Por qué los dispositivos IoT son susceptibles al malware

Un dispositivo IoT se clasifica como cualquier dispositivo informático no estándar. Pueden ser productos de consumo, entre ellos televisores inteligentes y dispositivos portátiles, o pueden ser industriales, como sistemas de control, cámaras de vigilancia, rastreadores de activos o dispositivos médicos. Independientemente de su enfoque, los dispositivos de IoT han cambiado la forma en que el mundo trabaja y vive.

Existen miles de tipos diferentes de dispositivos IoT, pero todos comparten la capacidad de conectarse a una red. La conectividad permite controlar estos dispositivos de forma remota y permite acceder y recopilar sus datos.

A pesar de sus numerosos beneficios, los datos que generan, recopilan y comparten, así como las operaciones que realizan, hacen que los dispositivos de IoT sean extremadamente atractivos para los piratas informáticos malintencionados. El hecho de que estén conectados a una red los deja expuestos a ser atacados de forma remota, y sus factores de forma significan que carecen de la seguridad incorporada necesaria para protegerse de amenazas y explotación.

Debilidades y vulnerabilidades de IoT

Según el Informe sobre el panorama de seguridad de IoT de 2023 de Bitdefender, los hogares en los Estados Unidos tienen un promedio de 46 dispositivos conectados a Internet y experimentan un promedio de ocho ataques contra esos dispositivos cada 24 horas. Y eso es sólo los dispositivos IoT de consumo.

Los honeypots de IoT distribuidos de Nozomi Networks fueron testigos de entre cientos y miles de direcciones IP únicas de atacantes diariamente durante agosto de 2023.

Los ataques de IoT tienen como objetivo obtener el control del dispositivo, robar o borrar datos confidenciales, o reclutarlos en un botnet. Los ataques exitosos, especialmente si se lanzan contra dispositivos conectados que ejecutan infraestructura crítica o sistemas médicos, pueden tener consecuencias físicas graves.

Las siguientes problemas de seguridad hacer que los dispositivos IoT sean susceptibles al malware:

• Restricciones del dispositivo. La mayoría de los dispositivos de IoT están diseñados con capacidades mínimas de hardware y software suficientes para realizar sus tareas. Esto deja poca capacidad para mecanismos de seguridad integrales o protección de datos, lo que los hace más vulnerables a los ataques.
• Contraseñas codificadas y predeterminadas. Las contraseñas codificadas y predeterminadas brindan a los atacantes que emplean tácticas de fuerza bruta una gran posibilidad de descifrar la autenticación de un dispositivo. La botnet HEH, por ejemplo, infecta dispositivos utilizando credenciales codificadas y contraseñas de fuerza bruta.
• Falta de cifrado. Los datos almacenados o transmitidos en texto plano son vulnerables a escuchas, corrupción y secuestro. La información de telemetría importante enviada desde un dispositivo IoT, por ejemplo, podría manipularse para proporcionar resultados erróneos.
• Componentes vulnerables. El uso de componentes de hardware comunes significa que cualquier persona con conocimientos de placas de circuitos electrónicos y protocolos de comunicación, como Receptor / transmisor asíncrono universal y circuito interintegrado, puede desarmar un dispositivo y buscar vulnerabilidades de hardware.
• Diversidad de dispositivos. En comparación con las computadoras de escritorio, portátiles y teléfonos móviles, los dispositivos IoT varían significativamente en cuanto a factor de forma y sistema operativo. Lo mismo ocurre con las tecnologías de red y los protocolos que emplean los dispositivos de IoT. Esta diversidad requiere medidas y controles de seguridad más complejos para proporcionar un nivel estándar de protección.
• Falta de capacidades de auditoría. Los atacantes comprometen y explotan los dispositivos de IoT sin temor a que sus actividades sean registradas o detectadas. Es posible que los dispositivos infectados no muestren ninguna degradación notable en su rendimiento o servicio.
• Mecanismos de actualización deficientes. Muchos dispositivos carecen de la capacidad de actualizar el firmware o el software de forma segura. Este déficit requiere que las empresas comprometan importantes recursos para mantener los dispositivos de IoT protegidos contra nuevas vulnerabilidades, dejando muchos dispositivos expuestos. Además, los dispositivos IoT suelen tener implementaciones prolongadas, por lo que resulta cada vez más difícil protegerlos contra nuevos modelos de ataque.
• Falta de conciencia de seguridad. Las organizaciones suelen implementar dispositivos IoT sin comprender completamente sus debilidades y el impacto que tienen en la seguridad general de la red. Del mismo modo, la mayoría de los consumidores carecen de los conocimientos necesarios para cambiar las contraseñas y configuraciones predeterminadas antes de conectar un nuevo dispositivo a Internet, lo que convierte al dispositivo en un blanco fácil para los atacantes.

