Seguridad en el contexto del Internet de las Cosas - IoT

SEGURIDAD EN EL
CONTEXTO DEL
INTERNET DE LAS
COSAS Y LOS
DISPOSITIVOS
WEARABLES
Trabajo Auditoría, Calidad y Seguridad
Jorge Cañas Estévez
Jorge.canas@alu.uhu.es

Seguridad en el contexto del Internet de las cosas
y los dispositivos wearables Jorge Cañas Estévez
1

2
Contenido
1 Introducción............................................................................................................................. 5
2 Estado del arte.......................................................................................................................... 6
3 Descripción de la seguridad en IoT y dispositivos Wearables .......................................... 7
3.1 Deficiencias de la seguridad en la transmisión de datos............................................. 9
3.2 Deficiencias en la seguridad de la plataforma software............................................ 10
3.3 Deficiencias en la seguridad de la funcionalidad y configuración........................... 11
3.4 Deficiencias en la seguridad del hardware.................................................................. 11
3.5 Deficiencias en la cultura de seguridad de los usuarios ............................................ 12
4 Discusión y análisis de IoT y dispositivos Wearables....................................................... 12
4.1 Control de interfaces de acceso.................................................................................... 13
4.2 Actualización del dispositivo ........................................................................................ 14
4.3 Configuración segura de la red local............................................................................ 15
4.4 Identificación y control del uso de servicios en la nube........................................... 15
4.5 Uso de aplicaciones móviles para dispositivos IoT................................................... 16
4.6 Seguridad de elementos hardware................................................................................ 16
4.7 Buenas prácticas y cultura de seguridad...................................................................... 16
5 Casos reales de ataques de seguridad.................................................................................. 17
5.1 Nevera inteligente, responsable de una botnet masiva............................................. 17
5.2 Hackers chinos toman control de un coche eléctrico Tesla .................................... 18
5.3 Reloj Pebble y su ataque de denegación de servicio.................................................. 19
6 Conclusiones........................................................................................................................... 19
7 Bibliografía.............................................................................................................................. 20

3

4
Tabla de figuras
FIGURA 1. POSIBLES ELEMENTOS DEL INTERNET DE LAS COSAS ....................................................................................5
FIGURA 2. NÚMERO DE PERSONAS CONECTADAS A INTERNET FRENTE AL DE LAS COSAS....................................................5
FIGURA 3. ATAQUE MAN IN THE MIDDLE...............................................................................................................9
FIGURA 4. ZANTI, HERRAMIENTA DE DETECCIÓN DE VERSIONES Y OTRAS FUNCIONES....................................................10
FIGURA 5. KAA, PLATAFORMA PARA IOT...............................................................................................................13
FIGURA 6. BROMA SOBRE EL TIEMPO QUE LOS FABRICANTES TARDAN EN DAR UNA SOLUCIÓN.........................................14
FIGURA 7. NEVERA INTELIGENTE ENVIANDO CORREOS DE SPAM................................................................................18
FIGURA 8. WEARABLE PEBBLE SMARTWATCH .......................................................................................................19

5
1 Introducción
Debido al gran incremento de ventas de los dispositivos portátiles, entre los que se
incluyen los smartphone y tablets, que han visto enormemente incrementada su venta
gracias a la velocidad de conexión cada vez más rápida y con baterías cada vez más
eficientes, provocó una explosión de lo que se conoce como Internet de las cosas (del
inglés Internet of Things o IoT, Figura 1. Posibles elementos del internet de las cosas).
El término Internet de las cosas surgió a partir del momento en el que el número de
cosas conectadas a Internet superó al de las personas, como se puede ver en la Figura
Figura 1. Posibles elementos del internet de las cosas
Figura 2. Número de personas conectadas a Internet frente al de las cosas

