Seguridad

Los dispositivos IoT no compatibles son problemas cibernéticos esperando a que sucedan

Imagínese leer un titular en las noticias de mañana que dice que la identidad de su vecino fue robada y los ahorros de toda su vida fueron limpiados por delincuentes que ingresaron a través de su lavadora ‘inteligente’.

¿Ridículo, dices? Bueno, ¿has comprobado últimamente tu propia red Wi-Fi doméstica?

Es posible que tenga varios dispositivos domésticos conectados y otros dispositivos de Internet de las cosas (IoT) conectados de forma inalámbrica a través de un enrutador mal configurado sin configuraciones de firewall. ¿El firmware está actualizado? ¿Los parches de seguridad están actualizados?

¿Aún no estás convencido de que se trata de un problema grave? Luego considere este ejemplo evidente de lo peligroso que puede ser un dispositivo obsoleto.

En junio, los propietarios de Western Digital My Book NAS de todo el mundo descubrieron que sus dispositivos se habían restablecido misteriosamente a los valores de fábrica y se habían eliminado todos sus archivos. My Book Live y My Book Live Duo son dispositivos personales de almacenamiento en la nube.

Cuando los usuarios del producto WD intentaron iniciar sesión a través del panel web, los dispositivos respondieron que tenían una «contraseña no válida». Los propietarios de WD My Book ya no podían iniciar sesión en el dispositivo a través de un navegador o una aplicación.

Los productos My Book Live y My Book Live Duo experimentaron pérdida de datos debido a un incidente de seguridad, según el sitio web de Western Digital. WD informó a los clientes que la compañía cubriría los costos de los usuarios elegibles con productos calificados para recuperar sus datos utilizando los servicios de recuperación de datos (DRS) proporcionados por un proveedor seleccionado por Western Digital.

La empresa se comprometió a cubrir los costos de envío del producto calificado al proveedor de DRS y el servicio de recuperación de datos. Todos los datos recuperados se enviarían al cliente en una unidad My Passport.

Western Digital confirmó que “algunos dispositivos My Book Live están siendo comprometidos por software malicioso”. La compañía también confirmó los informes de que esto condujo a un restablecimiento de fábrica que borró todos los datos en algunos dispositivos de los clientes.

El dispositivo My Book Live recibió su última actualización de firmware en 2015. La declaración de junio de 2021 de Western Digital sugirió a los usuarios desconectar sus dispositivos My Book Live de Internet para proteger los datos de su dispositivo.

La vulnerabilidad de My Book Live muestra que aún queda un largo camino por recorrer en la seguridad de IoT. Se ha prestado mucha atención a que dichos dispositivos no estén reforzados o construidos de acuerdo con las mejores prácticas, según John Bambenek, asesor de inteligencia de amenazas de Netenrich.

“En este caso, vemos que se están construyendo dispositivos destinados a durar más que los compromisos de soporte de sus proveedores; por lo tanto, no solo son vulnerables, sino que los consumidores tampoco pueden protegerse. Ya sea pérdida de datos, ransomware o DDoS, estos problemas seguirán repitiéndose hasta que los proveedores se comprometan a proteger a sus clientes”, dijo a TechNewsWorld.

Modelo de negocio defectuoso

Los fabricantes de equipos originales (OEM) no se hacen responsables de este fiasco, ya que sus dispositivos conectados obsoletos ya no están a la venta.

Sin embargo, la mayoría de los clientes no saben que estos dispositivos en realidad tienen una fecha de caducidad, y los consumidores no están alertados sobre los peligros de continuar usando firmware sin parches, con innumerables dispositivos obsoletos conectados esperando ser infiltrados por atacantes oportunistas, sugirió Asaf Ashkenazi, COO de empresa de seguridad de dispositivos conectados Verimatrix.