Malware y ataques de IoT

Los dispositivos de IoT pueden verse involucrados en cualquier número de violaciones de ciberseguridad e infecciones de malware, y sus efectos pueden ser inmediatos, en cascada y causar interrupciones importantes. Los ataques incluyen botnets, ransomware, software de destrucción y dispositivos no autorizados.

• Redes de robots de IoT. El malware botnet suele ser de código abierto y está disponible gratuitamente en foros clandestinos. Está diseñado para infectar y controlar tantos dispositivos como sea posible y, al mismo tiempo, impedir que otros programas maliciosos de botnet tomen el control del dispositivo. Debido a su escasa seguridad, los dispositivos IoT permiten a los actores de amenazas reclutarlos como bots y crear enormes botnets para lanzar devastadores ataques DDoS. De hecho, según el Informe Nokia Threat Intelligence de 2023, las botnets de IoT generan más del 40% de todo el tráfico DDoS en la actualidad, cinco veces más que el año pasado. El primer gran ataque de botnet de IoT se produjo en 2016. Ataque de la botnet Mirai. Más de 600,000 dispositivos IoT resultaron infectados, incluidas cámaras de CCTV y enrutadores domésticos. Varios sitios web importantes quedaron fuera de línea durante horas. Las botnets de IoT pueden lanzar otros ataques, incluidos ataques de fuerza bruta, ataques de phishing y campañas de spam.
• Secuestro de datos. Aunque muchos dispositivos de IoT no almacenan datos valiosos localmente, aún pueden ser víctimas de un ataque de ransomware. El ransomware IoT bloquea la funcionalidad de un dispositivo, congela los dispositivos inteligentes y cierra las operaciones comerciales o la infraestructura crítica. Los ransomware FLocker y El Gato, por ejemplo, apuntan a teléfonos móviles, tabletas y televisores inteligentes, y los atacantes exigen un pago antes de desbloquear los dispositivos infectados. Si bien podría ser posible simplemente restablecer los dispositivos IoT infectados, hacerlo en cientos o miles de dispositivos antes de que se desarrolle una situación importante le da al atacante una gran ventaja. Un ataque de ransomware en el momento o lugar adecuado le da a la víctima poca o ninguna opción más que pagar el rescate.
• Software de destrucción. Este es un término inventado, pero capta la intención de este malware de IoT. El Destructionware es un ataque diseñado para paralizar la infraestructura con fines políticos, ideológicos o simplemente maliciosos. Caso concreto: el ataque de 2015 contra la red eléctrica de Ucrania. El sofisticado y bien planificado ataque derribó toda una red eléctrica; Pasaron meses antes de que las operaciones se restablecieran por completo. Parte del ataque implicó sobrescribir el firmware en convertidores críticos de serie a Ethernet, impidiendo que los operadores genuinos pudieran emitir controles remotos. Los dispositivos infectados tuvieron que ser sustituidos por otros nuevos. Un ataque similar ocurrido en 2022.
• Dispositivos fraudulentos. En lugar de intentar tomar el control de los dispositivos de IoT, muchos ciberdelincuentes simplemente conectan un dispositivo no autorizado a la red de IoT si no está completamente protegido. Esto crea un punto de acceso desde el cual el atacante puede adentrarse más en la red.

Cómo detectar ataques de malware de IoT

Los dispositivos de IoT son ahora componentes esenciales de prácticamente todas las industrias importantes. Los equipos de seguridad deben comprender los complejos factores de riesgo específicos de su implementación y uso. Sin embargo, las técnicas de detección de malware de IoT todavía son un trabajo en progreso. Por ejemplo, las técnicas estándar de análisis estático y dinámico a bordo no son posibles debido a las diversas arquitecturas y limitaciones de recursos de los dispositivos IoT.

El mejor enfoque para detectar malware de IoT es un sistema de monitoreo central que revise las actividades de los dispositivos, como el tráfico de red, el consumo de recursos y las interacciones de los usuarios, y luego use IA para generar perfiles de comportamiento. Estos perfiles pueden ayudar a detectar cualquier desviación derivada de ciberataques o modificaciones de software malicioso, independientemente del tipo de dispositivo. Los dispositivos que generan o manejan datos confidenciales deben utilizar un modelo de aprendizaje federado descentralizado para garantizar la privacidad de los datos mientras se entrenan los modelos.

Los futuros métodos de detección de IoT podrían incluir el análisis de señales electromagnéticas. Los investigadores de seguridad que trabajan en IRISA, por ejemplo, no haber aun identificado una solucion para el problema malware que se ejecuta en un dispositivo Raspberry Pi con un 98% de precisión mediante el análisis de la actividad electromagnética. Una gran ventaja de esta técnica es que ningún malware puede detectarla, bloquearla ni evadirla.