6
2. Número de personas conectadas a Internet frente al de las cosas en un estudio
realizado por la compañía Cisco en abril de 2011.
Este tipo de dispositivos están cambiando las nociones y las prácticas tradicionales de
seguridad, debido a su gran volumen y variedad. En poco tiempo habrá miles de
millones de dispositivos conectados que se encontrarán en casi todos los productos
que se utilicen.
Este hecho, junto con el creciente interés por parte del gobierno por resolver
problemas de seguridad (como se pudo apreciar con el cierre del sistema e-QUIP en
Estados Unidos debido a una auditoría de seguridad) hará que asegurar este tipo de
elementos sea uno de los mayores retos de los próximos años. Entre estos retos estará
el de concienciar a la población del uso adecuado de este tipo de dispositivos donde
hay que tener cuidado con la información que se recopila y comparte, dónde se
almacena la información y qué tratamiento hacen de esta, ya que muchísima gente aún
no es consciente de ello. Otro reto es el de dotar de una buena seguridad a cada uno
de los elementos, ya que muchos de ellos no disponen de memoria suficiente como
para añadir un sistema de seguridad adecuado o de otros temas que se tratarán en las
siguientes páginas.
2 Estado del arte
Como ya se ha comentado existe gran variedad de elementos que se podrían enmarcar
en IoT, pero si se sitúan en algún contexto se podría hablar de domótica, sector
industrial, wearables, equipos biométricos y dispositivos móviles como tablets,
portátiles y smartphones. Cada uno de estos sectores puede necesitar una cantidad más
o menos mayor de seguridad y será víctima de un mayor número de ataques debido a
lo crítico que pueda ser cada uno de los sistemas.
Dentro del IoT de la domótica se podrían encontrar los electrodomésticos como
neveras, hornos, televisores, etc, sistemas de calefacción, control de cortinas y
persianas, control del agua y un largo etcétera de elementos que cada día se van
haciendo más comunes, pero que son subjetivos de posibles ataques, algunos que
podrían dañar incluso a las personas si por ejemplo se accediese al horno para su
encendido pudiéndose provocar incendios dentro de la casa en algunos extremos.
También cualquier elemento conectado a Internet puede ser susceptible de ataques que
tomen control del equipo para mandar correos de spam.
Si se pasa al sistema industrial, uno de los más afectados puede ser los sistemas SCADA
(Supervisory Control And Data Adquisition; supervisión control y adquisición de
datos) que en el mundo del IoT están integrando los sensores de las redes de manera
que se puedan monitorizar y tener acceso a los datos que generan a través de Internet.
Además, incluso se están añadiendo funcionalidades de actuación con alguno de los
elementos a través de la red, lo que conlleva un nivel de amenaza mucho mayor, lo que
está suponiendo un cambio en la forma de proteger estos sistemas, que hasta hace
poco tiempo se limitaban a una zona concreta de la fábrica y se situaban en un entorno
mucho más cerrado.

7
Si se pasa al mundo de los wearables, entre los que se encuentran ropa, pulseras, relojes
y otro tipo de elementos que “se visten”, la problemática y seguridad es muy distinta.
En este caso la seguridad se centra en la confidencialidad, el almacenamiento y
transmisión de los datos. Este tipo de objetos normalmente se usan para monitorizar
alguna actividad, geoposicionar a las personas mientras realizan alguna actividad,
notifican de alguna información llegada a un smartphone enlazado e incluso pueden
mandar correos, WhatsApp y otra serie de acciones que cada vez se amplían más.
Debido a este monitoreo la seguridad del individuo se puede ver afectada, por ejemplo,
al saber en qué posición se encuentra ya que podría ser víctima de un seguimiento y
robos al saber cuándo no está en casa.
Continuando con el mundo de los elementos biométricos, estos dispositivos generan
información que puede llegar a ser crítica para el individuo, por lo que el envío,
almacenamiento y protección de la información puede ser atacada. Por ello, el uso del
cifrado de la información, restringir el acceso a esta, etcétera tiene que ser algo muy a
tener en cuenta.
Por último, en los dispositivos móviles como tablets, smartphones y portátiles la
seguridad se ha aumentado enormemente, añadiendo sistemas para reconocimiento
biométrico, ya sea por uso de cámaras, huellas, imágenes, patrones y otros sistemas,
que no son nada nuevos, pero que se han extendido mucho más. Estos dispositivos
además se han visto mucho más atacados últimamente por la incorporación de
aplicaciones de terceros que pueden tener acceso a datos del usuario a los que éste da
su consentimiento sin que apenas le preste atención.
Como se puede ver el mundo del IoT necesita de un nivel de seguridad muy
heterogéneo y actualmente cuenta con muchos problemas. En los próximos apartados
se hablará con mayor profundidad de cada uno de los problemas que existen y las
posibles soluciones que se pueden encontrar.
3 Descripción de la seguridad en IoT y dispositivos
Wearables
Como ya se ha planteado, la seguridad en IoT va desde problemas a nivel físico, como
a falta de sistemas de seguridad como autenticación, desconocimiento por parte de la
gente y un largo etcétera por lo que se procederá a describir brevemente qué
particularidades tienen estos sistemas y qué vectores de ataque existen para a partir de
ahí ver las soluciones que se pueden aplicar para aumentar su seguridad.
Los dispositivos del IoT suelen ser dispositivos empotrados, que tienen una
complejidad menor que otros elementos como un ordenador personal, ya que se
construyeron para dar una funcionalidad particular, en lugar de una general (En esta
descripción se pueden excluir elementos como los smartphone, tablets y portátiles, ya
que si se construyen para dar una solución parecida a la que da un PC, pero con mucha
menor potencia de cálculo en muchos de los casos, aunque tendrán muchos de los
problemas que se describirán en las siguientes líneas). Este hecho hace que los sistemas
sean más heterogéneos, ya que cada fabricante implementa sus propias soluciones,
descartando en muchos casos un sistema operativo común como sucede con los PCs

