Nuestra contribución a la seguridad global del IdC

16 Feb 2018

Siempre y cuando tu red se componga solo de servidores y estaciones de trabajo, las soluciones de ciberseguridad podrán encargarse de su protección. Sin embargo, cuando se trata del Internet de las Cosas, el asunto cambia. No existe un estándar en la industria, motivo por el que los desarrolladores ignoran la seguridad y, como resultado, los dispositivos IdC a menudo contienen vulnerabilidades o “cabos sueltos”. Además, en muchos casos están mal configurados o se puede acceder a ellos a través de Internet. Por si no bastara con los dispositivos del IdC que tenemos en casa o en la oficina, el Internet industrial de las cosas no es mucho más seguro.

El caso en cuestión

Estamos rodeados de ejemplos. En este artículo de Securelist de Ido Naor, un investigador de seguridad sénior de nuestro Equipo de análisis e investigación global (GReAT por sus siglas en inglés) y su compañero Amihai Neiderman de Azimuth Security, podrás leer la investigación sobre una vulnerabilidad en un dispositivo de automatización para gasolineras. El dispositivo estaba conectado directamente a Internet y era el responsable de controlar todos los elementos de la gasolinera, incluidos los dispensadores de combustible y los terminales de pago.


Lo más preocupante del asunto es que se podía acceder a la interfaz web del dispositivo a través de las credenciales predeterminadas. Los investigadores llegaron hasta el software del dispositivo y encontraron la forma de detener todos los sistemas de carburante, causar fugas de combustible, cambiar el precio, eludir el terminal de pago (para robar dinero), recopilar matrículas e identidades de los conductores, ejecutar código en la unidad del controlador e incluso moverse con total libertad por la red de la gasolinera.

Los expertos informaron de las vulnerabilidades al fabricante del dispositivo y a MITRE para que se archivara en el CVE. No hay pruebas de que ningún delincuente haya intentado explotar estas vulnerabilidades antes de que las descubrieran los investigadores. Sin embargo, si comprobamos las estadísticas de los incidentes con más impacto financiero, observamos que los relacionados con dispositivos conectados que no son ordenadores se encuentran en los 3 primeros puestos, con una media por accidente de 114.000 dólares en pérdidas.

La solución al problema

Cada vez se hace más evidente la necesidad de estandarizar la ciberseguridad en el IdC, por lo que los organismos de normalización tendrán que clasificar los problemas de seguridad del IdC, examinar las posibles amenazas y determinar cómo pueden las medidas de seguridad ayudar en la ejecución de las tareas del sistema del IdC. La Recomendación ITU-T Y.4806, “Security capabilities supporting safety of the Internet of Things”, desarrollada por Study Group 20 de ITU-T (siglas en inglés, Unión Internacional de Telecomunicaciones. Sector de Telecomunicaciones) es una respuesta a esta pregunta.

Kaspersky Lab, como miembro de Study Group 20 de ITU-T, ha sido una pieza clave en el desarrollo de la Recomendación ITU-T Y.4806. Nuestros expertos de Kaspersky Lab ICS CERT compartieron su experiencia y desarrollaron una lista con todo lo que puede ayudar a establecer un nivel de protección de confianza. Puedes encontrar esta recomendación y otras en este enlace.

La Recomendación UIT-T Y.4806 se aplica principalmente a los sistemas del IdC que se puedan ver más afectados, como la automatización industrial, los sistemas de automoción, el transporte, las ciudades inteligentes y los dispositivos médicos portátiles e independientes.