La grave amenaza de seguridad que esconde el internet de las cosas

La pregunta que lanza este art¨ªculo es una de las que m¨¢s se han estado planteando muchos en la industria de la seguridad. Las redes de bots de internet de las cosas (IoT) son sistemas cruzados de dispositivos conectados con fallos de seguridad ¡ªcomo webcams y grabadoras de v¨ªdeo¡ª que, tras ser atacados mediante un malware, son controlados por un ¨²nico atacante. Esta pr¨¢ctica perversa acapar¨® la atenci¨®n en 2016 cuando la botnet Mirai interrumpi¨® el uso de Internet en la Costa Este de Estados Unidos, golpeando as¨ª al proveedor de alojamiento de Internet OVH y KrebsOnSecurity con ataques r¨¦cord DDoS. Los investigadores estiman que el tama?o de Mirai var¨ªa de 800.000 dispositivos infectados a 2,5 millones.

Los ataques DDoS lanzados por Mirai mostraron que debemos tomar en serio las redes de bots basadas en IoT. Un solo ataque contra el proveedor de alojamiento de DNS, Dyn, por ejemplo, logr¨® bloquear el acceso a docenas de sitios web muy populares, incluidos PayPal, Airbnb, Reddit y Netflix. Los da?os no se limitaron solo a los grandes sitios web: las compa?¨ªas m¨¢s peque?as que confiaron en Dyn para alojar los DNS para su dominio se vieron igualmente afectadas en el ataque. Una botnet IoT m¨¢s grande que Mirai es una perspectiva aterradora. Hablar¨ªamos de una botnet con m¨¢s recursos a su disposici¨®n para lanzar ataques simult¨¢neos contra varios proveedores de alojamiento de servidores DNS con capacidad para tumbar grandes porciones de Internet.

Pero Mirai ha sido s¨®lo el comienzo. Estas botnets son baratas y f¨¢ciles de almacenar, gracias a los pobres o inexistentes controles de seguridad de la mayor¨ªa de los dispositivos IoT. De hecho, Spamhaus estima que los servidores de comando y control de las botnets (C2C) se duplicaron con creces, pasando de 393 en 2016 a 943 en 2017. Gartner prev¨¦ que existir¨¢n 20.400 millones de dispositivos IoT en uso en 2020, por lo que el potencial n¨²mero de bots o redes zombi de las que los atacantes podr¨¢n abusar ser¨¢ sustancialmente mayor en los pr¨®ximos a?os.

El malware para botnets de IoT contin¨²a transform¨¢ndose, ya que muchas nuevas botnets de IoT se han detectado de forma repentina. La botnet Reaper, que infecta dispositivos aprovechado varias vulnerabilidades conocidas en lugar de utilizar una lista de contrase?as comunes como Mirai, controla 28.000 dispositivos y aproximadamente 2 millones de ellos son atacables en funci¨®n de las vulnerabilidades que explota. Una botnet reciente llamada Hide ¡®n Seek tiene 24.000 bots y utiliza un nuevo m¨¦todo peer-to-peer para propagarse. La botnet Hajime ha infectado 300.000 dispositivos IoT. Mientras, la botnet Satori, basada en el c¨®digo fuente de Mirai, se hizo con 280.000 bots en solo 12 horas. Otra variante de Mirai llamada Okiru se dirige a los procesadores ARC y podr¨ªa infectar 1.500 millones de dispositivos seg¨²n los c¨¢lculos de investigadores.

Entonces, ?c¨®mo de grande puede ser la pr¨®xima botnet importante? Esa es una pregunta dif¨ªcil de responder con cierto grado de certeza. Pero muchas de las nuevas botnets mencionadas anteriormente tienen el potencial de crecer tanto o m¨¢s que Mirai, y a medida que se producen dispositivos de IoT m¨¢s inseguros, ese tama?o potencial solo va a aumentar. Si no se a?ade una mejor seguridad a los dispositivos IoT, solo se crear¨¢n botnets m¨¢s grandes. No se trata de si un ataque de botnet superar¨¢ a Mirai, sino de cu¨¢ndo.

• ?C¨®mo evitar lo que con gran probabilidad se avecina?

Es inaceptable que dispositivos IoT de calidad se comercialicen con servicios abiertos

Prevenir la pr¨®xima gran botnet IoT va a requerir un consenso y un esfuerzo concertado de los consumidores, los departamentos de TI y los fabricantes. Los consumidores y los departamentos de TI deben tener cuidado a la hora de proteger los dispositivos IoT que ya tienen desplegados, especialmente aquellos que ya no reciben actualizaciones de seguridad del fabricante o que nunca las recibieron. Cosas tan simples como bloquear el acceso entrante de Internet a un dispositivo IoT pueden ser de gran ayuda para evitar que se convierta en el siguiente host infectado.

Por su parte, los fabricantes deben comenzar a incorporar las consideraciones de seguridad al proceso de desarrollo de los dispositivos que venden. Deber¨ªa ser totalmente inaceptable que los dispositivos IoT de calidad para el consumidor se comercialicen con servicios abiertos como Telnet y SSH habilitados por defecto. Si los consumidores no comienzan a exigir responsabilidad a los fabricantes de IoT, puede que sea hora de que gobiernos como los de EE UU o la Uni¨®n Europea deban tomar cartas en el asunto e intervengan en materia regulatoria. Las normativas que dictan los requisitos de seguridad de IoT que llegan desde un organismo gubernamental importante probablemente sean suficientes para influir en la industria y promover c¨®digos de cumplimiento de mejores pr¨¢cticas de seguridad para siempre.

Marc Laliberte es Information Security Threat Analyst de WatchGuard Technologies