8
o smartphones. Aun así existen casos en los que también hacen uso de sistemas
operativos de uso común como Windows, Linux, Android, etc. lo que facilita las
labores de mantenimiento, haciendo más sencilla la labor de mantener las
actualizaciones de seguridad. El problema es que muchos proveedores de hardware se
encargan tanto de la fabricación, como del mantenimiento del software y muchas veces
no disponen de la suficiente experiencia o recursos para realizar esta tarea, por lo que
los dispositivos son lanzados al mercado y rápidamente se encuentran problemas que
hay que resolverlos a posteriori y no se les da solución o en poco tiempo se ven
abandonados y no se generan actualizaciones nuevas, como es el caso de los
smartphone, donde en el caso de los dispositivos Android, por ejemplo, se dejan de
actualizar de la versión 4.4 a la 5.0 y siguientes, por poner un ejemplo específico de
vresiones. Esto hace que sea más fácil atacar las vulnerabilidades conocidas y que el
usuario pueda ser víctima de estas con mayor facilidad.
Siguiendo con los sistemas empotrados, muchos de estos no fueron diseñados para ser
conectados a la red, lo que los vuelve potencialmente vulnerables porque no se tuvo
en cuenta este problema en el propio diseño del dispositivo. Este problema lo están
sufriendo los sistemas de control industrial (SCADA) ya que se diseñaron para situarlas
en redes aisladas y con el nuevo acceso a Internet está suponiendo un riesgo elevado
si no se le añade un nivel adecuado de seguridad.
También muchos de los dispositivos sufren problemas debido a las decisiones tomadas
en la configuración por defecto. Ya que estos elementos no disponen de una entrada
y salida de datos amigable como un PC, y tienen que dar acceso a las interfaces de
administración usando otros medios más difíciles de tratar por un usuario medio. Este
problema lleva al concepto del Security by Default (SbD), donde se establece un nivel
de seguridad mayor posible por defecto. El problema es que los fabricantes
normalmente dan una solución intermedia o baja a esto, que no requiera mucho
tratamiento del dispositivo por parte del usuario ni de su configuración para su uso,
intentando mejorar la experiencia de usuario y dando una buena imagen de marca y
producto, lo que hace que al final repercuta en problemas de seguridad, ya que el
usuario no conoce las posibilidades de seguridad de su dispositivo y normalmente no
hará uso de estas, lo que llevará a dispositivos inseguros.
Por último, una de las principales debilidades de estos productos es su ubicación física,
ya que se encuentran en televisores, dispositivos wearables, sensores de detección de
incendios, etc. esto hace que sean más difíciles de proteger y hace que sea muy fácil
tener acceso físico a estos. Adicionalmente a los riesgos de seguridad de disponibilidad,
integridad y confidencialidad de la información, los dispositivos IoT cuentan con
actuadores o componentes que actúan en el “mundo real” lo que puede afectar a la
seguridad y salud de las personas.
A continuación se tratarán problemáticas centradas en distintos aspectos como la
transmisión de los datos, la plataforma software, funcionalidad y configuración,
problemas hardware y falta de cultura de seguridad de los usuarios.

9
3.1 Deficiencias de la seguridad en la transmisión de datos
En este apartado se van a tratar los distintos problemas que pueden surgir en la
transmisión de los datos, ya que los dispositivos de IoT están especialmente pensados
para comunicarse entre ellos y enviar información a la red. Esto lleva a que la
información que se mueve por la red haya que protegerla de manera adecuada. Además
a esto hay que añadirle que el canal de transmisión de la información también puede
ser de lo más variado, usándose redes cableadas o inalámbricas que pueden ser víctimas
de ataques donde la confidencialidad de la comunicación se vea afectada, sobre todo
en las redes inalámbricas, ya que pueden transmitirse por redes públicas.
Si estas comunicaciones no cuentan con un nivel aceptable de seguridad en la
identificación, privacidad o integridad de los datos en las comunicaciones es muy
probable que puedan sufrir un ataque en el que la información se vea comprometida,
donde los datos privados o de carácter personal se puedan recolectar o puedan sufrir
ataques como Man in the middle (hombre en el medio, Figura 3. Ataque Man in the
Middle), donde un atacante puede interceptar la información en su camino entre el
dispositivo IoT y el servidor, hacerse pasar por alguno de los dos dispositivos o incluso
ambos, modificar la información y tratarla para su provecho, tomando incluso control
del dispositivo IoT, de la información que se almacena o del comportamiento de los
extremos, lo que sería algo muy peligroso.
Para poner un ejemplo de esta problemática, si un coche cuenta con acceso a Internet
para monitorizar elementos como el aceite, el estado del motor, su localización,
etcétera y los publica en el servidor del fabricante, un atacante podría tener acceso a
esta comunicación y conocer por ejemplo la localización física del vehículo y saber si
el usuario se encuentra fuera de su domicilio, abrir o cerrar las puertas del vehículos,
encender las luces o cualquier acción que estuviera implementada en el servicio que el
fabricante proporcione.
Figura 3. Ataque Man in the Middle

