La mayoría de dispositivos IoT podrían ser comprometidos fácilmente

Los dispositivos pertenecientes al Internet de las Cosas (IoT) están ganando presencia a pasos agigantados, pero su seguridad sigue siendo bastante mediocre en términos generales. Esto es algo de lo que hemos comentado en varias ocasiones, avisando que la inmensa mayoría de los dispositivos son vulnerables, algo que ha terminado por convertirse en un recurso tentador para los cibercriminales.

Ahora es un equipo de investigadores que trabaja para la Universidad Ben-Gurion el que ha puesto en evidencia la falta de seguridad del IoT. Tras comprar una buena cantidad de dispositivos con el fin de poner a prueba su seguridad, descubrieron que la mayoría de estos podían ser comprometidos fácilmente, pudiendo luego usar la información obtenida para atacar a otros dispositivos similares a través de Internet.

El equipo de investigadores ha comentado en una entrevista para TechRepublic que intentaron averiguar cuánto de “difícil es comprar una cámara IoT y conocer sus secretos”. La intención fue descubrir contraseñas, conexiones y otros tipos de información. 30 minutos después de desembalar el aparato, hallaron la contraseña predeterminada y los servicios en ejecución. Esos datos pueden ser utilizados en otras unidades del mismo dispositivo para poder construir una botnet. Para ello se apoyaron en el puerto de depuración, que permite a ingenieros y desarrolladores asegurarse de que la cámara ha sido construida correctamente. Sin embargo, ese puerto también puede ser usado para acceder a las “bambalinas” de un dispositivo, aunque en algunos casos es necesario romper la contraseña.

Los investigadores han examinado 16 dispositivos diferentes, entre los cuales había monitores para bebés, timbres, cámaras, termostatos, etc. Uno de los termostatos examinados fue uno de última generación que carecía de puerto de depuración, lo que dificultó su explotación. Por otro lado, no consiguieron romper la contraseña de otros dos dispositivos que sí tenían el puerto después de intentarlo durante una hora. Tras concluir todas las pruebas, consiguieron hallar la contraseña de 14 aparatos.

El panorama que se presenta en el IoT es que la mayoría de los dispositivos son fáciles de comprometer, y una vez comprometido uno, los datos obtenidos pueden ser usados contra otras unidades del mismo modelo, lo que allana el camino a los hackers a la hora de realizar ataques remotos. Otro aspecto a tener en cuenta es que la mayoría de estos acaban en un estado de semiabandono en los rincones de las casas, sin recibir el mantenimiento adecuado para garantizar su seguridad mediante actualizaciones. El soporte de los fabricantes muy raras veces resulta ilimitado, por lo que, al igual que ocurre con los smartphones Android, nos encontraremos con una gran cantidad de dispositivos IoT sin soporte que seguirán funcionando.

Por lo que se puede comprobar, el IoT es un campo en el que la seguridad no parece ser una prioridad, a pesar del aumento en la cantidad de dispositivos vulnerables expuestos. Esto da a los cibercriminales una vía para crear botnets gigantes y lanzar potentes ciberataques, habiendo ya casos importantes como los de las DNS de Dyn, la compañía de hosting francesa OVH y el conocido portal de repositorios de código GitHub.