Cómo prevenir el malware de IoT

Hasta que exista un método viable y eficaz para detectar y bloquear rápidamente el malware, el mejor enfoque es garantizar que los dispositivos estén completamente protegidos antes y durante la implementación.

Siga los siguientes pasos:

• Habilite una autorización fuerte. Cambie siempre las contraseñas predeterminadas. Siempre que sea posible, utilice la autenticación multifactor.
• Utilice cifrado siempre activo. Cifre todos los datos y canales de comunicación de la red en todo momento.
• Deshabilite las funciones innecesarias. Si no se utilizan ciertas funciones (por ejemplo, Bluetooth si el dispositivo se comunica a través de Wi-Fi), desactívelas para reducir la superficie de ataque.
• Aplicar parches y actualizaciones. Al igual que con todos los demás activos de la red, mantenga actualizadas todas las aplicaciones y dispositivos de IoT, especialmente el firmware. Esto podría resultar problemático para dispositivos más antiguos que no pueden parchearse. Si no es posible actualizar, coloque los dispositivos en una red separada para que no pongan en riesgo a otros dispositivos. Dispositivos de puerta de enlace puede ayudar a proteger este tipo de dispositivos para que no sean descubiertos y atacados.
• API seguras. Las API son una parte importante del ecosistema de IoT. Proporcionan una interfaz entre los dispositivos y los sistemas back-end. Como resultado, realice una prueba de esfuerzo de todas las API utilizadas por los dispositivos de IoT y verifíquelas para garantizar que solo los dispositivos autorizados puedan comunicarse a través de ellas.
• Mantener un inventario completo de activos. Agregue cada dispositivo IoT a una herramienta de gestión de inventario. Registre ID, ubicación, historial de servicio y otras métricas importantes. Esto mejora la visibilidad del ecosistema de IoT, ayuda a los equipos de seguridad a identificar dispositivos no autorizados que se conectan a la red y señala patrones de tráfico anormales que podrían indicar un ataque en progreso. Las herramientas de descubrimiento de redes también pueden ayudar a los equipos a mantenerse al tanto de las redes de IoT grandes y en rápida expansión.
• Implementar una sólida seguridad de red. Separe todas las redes a las que se conectan los dispositivos IoT e implemente defensas perimetrales dedicadas.
• Supervise las aplicaciones back-end de IoT. Configure alertas para advertir sobre actividad inusual y busque vulnerabilidades periódicamente.
• Sea proactivo con la seguridad. Implemente mitigaciones cuando se descubran nuevos métodos de ataque o malware. Manténgase al tanto de los avances en el panorama de amenazas de IoT. Establezca un plan bien ensayado para detectar y responder al ransomware y ataques DDoS.
• Establecer políticas de trabajo desde casa. A medida que más personas conectan dispositivos IoT de consumo a sus redes domésticas, los empleados que trabajan desde casa deben seguir estrictamente las políticas que rigen cómo acceden a las redes y recursos corporativos. Los dispositivos domésticos inteligentes también pueden tener una seguridad débil, abriendo el riesgo que un atacante podría crear un punto de entrada a la red de una empresa. Concientice a los empleados sobre los riesgos de seguridad que crean sus dispositivos inteligentes y cómo garantizar que estén a salvo de ataques.
• Implemente un programa de recompensas por errores. Ofrezca recompensas a los piratas informáticos éticos que descubran e informen con éxito una vulnerabilidad o un error dentro del hardware o software del ecosistema de IoT.

El futuro de los ataques de IoT

Establecer un plan para mitigar las vulnerabilidades del malware de IoT y determinar cómo contrarrestar los ataques de IoT es una prioridad para todas las organizaciones. La frecuencia de los ataques de IoT no hará más que aumentar a medida que el mundo se vuelva cada vez más dependiente de las tecnologías inteligentes.

Los ecosistemas de IoT son naturalmente complejos y tienen una gran superficie de ataque; Los piratas informáticos maliciosos ven con razón los dispositivos IoT como una fruta al alcance de la mano. La falta de estándares de seguridad de IoT aceptados a nivel mundial hace que mantener seguros los dispositivos de IoT sea mucho más desafiante. Iniciativas como las de NIST, ENISA, el Instituto Europeo de Normas de Telecomunicaciones y del Alianza ioXt, conducirá a una seguridad integrada muy mejorada para futuros dispositivos de IoT. Mientras tanto, la Ley de Resiliencia Cibernética de la UE pretende garantizar Los fabricantes mejoran la seguridad. de sus dispositivos digitales.

Michael Cobb, CISSP-ISSAP, es un reconocido autor sobre seguridad con más de 20 años de experiencia en la industria de TI.