Cada vegada més coses formen part de l’anomenat Internet de les coses o Internet of Things (IOT), un concepte que fa referència a la interconnexió digital d’objectes quotidians i que actualment es fa servir amb una denotació de connexió avançada de dispositius, sistemes i serveis que va més enllà de la tradicional M2M (màquina a màquina) i cobreix una àmplia varietat de protocols, dominis i aplicacions.
Els perills i vulnerabilitats de l’IOT
És precisament aquest concepte d’interconnexió total a través de la Xarxa el que pot suposar un enorme risc per a l’usuari, ja que encara que tinguem el mòbil o el portàtil protegits amb AVAST i uns altres quants antivirus i programes, coses com la Smart TV o la nevera que poden connectar-se a Internet no disposen d’aquest nivell de protecció i per tant són blancs fàcils de ser hackejats i obrir una vulnerabilitat perquè un pirata entri en noves stra xarxa.
Per això hi ha qui considera a l’IOT com un malson de seguretat en potència. Segons l’OSI, l’Oficina de Seguretat de l’Internauta, aquestes són les vulnerabilitats usuals a les que els IOT estan exposats:
- Credencials d’accés a l’dispositiu (usuari i contrasenya) que vénen configurades per defecte i que en alguns casos no poden canviar-se per altres diferents.
- a l’accedir a l’programari de control i configuració de el dispositiu, aquest usa protocols de xifrat insegur que provoca que es pugui veure tota la informació o que es pugui accedir via Internet (en remot) sense establir un filtre de seguretat.
- No hi ha un xifrat o estigui és insegur en les comunicacions que realitzen els dispositius amb el núvol, el servidor o l’usuari.
- A l’facilitar la configuració de dispositiu, hi ha paràmetres i característiques de seguretat que no es poden modificar.
- En alguns casos, no disposen d’actualitzacions per a corregir errors de seguretat detectats tant en el programari, com en el firmware dels dispositius, a causa que, per exemple, el suport tècnic té una durada determinada en el temps, com succeeix amb els sistemes operatius antics o amb la vida útil de l’aparell.
- En determinats dispositius Iot, s’ha detectat la presència de portes del darrere o backdoors que vénen instal·lades de fàbrica i que possibiliten l’accés de remotament a el dispositiu i modifiquen el funcionament del mateix.
els tipus d’atacs als dispositius Iot
Totes aquestes vulnerabilitats són factibles de ser aprofitades i explotades per cibercriminals amb coneixements, usant-les com armes per realitzar diferents atacs digitals com els següents:
- Ransomware o segrest de dispositius: Aquest tipus d’atac consisteix en la infecció de el dispositiu mitjançant un virus que bloqueja el seu ús ha sta que es realitza un pagament, normalment en moneda digital, per alliberar-lo. Tot i que el pagament no garanteix la recuperació de control de l’aparell.
- Atacs de denegació de servei (DOS / DDOS): Aquest tipus d’atac s’aprofita de les vulnerabilitats que té el dispositiu que li permeten obtenir el seu control. Aquest s’uneix a una xarxa amb milers d’equips infectats que ataquen objectius predefinits de forma conjunta.
- Bots d’spam: Amb la infecció, es busca el control de el dispositiu per utilitzar-lo posteriorment per dirigir i gestionar l’enviament massiu de correu brossa.
- Robatori d’informació: Es produeix mitjançant l’atac a el dispositiu IOT que permet al seu torn l’accés a altres dispositius connectats a la xarxa, ja siguin ordinadors, servidors, routers, etc. Aquest ciberatac permet accedir a documents i arxius, així com realitzar una anàlisi de el trànsit de la xarxa a la qual estan connectats i robar les credencials dels diferents serveis que fan servir els usuaris d’aquesta xarxa (comptes de correu, xarxes socials, serveis financers, botigues online, etc..).
- Manipulació dels mesuraments: Aquest atac té com a objectiu que el servidor, en base a les dades observades, proporcioni informació falsa o executi ordres errònies per provocar danys a les infraestructures o en les cases, per exemple, sobrecarregar la xarxa elèctrica, obertura de portes o aixetes, funcionament anòmal dels electrodomèstics o de la calefacció, etc.
- Privadesa: els atacants poden obtenir informació de la víctima, com la seva situació en un determinat lloc, els seus gustos o obtenir informació dels dispositius que l’usuari té connectats a la xarxa.
Consells per Protegir la teva xarxa IOT
Canvia les credencials per defecte
Canvia les credencials (nom d’usuari i contrasenya) que venen per defecte , ja que aquestes credencials són comuns a la resta de dispositius de la marca, i fàcils d’aconseguir en una recerca a Internet, el que els converteix en objectiu d’atacs. Per exemple, la botnet Mirai infecta els dispositius IOT a través de les credencials utilitzades per defecte, instal·lant codi maliciós en els mateixos.
Xarxa Independent
Aïlla aquest tipus de sistemes i els dispositius que utilitzes per connectar-te amb ells en una xarxa independent, així evitaràs que algú que accedeixi a la teva xarxa wifi pugui interactuar amb ells. Si no necessites accedir de manera remota a la teva xarxa, desactiva l’administració remota.
Contrasenyes robustes
Protegeix tots els dispositius com a mínim amb WPA2 i contrasenyes robustes. També és important protegir la seguretat de l’router per evitar que algú connectat a la xarxa pugui accedir-hi.
Filtrat de trànsit
Si tens certs coneixements tècnics, estableix un filtrat de trànsit a la xarxa per evitar que el trànsit no autoritzat es dirigeixi cap a algun dispositiu en concret, o cap a l’exterior de la xarxa.
Dades xifrats
És recomanable que la informació que contingui o rebi el dispositiu està xifrada per evitar el robatori, la manipulació o la modificació de les accions a realitzar.
Passar un antivirus
Realitza anàlisis periòdiques amb un antivirus a la recerca d’infeccions, vulnerabilitats o qualsevol altra amenaça.
Revisar els permisos de les apps
Si tens dispositius IOT i utilitzes al teu mòbil les aplicacions de control i gestió dels mateixos, revisa que els permisos concedits són els que necessita i si no, desactiva aquells permisos que no siguin necessaris per al seu funcionament.
Polítiques de privacitat
Llegeix les polítiques de privacitat dels dispositius que utilitzis per estar informat sobre quina informació recol·lecta, emmagatzema i l’ús que fa d’ella l’empresa creadora del producte.
Actualitzacions
Mantingues actualitzat el programari dels equips i el firmware dels dispositius Iot. Quan més actualitzats estiguin i tinguin els últims pegats de seguretat, més difícil seran de hackejar.