10
3.2 Deficiencias en la seguridad de la plataforma software
Otro de los vectores de ataque más comunes tanto en este como en otros sectores es
el aprovechamiento de las vulnerabilidades software. Entre este software se encuentran
los sistemas operativos, que normalmente se usan sistemas como comunes (Windows,
Linux, Android) con funcionalidades ajustadas para abaratar costes de producción. El
problema que esto conlleva es que en cuanto se descubre una vulnerabilidad en el SO
en cuestión, cientos de miles de dispositivos se ven comprometidos y debido a la falta
de mantenimiento de los propios fabricantes, los productos podrían ser atacados con
mayor facilidad (Figura 4. zANTI, herramienta de detección de versiones y otras
funciones). Por ejemplo la herramienta zANTI, permitiría escanear una red, de forma
que se puede estudiar en profundidad los equipos conectados a ésta para saber la
versión de SO que utiliza, ver los puertos abiertos de que dispone, “sniffar” paquetes
y un sinfín de acciones con las que el atacante podría recolectar valiosa información
para atacar al sistema que desee.
Otra de las plataformas software muy usadas, debido a la falta de elementos como
teclado, monitor, etc. de los dispositivos IoT, son las interfaces web, que dan acceso al
usuario a la administración del dispositivo en cuestión. Estas interfaces web, además
cuentan con acceso a través de Internet en muchos de los casos, de modo que cuando
surge alguna vulnerabilidad web, esta se puede aprovechar para tener acceso a los
dispositivos.
Otro problema en las plataformas software puede ser el uso de servicios en la nube.
En este caso si la plataforma no se gestiona de forma adecuada y se dota de la suficiente
seguridad un atacante podría tener acceso a la información almacenada, y dependiendo
Figura 4. zANTI, herramienta de detección de versiones y otras funciones

11
del servicio que se preste tener acceso al dispositivo IoT. Un ejemplo donde se vio esta
problemática fue con el sistema de fotos iCloud de Apple, donde fotos privadas de
celebridades se vieron filtradas a la red, causando problemas en los productos e imagen
de la manzana.
En algunos dispositivos como Smart TVs se pueden descargar e instalar aplicaciones
de terceros sobre el dispositivo para aumentar su funcionalidad, algo similar a lo que
los smartphone están muy habituados, pero esto puede llevar a problemas de
privacidad, toma de control del dispositivo, recolección de información y otros
problemas que pueden surgir debido a la mala gestión de la plataforma de descarga,
donde apenas se realicen análisis de seguridad antes de la publicación de la información
o por el uso de aplicaciones de terceros de lugares no oficiales donde se prometen
funcionalidades muy demandadas, pero que conllevan un riesgo del que el usuario no
es consciente.
3.3 Deficiencias en la seguridad de la funcionalidad y configuración
Otro punto clave en la seguridad de un elemento es su propia funcionalidad, en este
caso bien sea por configuraciones por defecto de los desarrolladores o cambios
realizados por parte del usuario, no se lleva a cabo una política adecuada de SbD, lo
que conlleva que muchos dispositivos cuenten con funcionalidades en su
configuración por defecto que el usuario no emplea, pero pueden dar acceso a
información relevante por parte de un atacante, como puede ser monitorización,
arranque a través de la red o uso de protocolos para acceder a la interfaz de
administración.
Un ejemplo de este último caso sería el acceso a routers mediante protocolos como
HTTP, SSH o TELNET, donde lo habitual es que estén todos los protocolos activos,
pero el usuario medio normalmente hará uso de uno y el resto estarán activos sin su
conocimiento abriendo una brecha de seguridad para su posible ataque. Otra brecha
de seguridad se pudo ver con proveedores de Internet que hacían uso de cifrado WEP
en su Wifi y además conociendo el SSID y el cifrado se podía tener acceso a este. Con
esto se pueden sufrir bastantes ataques si la información no cuenta con un sistema de
autenticación, cifrado y validación de fuentes correcto antes o durante el envío de la
información.
3.4 Deficiencias en la seguridad del hardware
Otra brecha de ataque es el propio hardware, aunque este tipo de ataque es poco
frecuente, pero cuando se encuentra una vulnerabilidad esta es crítica para el producto
y difícil de subsanar en muchos casos.
Este tipo de ataque siempre ha existido, sin necesidad de que los elementos estuvieran
conectados a Internet, pero la forma nueva en la que se está trabajando hace que haya
que contar con este sistema de ataque. Existen equipos que para poder proporcionar
información de forma adecuada hay que situarlos de forma distribuida, lo que dificulta
la tarea de darles una protección adecuada. Además el acceso a los dispositivos es más
fácil que en edificios industriales cerrados tras áreas de seguridad o en armarios más

