El 70% de los dispositivos IoT son vulnerables a ataques
11/08/2014
Los dispositivos que componen Internet de las Cosas tienen un promedio de 25 puntos vulnerables por dispositivo, lo que indica una expansión de la superficie de ataque.

Fuente:  www.ebizlatam.com

HP dio a conocer los resultados de un estudio que revela que 70% de los dispositivos que componen Internet de las cosas (IoT) tienen puntos vulnerables que incluyen seguridad de las contraseñas, cifrado y ausencia de permisos de acceso pormenorizados para los usuarios.

Con el auge de la Internet de las Cosas (IoT) se espera que el número y la diversidad de dispositivos conectados aumenten de manera exponencial. De acuerdo con Gartner, “Internet de las cosas” incluirá 26 mil millones de unidades instaladas en 2020. Los proveedores de productos y servicios de IoT generarán ingresos que superarán los 300 mil millones de dólares, la mayoría en servicios, en 2020.

Este aumento de la demanda presiona a los fabricantes para que desarrollen, de manera rápida, dispositivos conectados, capacidad de acceso a la nube y aplicaciones móviles para cubrir las necesidades del mercado. Mientras esto aumenta los beneficios prometidos a los usuarios de los dispositivos IoT, también abre la puerta a amenazas de seguridad que van desde vulnerabilidades de software hasta ataques de negación de servicio (DDoS), pasando por contraseñas deficientes y vulnerabilidades de scripting entre sitios.

“Mientras que la Internet de las Cosas conectará y unificará incontables objetos y sistemas, también presenta un desafío significativo, ya que amplía las oportunidades de ataque”, explicó Mike Armistead, vicepresidente y director general de productos de seguridad empresariales Fortify de HP. “Con la adopción continua de dispositivos conectados, es de vital importancia integrar sistema de seguridad en estos productos para evitar ataques y la exposición de la información de los consumidores”.

HP utilizó la solución HP Fortify on Demand para explorar 10 de los dispositivos IoT más populares y descubrió, en promedio, 25 vulnerabilidades por dispositivo: un total de 250 puntos de inseguridad en todos los productos probados. Los dispositivos IoT, junto con sus aplicaciones móviles y componentes en la nube y movilidad, pertenecían a fabricantes de televisores, cámaras web, termostatos, tomas de corriente eléctrica remota, controladores de rociadores, centros de control para múltiples dispositivos, cerraduras de puertas, alarmas domésticas, balanzas y mecanismos de apertura de puertas de garaje.

Los problemas de seguridad más comunes y fáciles de resolver informados incluyen:

•Configuración de la privacidad: ocho de los diez dispositivos probados, junto con sus correspondientes componentes de aplicaciones de nube y movilidad, presentaron puntos vulnerables de seguridad con respecto a recolección de datos de los consumidores, como nombre, dirección de correo electrónico, dirección postal, fecha de nacimiento, credenciales de tarjeta de crédito e información de salud. Además, 90% de los dispositivos recogieron por lo menos alguna información personal a través del propio dispositivo, la nube o su aplicación de movilidad.
•Contraseñas: 80% de los dispositivos IoT probados, incluyendo sus componentes de nube y movilidad, fallaron en solicitar contraseñas lo suficientemente complejas y largas: la mayoría de los dispositivos admitió contraseñas como "1234". De hecho, muchas de las cuentas probadas configuradas por HP con contraseñas débiles fueron usadas también en los sitios web y las aplicaciones de movilidad de los productos.
•Falta de cifrado de transporte: 70% de los dispositivos IoT analizados no cifró las comunicaciones a través de Internet y la red local, mientras la mitad de las aplicaciones de movilidad de los dispositivos realizaron comunicaciones sin cifrado a la nube, internet o la red local. El cifrado del transporte es crucial dado que muchos de los dispositivos probados recogieron y transmitieron datos confidenciales a través de los canales.
•Interfaz web insegura: seis de los diez dispositivos evaluados presentaron problemas con relación a sus interfaces de usuario, como XSS persistente, gestión de sesión defectuosa, credenciales predeterminadas débiles y credenciales transmitidas sin cifrado. 70% de los dispositivos con componentes de nube y movilidad permiten que un atacante potencial determine cuentas de usuario válidas a través de la enumeración de la cuenta o el recurso de redefinición de contraseña.
•Protección de software inadecuada: 60% de los dispositivos no usan cifrado cuando descargan actualizaciones de software, un número alarmante dado que el software posibilita la funcionalidad de los dispositivos probados. Algunas descargas incluso podrían ser interceptadas, extraídas y montadas como sistemas de archivo en Linux, donde el software podría visualizarse o modificarse.
Para ofrecer protección contra las amenazas a la seguridad que acompañan el surgimiento de IoT, es fundamental que las organizaciones implementen un enfoque integral para identificar vulnerabilidades de software antes de que sean explotadas.