“Los OEM deberían transformar su modelo de negocio para mantener un servicio de actualización de software de larga duración o instalar tecnología más sofisticada que dificultaría mucho la piratería de estos dispositivos”, dijo a TechNewsWorld.

Ashkenazi no está culpando directamente a la industria OEM por problemas como el fiasco de Western Digital. El problema está en el modelo de negocio. No existen estándares para regular cómo se deben mantener y proteger los dispositivos IoT.

“Desafortunadamente, no veo nada que aborde la estandarización de la seguridad en estos dispositivos IoT. Tal vez el gobierno o la protección al consumidor, o algunas empresas decidan armar un consorcio que diga quién es el responsable”, dijo.

Definitivamente existe la necesidad de una mayor transparencia en términos del nivel de soporte para el software en estos dispositivos. No se puede hacer nada para enfrentar el problema hasta que la industria decida aceptar ese desafío, agregó.

Educación y presión del consumidor

Se necesitará un esfuerzo de concienciación educativa para que los consumidores sean conscientes de los peligros inherentes a la compra de dispositivos IoT inseguros. Eso puede traducirse en permitir que los consumidores consideren la seguridad del dispositivo como parte de su decisión de compra, sugirió Ashkenazi.

La mayoría de los consumidores ahora no tienen idea de que los dispositivos endémicos de su hogar pueden conectarse a Internet a través de sus enrutadores inalámbricos. Si tienen un dispositivo que se conecta a la red, deben asegurarse de que el software del dispositivo esté actualizado, agregó.

“Cuando el software ya no se actualiza, el dispositivo puede ser peligroso de usar”, advirtió.

El objetivo, como lo ve Ashkenazi, es proteger primero a los consumidores. Luego, espera que los consumidores ejerzan suficiente presión sobre los fabricantes para que las empresas comiencen a decir cuánto tiempo van a respaldar el software.

Apple, Google y algunas otras grandes compañías dicen eso para ciertos dispositivos. Pero para muchos de los otros dispositivos, las empresas después de aproximadamente seis meses dejan de admitirlos. Los consumidores continúan usando estos dispositivos abandonados porque, por lo demás, parecen funcionar bien, dijo.

Responsabilidad difusa

Los consumidores deben ser tan meticulosos como las empresas cuando se trata de ciberseguridad. Los equipos de seguridad empresarial entienden que las vulnerabilidades vienen en todas las formas y tamaños, observó Yaniv Bar-Dayan, director ejecutivo y cofundador de Vulcan Cyber, un proveedor de SaaS de remediación de riesgos cibernéticos empresariales.

“En el caso de los dispositivos Western Digital My Book Live, los actores de amenazas aprovecharon un conjunto de circunstancias encadenadas para borrar los datos de los discos duros expuestos. Los consumidores deberían haber sabido mantener parcheado el firmware de la unidad y solo conectar las unidades a Internet cuando fuera necesario. Sin embargo, ¿dónde recae la responsabilidad? ¿En el consumidor o en Western Digital? No hay una respuesta clara”, dijo a TechNewsWorld.

Uno de los principales problemas con la seguridad de IoT en la actualidad es que la prisa por llegar al mercado a menudo resta prioridad a las medidas de seguridad que deben integrarse en nuestros dispositivos. Este problema ha hecho que muchos dispositivos IoT sean frutos fáciles para los delincuentes interesados ​​en robar datos confidenciales y acceder a redes expuestas, señaló Stefano De Blasi, investigador de amenazas en Digital Shadows.

“Además, los delincuentes pueden explotar productos vulnerables aprovechando su potencia informática y orquestar campañas masivas de botnets de IoT para interrumpir el tráfico en servicios específicos y propagar malware”, dijo a TechNewsWorld.

Puntos ciegos de ciberseguridad

La seguridad de IoT, o la falta de ella, sufre las deficiencias de la industria. El problema principal es que las herramientas tradicionales de administración de vulnerabilidades no escanean más allá del sistema operativo. Por lo tanto, no detectan ningún problema de seguridad o vulnerabilidad en la capa de firmware, según Baksheesh Singh Ghuman, director senior global de marketing y estrategia de productos de la firma de seguridad de dispositivos conectados Finite State.