12
seguros. Este tipo de ataques se suele realizar cuando el ataque por software no se
puede dar porque el sistema es robusto, están en una red de difícil acceso por estar
aisladas o están bien protegidas del acceso al público por Internet. Por otro lado para
realizar este tipo de ataques se necesitan equipos especializados, donde los ataques más
comunes son la manipulación de elementos, ingeniería inversa o monitorización de
algún elemento. La protección de este tipo de elementos dependerá en gran medida
del uso y lo crítico que sea su hardware, por ejemplo si se trata de un elemento wearable
no tendrá la misma criticidad que un sistema industrial.
Una posible técnica de ataque de este tipo sería el acceso a memoria, tanto volátil como
no volátil. En el caso del acceso a la memoria volátil este acceso se suele hacer en
caliente y el acceso a la información resulta crítico porque se puede tener acceso directo
a claves criptográficas e información sensible. En cuanto a la memoria no volátil esta
es más fácil de acceder, ya que simplemente con desmontar el equipo se puede tener
acceso a la información sin que esta sufra pérdidas.
Por último, otro de los posibles ataques, del que muchos usuarios no son conscientes
es el borrado correcto de su información. Los dispositivos, cuando dan la opción de
borrar información, esta normalmente no desaparecen totalmente, sino que se indica
en una tabla que el espacio del archivo asociado está libre, además la escritura en la
zona en la que se situaba el archivo se podría recuperar si no se llega a una cantidad
mínima de pasadas de borrado. Añadido esto a la venta de equipos de segunda mano,
un atacante podría recuperar la información que el usuario creería borrada se podría
recuperar con algún programa creado para tal fin.
3.5 Deficiencias en la cultura de seguridad de los usuarios
Por último y no menos importante, otro sistema de ataque es producido por el propio
usuario del IoT y su desconocimiento o falta de experiencia. Este sistema de ataque es
tratado prácticamente a diario, pero la gente sigue siendo víctimas de este. El principal
ataque que se lleva acabo es el denominado ingeniería social (Social Engineering) que
básicamente se trata de manipular psicológicamente a los atacados a través de un
engaño para que estos den sus datos de acceso al sistema. Debido a que la gran mayoría
de acceso a servicios, equipos y demás elementos se hace a través del uso de un usuario
y contraseña, un atacante podría generar correos que se asemejan mucho a los usados
por los servicios en si para suplantarlos y pedirnos estos datos. Muchos usuarios
acceden a proporcionar los datos debido a su desconocimiento y lo parecido del
sistema y a partir de ahí el atacante tiene acceso a sus datos.
4 Discusión y análisis de IoT y dispositivos Wearables
Una vez descritos los posibles problemas de seguridad que tienen los dispositivos IoT,
en las próximas líneas se va a proceder a explicar sistemas de seguridad que se puede
aplicar a los dispositivos para dificultar la tarea del atacante, ya que ningún sistema llega
a ser completamente perfecto. Hay que tener en cuenta que para asegurar los
dispositivos hay que actuar desde varios frentes, desde su diseño y fabricación,
software que utiliza e información y cultura ciudadana.

13
4.1 Control de interfaces de acceso
Muchos de los elementos que se sitúan dentro del IoT realizan acciones de
monitorización, gestión, intercambio de información, etcétera sin disponer de una
interfaz de acceso como teclado y monitor. Una solución a esto sería implementar una
interfaz web (Figura 5. kaa, plataforma para IoT de código abierto con la que poder
generar aplicaciones, interfaces y otro tipo de elementos para la gestión de equipos de
IoT) que permitiera cambiar cualquier parámetro, acciones que el equipo puede realizar
desde otro dispositivo remoto como tablet, PC o smartphone. Además se debería
poder controlar el acceso al dispositivo, sobre todo en los casos en los que cuenta con
acceso mediante la red.
En caso de disponer de una interfaz de acceso, esta debe implementar un sistema de
autenticación, de manera que solo el usuario del producto tenga acceso a este. Además,
debido a que muchos de los datos de acceso están públicos a través de la red, el sistema
debería obligar al usuario a cambiar tanto el usuario como la contraseña del dispositivo,
para dificultar la tarea a cualquier atacante con acceso al dispositivo. La contraseña que
se utilizara, debería ser lo más compleja posible, con un mínimo de 7 caracteres,
incluyendo minúsculas, mayúsculas, números y caracteres especiales.
En el caso de que el dispositivo no disponga de autenticación, el acceso a este a través
de Internet no se debería hacer sin medidas de control de acceso adicionales.
Otro punto en el acceso de la interfaz es el cifrado de la comunicación. Esta debería
hacer uso de protocolos seguros como HTTPS, donde la información viaja cifrada en
lugar de en texto plano, donde la información puede ser recolectada por cualquier
atacante y tener acceso a las credenciales y hacer uso de estas. En el caso de que no se
disponga de este cifrado, el acceso a la interfaz de administración y control no se
debería publicar directamente a Internet y se debería sustituir el acceso a esta haciendo
Figura 5. kaa, plataforma para IoT

14
uso de un servicio VPN, del inglés Virtual Private Network o red privada virtual en
español. Con la implantación de este sistema se genera un nivel mayor de seguridad, lo
que limita el acceso de cualquier otro usuario al dispositivo IoT.
4.2 Actualización del dispositivo
Como ya se ha comentado, muchos de los dispositivos que se utilizan hoy día hacen
uso de sistemas operativos de uso común, donde por mucho que se haga una buena
configuración del equipo, este puede ser susceptible de ser atacado debido a las
vulnerabilidades que tendría el software en sí. Para mitigar estos problemas, el equipo
debería contar con la última actualización o firmware proporcionado por el propio
fabricante y siempre desconfiar de cualquier otro facilitado en páginas ajenas a este.
Una buena práctica es la de activar las actualizaciones automáticas en caso de disponer
de esta opción y en caso de no disponer de esta opción, el propio usuario se debería
preocupar por consultar la página del fabricante a menudo para ver si dispone de
actualizaciones de su sistema.
Por desgracia, existen fabricantes que una vez lanzado el producto, apenas realizan esta
tarea de mantenimiento (Figura 6. Broma sobre el tiempo que los fabricantes tardan
en dar una solución), haciendo actualizaciones muy espaciadas en el tiempo o incluso
no las hacen. Una posible solución sería la de adquirir productos de marcas de
renombre o consultar la sección de descargas del producto para ver si tienen un buen
servicio post-venta o cada cuanto actualizan su software.
En el caso de no poder contar con este servicio de actualización, una buena práctica
sería ocultar el equipo de la red local para que no publique directamente en Internet o
hacer uso de las mencionadas VPN.
Figura 6. Broma sobre el tiempo que los fabricantes tardan en dar una solución

15
4.3 Configuración segura de la red local
Uno de los primeros puntos a tratar y no solo en el mundo del IoT es el de asegurar la
red local a la que se conectan los equipos. Uno de los primeros pasos que se debería
tomar con respecto a la red local sería la de implementar un buen cortafuegos, donde
solo se permita iniciar conexiones por los elementos dentro de la red. Una vez cuente
con esa limitación, se habilitarán los accesos estrictamente necesarios, adecuándolos a
la necesidad del usuario, pudiendo incluso limitar el número de accesos, limitarlos a
unas horas concretas.
Otro punto a tener en cuenta es el de los puertos, ya que muchos fabricantes
configuran de forma predeterminada una serie de estos para dar posibilidad de
conexión a una serie de accesos básicos. Lo ideal sería cerrar todos los puertos y solo
dejar abiertos los estrictamente necesarios y de los que se harán uso. Siempre después
de realizar este paso hay que confirmar que los equipos IoT siguen funcionando
correctamente, ya que muchas veces hacen uso de programas lanzados en segundo
plano que usan puertos de los que no se tiene conocimiento y el equipo deja de
funcionar correctamente. Una buena práctica sería la de implementar reglas NAT o de
direccionamiento de puertos, de forma que se redireccionen las conexiones de un
puerto mucho menos usado y común a un equipo que escuche en un puerto común y
más susceptible de ser atacado directamente.
Otro sistema que implementan muchos routers wifi es el Wifi Protected Setup (WPS)
o configuración para Wifi protegido, este protocolo se diseñó para facilitar la
implementación de una red inalámbrica segura con WPA2 haciendo uso de un asistente
que ayuda en el proceso. Esto facilitaba la configuración, pero se detectó una
vulnerabilidad, por lo que un usuario malintencionado podría acceder a la red en unas
pocas horas. Lo ideal sería que este protocolo se desactivara, para evitar una posible
intrusión.
Por último, existen sistemas que se diseñaron para facilitar la vida del usuario, haciendo
uso del protocolo Universal Plug and Play (algo así como enchufar y funcionar), estos
equipos automatizan la apertura de puertos en los routers, de forma que la implicación
del usuario sea mínima, pero lo ideal sería deshabilitar el protocolo en la mayor de las
medidas y solo abrir los puertos que sean estrictamente necesarios, como se comentó
anteriormente.
4.4 Identificación y control del uso de servicios en la nube
Un riesgo asociado al uso de algunos objetos de IoT es que los datos se publican
directamente a Internet, donde dependiendo de la plataforma en sí se puede tener tanto
ventajas como inconvenientes. Una ventaja es que al ser un servicio online,
normalmente cuentan con un buen servicio de seguridad, pero también los datos están
más expuestos a problemas de ingeniería social, ataques de denegación de servicio a la
plataforma, lo que evitaría el acceso a la información o que los datos se usen para que
la empresa genere beneficios haciendo uso de estos si en su política de privacidad
contemplan esto, pero muchos usuarios desconocen. Una de las posibles acciones a
realizar frente a esta situación sería el acceder a la típica configuración de la página y

