Los proveedores de IoT tienen que ser conscientes de la vulnerabilidad de las LAN

El uso de cuentas ocultas, protocolos de administración no certificados y claves criptográficas codificadas o contraseñas, es muy común en el mundo de dispositivos IoT y dispositivos integrados. Estos problemas, que equivalen a configuraciones por defecto inseguras, se encuentran con frecuencia no sólo en productos de consumo, sino también en empresas, incluyendo firewalls y otros dispositivos de seguridad.

Por ejemplo, a principios de diciembre se descubrió que 80 modelos de cámaras de seguridad profesionales de Sony, utilizados principalmente por empresas y agencias gubernamentales, tenían cuentas de ‘backdoor’. Y este es sólo uno de los muchos casos ocurridos este año.

Estas debilidades básicas, son consecuencia de no tener en cuenta, desde el diseño del producto, la posibilidad de sufrir cualquier tipo de ataque. Si se hiciera, podrían eliminarse, más fácilmente, las vulnerabilidades relacionadas con el código, lo que requeriría inversiones en formación de desarrolladores y revisiones de seguridad.

Este tipo de configuraciones inseguras podrían evitarse fácilmente si los fabricantes de dispositivos incluyeran ataques basados ​​en LAN en su previsión de amenazas, pero la mayoría todavía parecen tratar las redes de área local como entornos implícitamente fiables, creyendo que los atacantes sólo apuntan dispositivos que pueden alcanzar directamente desde  Internet.

Lamentablemente eso no ha sido así. Los ataques de falsificación de solicitudes cruzadas (CSRF) que secuestran los navegadores de los usuarios cuando visitan sitios web maliciosos, se utilizan para atacar a ‘routers’ y otros dispositivos a través de la red local son ahora comunes.

Los ‘hackers’ frecuentemente también infectan portátiles o teléfonos con ‘malware’ y luego buscan otros sistemas en LAN que puedan comprometer para obtener un punto de apoyo permanente - una práctica conocida como movimiento lateral.

Los ataques CSRF no son la única posibilidad de atacar dispositivos LAN que no están expuestos directamente a Internet. También se pueden utilizar programas maliciosos que se ejecutan en ordenadores o teléfonos inteligentes con este fin.

Muchos proveedores de IoT basan su estrategia de defensa en el hecho de que sus dispositivos se instalarán detrás de los ‘router’ en lugar de centrarse en la seguridad de los dispositivos y este planteamiento es muy peligroso. Uno de los principales defectos en la mayoría de los dispositivos conectados es que confían en otros dispositivos de la red local de forma predeterminada y esto es un error de diseño seguro.

Asumir la confianza en lugar de la hostilidad es un problema por varias razones. Una de ellas es el denominado ataque a escalones, en los que los ‘hackers’ ponen en peligro sistemas que ya tienen algún nivel de confianza.  

Muchos pequeños aparatos electrónicos no parecen tener valor para los atacantes a primera vista porque tienen bajo poder computacional. Pero eso puede llevar a engaño porque la posibilidad de que se detecte es menor y se pueden utilizar para lanzar ataques contra objetivos más valiosos ubicados en la misma red.

En 2016 hubo aproximadamente 100 informes de credenciales predeterminadas codificadas o inseguras en dispositivos embebidos, según estadísticas de la firma de inteligencia de vulnerabilidad Risk Based Security. Desde 2013, se han reportado cerca de 550 debilidades.

Los consumidores se enfrentan a un problema similar en la imposición de controles de acceso en sus redes. Los usuarios pusieron estos nuevos dispositivos - desde termostatos inteligentes y sensores hasta timbres de acceso a Internet y cámaras de seguridad - en sus hogares sin restringir quién puede acceder a ellos. Luego comparten sus contraseñas Wifi con amigos y familiares que traen sus portátiles y teléfonos susceptibles de estar infectados.

Hasta que los vendedores comiencen a bloquear sus dispositivos correctamente, hay algunas cosas que se pueden hacer. En primer lugar, asegurar el ‘router’ de la mejor manera posible, ya que es la puerta de entrada a su red y probablemente el tipo más específico de dispositivos embebidos. Por lo menos, cambiar la contraseña de administrador predeterminada y tratar de cambiar su dirección IP de LAN predeterminada para hacer más difícil para los ataques automatizados CSRF.

Si su ‘router’ ofrece la opción de crear LANs virtuales (VLANs), utilice esta función para aislar sus dispositivos IoT en su propio segmento de red y unirse a su ordenador o teléfono a esa red sólo cuando necesite administrarlos. Muchos dispositivos IoT se pueden gestionar a través de servicios basados ​​en la nube, por lo que ni siquiera necesita acceder a ellos a través de la red local. Si su ‘router’ le permite crear una red Wifi como invitado utilicela como una alternativa VLAN para sus dispositivos IoT. Normalmente, una red invitada está aislada de la red principal y sólo proporciona acceso a Internet a los dispositivos conectados a ella. Si decide hacerlo, no utilice la misma red Wifi de invitados para las personas que visitan su casa. Los dispositivos IoT aprobados deben colocarse detrás de ‘firewalls’ internos con políticas de acceso fuertes para que no puedan ser atacados por otros equipos de la red.