninguno. Con el tiempo, el departamento de informática podrá decir qué recursos están accesibles en la red de IoT. En última instancia, la red IoT encaja entre tu red corporativa de total confianza y la que se utiliza para los invitados.
- Piensa seriamente en la PKI y el NAC: no quiere que los usuarios utilicen sus credenciales y los pongan en el frigorífico para conectarse a Internet porque, si está en riesgo, el frigorífico está actuando en la red como si fuera uno de sus empleados. (Alerta spoiler: es muy probable que sea tu jefe el que compró un nuevo dispositivo y está usando sus credenciales para autenticarse en la red. El nuevo dispositivo es hackeado pero, desde la perspectiva de la red, parece y actúa como si fuera su jefe. El nombre de usuario y la contraseña están disponibles para el atacante, de modo que el frigorífico puede autenticarse en otras cosas como si fuera el jefe). La Infraestructura de clave pública (PKI) puede ser útil al garantizar que solamente se puedan conectar los extremos autorizados inscritos por el usuario y en los que el departamento informático confía. La disposición en capas del Control de Acceso a la Red (NAC) garantiza que los dispositivos realmente sean de confianza y cumplan sus criterios mínimos de seguridad. Los dispositivos del IoT de menos confianza se mantienen segmentados en la red adecuada.
- Bloquea Telnet: si es posible, bloquea totalmente las conexiones a Telnet desde tu red. Como mínimo, bloquea las conexiones realizadas por Telnet desde el exterior. Las conexiones no seguras como Telnet, combinadas con dispositivos que tienen contraseñas predeterminadas, permiten que se propaguen virus como Mirai.
- Piensa en controlar el tráfico: si tienes dispositivos en riesgo, puedes cortar la hemorragia. El control del tráfico, sobre todo en torno a los flujos de tráfico sospechosos (paquetes pequeños, largos períodos de actividad, destinos repetidos) pueden ayudar a mitigar el efecto de los ataques lanzados desde tu red y ofrecer una mejora de la productividad para servicios críticos.
- Gestiona lo que sea posible: puedes poner algunos dispositivos conectados en la Entreprise Mobility Management (EMM) y en otros sistemas de seguridad. Si tu empresa está aplicando prototipos de desarrollo en sus propios dispositivos IoT, busca plataformas como Windows 10 y Android porque sus conjuntos de herramientas de seguridad son más maduros que las plataformas de desarrollo del consumidor. Si los dispositivos no se pueden configurar a través de una plataforma central, trabaja con tus empleados para advertirlos sobre cómo desactivar los tipos de configuración predeterminados que han provocado ataques como los de Mirai.
Sin duda alguna, lleva tiempo implementar los sistemas de seguridad y las mejores prácticas necesarias para la base del IoT de una empresa, pero los riesgos que presentan los dispositivos sospechosos conectados a Internet dan mucho que pensar. Al aplicar estas recomendaciones, puedes establecer las bases de la seguridad para futuros dispositivos conectados y hacer que tu empresa sea cada día más segura.