16
ver qué información se puede modificar, de manera que el usuario esté lo más
conforme posible con lo que hacen con sus datos y de ser posible, si existe la opción,
deshabilitar la opción de que los datos se usen.
Otro aspecto a tener en cuenta es que muchos dispositivos cuentan con alguna forma
de control a través de la nube. Este servicio puede ser también víctima de un ataque si
logran hacerse con los credenciales de acceso al servicio web, por lo tanto se
recomienda el uso de contraseñas fuertes, como se mencionó anteriormente y hacer
uso de los protocolos HTTPS en el caso de tener esta opción. También sería bueno
que la plataforma diera acceso a algún sistema de vinculación a smartphone o el uso
de una segunda contraseña para hacer uso del control del dispositivo, de forma que la
seguridad se viera aumentada.
4.5 Uso de aplicaciones móviles para dispositivos IoT
Gracias al gran incremento de los smartphones y tablets, es muy normal que muchos
de los dispositivos del IoT cuenten con alguna aplicación para consultar, monitorizar
o hacer uso de éstos. Este hecho facilita mucho la vida del usuario, pero puede
conllevar algunos problemas si la aplicación no se descarga de alguna plataforma de
confianza, ya que muchas de las aplicaciones que se distribuyen por otros medios están
modificadas y contienen programas maliciosos de los que el usuario no es consciente.
Una vez descargada e instalada la aplicación, otra de las precauciones a tener en cuenta
es la cantidad de permisos que se le da a la aplicación en sí. Muchas aplicaciones piden
acceso a recursos que no se encuentran entre las funciones esperadas, por ejemplo, en
una aplicación para controlar las bombillas no debería pedir acceso a elementos como
la cámara, contactos u otra información delicada, por lo que habría que deshabilitar
estos permisos en caso de ser posible, como se ocurre en algunas versiones de Android
que permite seleccionar qué permisos se le dan a la aplicación o comprobar que la
fuente de la descarga es confiable.
4.6 Seguridad de elementos hardware
Como ya se comentó en el apartado 3.4, existen ataques a los sistemas hardware que
pueden perjudicar a los usuarios e incluso a empresas debido a la información crítica
que pueden contener los elementos atacados. En este caso, una posible solución para
evitar este ataque sería el de intentar asegurar el elemento de forma que la manipulación
sea lo más difícil posible o que en caso de ser extraída la memoria esta se destruya para
que la información no pueda ser leída. En caso de no facilitar un sistema de
destrucción, otra forma de protección sería el cifrado de la información, de forma que
la información tenga un grado mayor de protección.
4.7 Buenas prácticas y cultura de seguridad
Los dispositivos de IoT están pensados para interactuar con personas, además de con
otras cosas, por lo que uno de los puntos de ataque clave es la persona en sí, como ya
se comentó anteriormente. Por ello muchos de los ataques se centran en el usuario del
elemento en sí. Es por tanto necesario que el usuario sepa diferenciar correctamente

17
un mensaje legítimo de una estafa o phishing y desconfiar de cualquier fuente
desconocida. También sería adecuado investigar la fuente cuando se reciben correos
de importancia como bancos, facturas y demás y siempre tener en mente que los
administradores de estos sitios nunca te van a pedir tu contraseña para realizar ningún
proceso, por lo que nunca se debe facilitar esta información.
Otra buena práctica a la hora de hacer uso de las páginas sería usar distintas contraseñas
para cada uno de los servicios o al menos utilizar el mayor número posible, de manera
que si un atacante se hace con la contraseña no tenga acceso a los sitios que más
frecuenta la gente, como es el caso de las redes sociales, correo, servicios de cloud,
etcétera.
También existen páginas que habilitan una autenticación en dos pasos, es decir, a parte
de las credenciales de usuario, se le solicita una segunda contraseña que se recibe por
sms, por una aplicación móvil, correo electrónico y otras fuentes, de manera que el
atacante tenga que disponer de las dos fuentes de información para poder acceder a la
página o hacer uso de alguna característica del dispositivo IoT.
Por último, la única forma de hacer a los usuarios menos susceptibles de la ingeniería
social es la formación e información de éstos para que complicar la tarea del atacante
y que logre con menor éxito sus propósitos.
5 Casos reales de ataques de seguridad
Aquí se explicarán algunos casos de ataques de seguridad que se han realizado a
elementos del IoT para dar a conocer parte de la problemática que esta nueva tendencia
está teniendo, los nuevos retos a los que se tendrán que enfrentar los informáticos, la
industria y los usuarios.
5.1 Nevera inteligente, responsable de una botnet masiva
La empresa Proofpoint detectó entre el 23 de diciembre del 2013 y el 6 de enero del
2014 el ataque por parte de una botnet (Bécares, 2014) (red de bots o robots que
ejecutan alguna acción de forma autónoma y automática, normalmente son equipos
que se han infectado de forma masiva y se usan para realizar algún tipo de ataque,
como envío masivo de correo spam o ataques de denegación de servicio DoS), en este

18
caso la particularidad del ataque era que entre los elementos atacantes habían neveras
inteligentes (Figura 7. Nevera inteligente enviando correos de spam ). El ataque
consistía en envío masivo de correos spam, donde la nevera participaba en el envío.
También añaden que la marca de esta nevera ha enviado hasta 1 millón de mails
maliciosos. El problema de este producto era que no estaba bien protegido y los
consumidores no tienen prácticamente ninguna forma de detectar o corregir la
infección del equipo.
En el informe de Proofpoint, añaden que el 25% de los correos se había hecho por
equipos no convencionales, es decir elementos como bombillas, Smart TV y demás
equipos que no suelen denotarse como equipos informáticos. Muchos de los equipos
contaban con sistemas operativos Linux comunes o servidores web Apache, lo que
facilitó la infección de estos.
5.2 Hackers chinos toman control de un coche eléctrico Tesla
En esta ocasión, un grupo de hackers chinos, que participaban en un evento de
seguridad en el que luchaban por ganar un premio de 10.000$ patrocinado por Qihoo
360 Security Technology, logró acceder al sistema del Tesla modelo S (Rosenblatt,
2014), con lo que consiguieron acceso remoto al coche. Una vez lograron acceso,
tuvieron control de puertas, luces, limpiaparabrisas, techo solar y claxon. No dieron
mucha información referente al ataque, pero al parecer lograron crackear el código de
seis cifras de la aplicación móvil. Como la compañía del coche no estaba dentro del
evento ni lo patrocinaba, la empresa Qihoo propuso a la compañía una colaboración
para mejorar el sistema en el mayor grado posible para evitar este tipo de situaciones
en un futuro.
Figura 7. Nevera inteligente enviando correos de spam

19
5.3 Reloj Pebble y su ataque de denegación de servicio
En agosto de 2014 (Khandelwal, 2014) se pudo conocer una vulnerabilidad del reloj
Pebble (Figura 8. Wearable Pebble Smartwatch), un wearable con forma de reloj que
además de su función básica, permite la conexión con un smartphone, de forma que
se puedan visualizar notificaciones, enviar o recibir correos y mensajes de Whatsapp y
otras funciones extra. El problema surge debido a que el reloj no cuenta con un límite
en el texto que recibe al leer un mensaje, ya sea de Whatsapp, Facebook u otra
aplicación a la que está ligada, de manera que al enviar de forma remota 1500 mensajes
en 5 segundos, el reloj se sobrecargaba y se reseteaba a su estado de fábrica, de manera
que toda la información que se encontraba almacenada en el dispositivo se perdía. El
mayor problema es que cualquier atacante con el ID de Facebook o el número de
teléfono, dependiendo de la aplicación que usara el móvil, podría realizar este ataque,
de forma que mientras se encuentre la vulnerabilidad el usuario puede ser víctima del
ataque y de la pérdida de información.
6 Conclusiones
Como se ha podido ver a lo largo del presente trabajo, la seguridad en el mundo del
IoT necesita aún de una gran cantidad de trabajo para llegar a un nivel confiable de
fiabilidad debido a la gran cantidad y variedad de elementos. Uno de los principales
problemas que se está teniendo es que la gran mayoría de empresas solo están
pensando en la funcionalidad del producto, para intentar llegar al mayor número de
personas al crear algo innovador, por tanto no se están tomando medidas de seguridad
desde el diseño del producto, lo que conlleva tantos problemas una vez lanzado el
dispositivo.
Otro gran problema es que al tener tantos dispositivos en una vivienda o industria, si
no están bien diseñados y protegidos, un atacante puede usar uno de estos dispositivos
Figura 8. Wearable Pebble Smartwatch

20
como trampolín para acceder a la red, sacar información relevante para atacar a otro
dispositivo más crítico y llegar a crear un daño mayor. Con esto se quiere resaltar que
no hay que tomarse a la ligera el tema de la seguridad, ya que muchos ataques
comienzan con un ataque al eslabón más débil y a partir de ahí se puede lograr llegar a
hacer mucho daño, es algo parecido a lo que sucede con muchos ataques a los sistemas,
donde el primer paso es tener acceso al equipo aunque sea como invitado, ganar
privilegios de un usuario mayor y terminar con los de un administrador con los que ya
puede realizar un ataque.
También existe un daño oculto en la monitorización que realizan algunos equipos, de
los que algunos usuarios no son conscientes, como es el caso de los dispositivos que
geoposicionan al usuario para que éste pueda conocer las rutas que hace por ejemplo
al correr. Este tipo de información muchas veces es publicada por el usuario
directamente en las redes sociales, donde mucha información no está restringida y es
completamente pública, facilitando el trabajo de muchos ladrones que pueden llegar a
conocer los comportamientos de mucha gente y robar en sus viviendas con mayor
facilidad.
Por último recalcar que los gobiernos deberían actuar también en este sector para
generar leyes internacionales que regulen qué se puede o no hacer con la información
que están almacenando algunas empresas con los datos generados por los usuarios, ya
que éstos pueden ser usados para inferir comportamientos del usuario con los que
aumentar sus ingresos, sin que el propio usuario sea consciente de ello. También hay
que generar una serie de leyes en las que se regule la confidencialidad y datos del usuario
e intenten asegurar el nivel máximo de seguridad de éstos, ya que si estos datos se
comprometen, podrían perjudicar enormemente a la persona porque podrían tener
acceso a cuentas bancarias, información médica y otro tipo de información crítica.
7 Bibliografía
Bécares, B. (21 de enero de 2014). ChannelBiz. Obtenido de ChannelBiz:
http://www.channelbiz.es/2014/01/21/una-nevera-inteligente-responsable-de-un-
botnet-masiva/
Centro de Seguridad TIC de la Comunitat Valenciana. (2014). Seguridad en Internet de las cosas.
Estado del arte. Valencia: -.
Khandelwal, S. (21 de agosto de 2014). the hacker news. Obtenido de
http://thehackernews.com/2014/08/remote-attack-could-damage-your-
pebble.html
Rosenblatt, S. (17 de julio de 2014). cnet. Obtenido de cnet:
http://www.cnet.com/news/chinese-hackers-take-command-of-tesla-model-s/

Seguridad en el contexto del Internet de las Cosas - IoT

Recomendados

Recomendados

Más contenido relacionado

Similar a Seguridad en el contexto del Internet de las Cosas - IoT

Similar a Seguridad en el contexto del Internet de las Cosas - IoT (20)

Último

Último (10)

Seguridad en el contexto del Internet de las Cosas - IoT