“El problema secundario involucra a los fabricantes de dispositivos, que a menudo están a cargo de realizar la seguridad del dispositivo a pesar de que comúnmente carecen de los controles de seguridad adecuados para buscar vulnerabilidades en la capa de firmware”, dijo a TechNewsWorld.

Es importante que los fabricantes realicen un análisis exhaustivo de las vulnerabilidades de cualquier tipo y, si descubren alguna, informen a los usuarios potenciales sobre las actualizaciones y parches de firmware disponibles, recomendó.

“Es un proceso muy reaccionario, a diferencia del proceso proactivo automatizado que se encuentra en las prácticas de gestión de vulnerabilidades empresariales. Como resultado de estos factores, las vulnerabilidades del firmware a menudo se ignoran y se convierten en puntos ciegos de ciberseguridad que llaman la atención de los actores de amenazas”, dijo Ghuman.

Seguridad IoT complicada

Dependiendo de la industria y la aplicación, no siempre está disponible proporcionar un parche. En el caso de los consumidores, la aplicación de parches es un proceso doble, según Ghuman.

En primer lugar, el fabricante del dispositivo necesita un proceso de actualización estándar para enviar actualizaciones/parches a sus dispositivos. El segundo paso requiere la difusión de la conciencia del consumidor sobre la necesidad de actualizar y parchear las vulnerabilidades.

“Esto es bastante desafiante porque requiere recordatorios constantes y educación sobre la higiene de la seguridad cibernética”, dijo Ghuman.

Los fabricantes de dispositivos pueden tomar algunas medidas para evitar más episodios como el dilema de Western Digital, sugirió. Esos incluyen:

  • Asegurarse de que haya un grupo de seguridad de productos presente dentro de su organización;
  • Incorporar la gestión de vulnerabilidades de la capa de firmware como parte de sus programas generales de desarrollo y seguridad de productos, para que puedan detectar vulnerabilidades de la capa de firmware antes de que se distribuyan;
  • Escanee proactivamente en busca de vulnerabilidades explotables en su firmware y, si las descubre, desarrolle parches rápidamente; y
  • Tener un proceso de actualización de firmware estándar y seguro que envía parches a medida que están disponibles.

Orientación inevitable

El paso del consumidor a una preferencia por las primeras interacciones digitales aumentará el panorama de amenazas potenciales que pueden ser atacados por los atacantes, observó Tyler Shields, CMO de JupiterOne. Más aplicaciones, más datos en la nube, más experiencias digitales, significan más objetivos tanto de oportunidad como de oportunidad.

“Habrá un aumento continuo en el compromiso de los datos a medida que trasladamos cada vez más nuestra vida diaria a la nube. Realmente recién comenzamos a ver la expansión de las experiencias digitales y los ataques que crecerán junto con ellas”, dijo a TechNewsWorld.

La seguridad siempre ha sido compensada por la facilidad de uso. La comunidad de proveedores de ciberseguridad debe impulsar la creación de experiencias de ciberseguridad fáciles de usar que brinden un nivel aceptable de seguridad a las tecnologías que exigen los consumidores, según Shields.

Un buen ejemplo de esto es el paso al inicio de sesión único y la autenticación sin contraseña. Los usuarios no han podido mantener las contraseñas adecuadas durante décadas, y esa situación nunca cambiará. Por lo tanto, la innovación debe construir una alternativa fácil de usar que brinde la seguridad adecuada con una experiencia de usuario mucho mejor.

“Las empresas tienen que encontrar el equilibrio adecuado entre la innovación tecnológica y la seguridad para los modelos tradicionales”, dijo.

LEER  IoT de seguros y consumidores

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba