¿Proteger los dispositivos del IdC en la red o proteger la red de los dispositivos del IdC?

En esta sesión sobre los ataques a los dispositivos del IDC en la conferencia RSA 2021, los especialistas en seguridad Itzik Feiglevitch y Justin Sowder plantearon el tema de la vulnerabilidad de varios dispositivos del IdC y el tratamiento especial que requieren por parte de la ciberseguridad corporativa. Durante su charla, ofrecieron algunos ejemplos impresionantes que muestran el estado de la seguridad del IdC en las empresas en la actualidad.

Pocos especialistas en ciberseguridad realizan un seguimiento del hardware del IdC corporativo, pero en tu empresa puede haber miles de estos dispositivos: ascensores inteligentes, todo tipo de sensores, IPTV, impresoras, cámaras de vigilancia, etc., y esto es tan son solo una recopilación variada de dispositivos dispares, cada uno con su propio sistema operativo y protocolos patentados, y muchos carecen de cualquier tipo de interfaz de control adecuada. Te puedes hacer una idea, ¿verdad?

Por qué los dispositivos del IdC suponen riesgos de ciberseguridad adicionales

Los dispositivos del IdC no siempre se consideran parte de la infraestructura relevante; aunque una impresora de red normalmente se cataloga como un dispositivo de red, no ocurre lo mismo con los componentes de los “edificios inteligentes” o, incluso, con los sistemas de telefonía IP. Pero, para que quede más claro, estos dispositivos suelen a estar conectados a la misma red que las estaciones de trabajo corporativas.

El ir y venir del personal puede complicar aún más la situación. Cuanto mayor sea la rotación en los departamentos de ciberseguridad e informática, mayores serán las posibilidades de que una nueva persona no sepa nada sobre la magnitud de los dispositivos del IdC conectados a la red.

Quizás lo peor de todo es que algunos de esos dispositivos sean accesibles desde el exterior. Las razones pueden ser legítimas: el control del proveedor sobre algún aspecto de un dispositivo, el teletrabajo o el mantenimiento, pero tener dispositivos en la red corporativa, por un lado, y estar permanentemente conectados a Internet por el otro, es arriesgado.

Puede sonar paradójico, pero la eficiencia de la electrónica moderna es otro factor de riesgo: algunos dispositivos del IdC tienen una vida útil muy larga y se ejecutan en entornos de seguridad mucho más complejos para los que fueron diseñados.

Por ejemplo, algunos dispositivos ejecutan sistemas operativos obsoletos y vulnerables que ya no se actualizan o que, si es posible la actualización, puede requerir acceso físico (cuyo grado de accesibilidad puede variar de difícil a casi imposible). Otros cuentan con contraseñas que no se pueden modificar, puertas traseras dejadas por error en la versión final del firmware y muchas otras sorpresas para animar el día de un profesional de la seguridad informática.

Por qué los atacantes se interesan por los dispositivos del IdC

Los ciberdelincuentes encuentran interesantes los dispositivos del IdC por varias razones: tanto para alojar los ataques a esa misma empresa, como para dirigir los ataques a otras. Los principales usos de los dispositivos inteligentes comprometidos son:

• Configurar un botnet para los ataques DDoS.
• Minar criptomonedas.
• Robar información confidencial.
• Sabotear.
• Usarla como trampolín para nuevos ataques y movimientos laterales en la red.

Estudios de casos

Los investigadores han descrito algunos casos que son bastante ridículos y que están relacionados tanto con dispositivos estándar conectados a Internet como con dispositivos muy especializados. Dos ejemplos muy destacados tienen que ver con las máquinas y dispositivos de ultrasonido que utilizan protocolos Zigbee.

La máquina de ultrasonido

Las organizaciones actuales que trabajan en el sector de la salud utilizan numerosos dispositivos médicos del IdC. Para probar la seguridad de estos dispositivos, los investigadores compraron e intentaron hackear una máquina de ultrasonido usada. Solo necesitaron unos cinco minutos para comprometerla; el dispositivo se estaba ejecutando en una versión de Windows 2000 que nunca se había actualizado. Además, pudieron no solo obtener el control del dispositivo, sino también el acceso a los datos de pacientes que el propietario anterior no había eliminado.

Los médicos suelen utilizar este tipo de dispositivos durante años, incluso décadas, sin actualizarlos o mejorarlos. Si no se rompen, puede resultar comprensible, pero estos dispositivos no solo funcionan durante mucho tiempo en la primera organización que los adquiere; a menudo se revenden y continúan funcionando.

Los protocolos Zigbee

Las empresas utilizan los protocolos de red Zigbee, que se desarrollaron en el 2003 para la comunicación inalámbrica de bajo consumo energético entre dispositivos, para construir redes de malla y, a menudo, para conectar varios componentes dentro de un edificio inteligente. El resultado es una puerta de enlace en algún lugar de la oficina que controla decenas de dispositivos diferentes, como, por ejemplo, un sistema de iluminación inteligente.

Algunos investigadores afirman que un ciberdelincuente podría emular fácilmente un dispositivo Zigbee en un ordenador portátil corriente, conectarse a una puerta de enlace e instalar malware allí. El ciberdelincuente solo tendría que estar dentro del área de cobertura de la red Zigbee, por ejemplo, en el vestíbulo de la oficina. Y, una vez controlada la puerta de enlace, podría sabotear el trabajo de muchas formas, por ejemplo, apagando todas las luces inteligentes del edificio.

Cómo proteger una red corporativa

Los especialistas en seguridad no siempre tienen claro si deben proteger los dispositivos del IdC en la red corporativa o proteger la red corporativa de los dispositivos del IdC. En realidad, ambos problemas deben resolverse. Lo importante aquí es asegurarse de que todos los elementos y acciones de la red sean visibles. Para establecer la seguridad corporativa, primero hay que identificar todos los dispositivos conectados a la red, clasificarlos correctamente y, siempre que sea posible, analizar los riesgos asociados.

El siguiente paso es, por supuesto, la segmentación de la red basada en los resultados del análisis. Si un dispositivo es necesario e irreemplazable, pero presenta vulnerabilidades que las actualizaciones no pueden solucionar, entonces se deberá configurar la red para denegar el acceso a Internet de los dispositivos vulnerables y también para eliminar su acceso de otros segmentos de la red. Lo ideal es utilizar el concepto Zero Trust para la segmentación.

Monitorizar el tráfico de la red en busca de anomalías en segmentos relevantes también es fundamental para tu capacidad de rastrear dispositivos del IdC comprometidos que se pueden utilizar para ataques DDoS o minería.

Por último, para la detección temprana de ataques avanzados mediante dispositivos del IdC, como anclajes en la red que ataquen a otros sistemas, utiliza una solución de clase EDR.