Mientras que tu red solo esté compuesta de servidores y estaciones de trabajo, las soluciones de ciberseguridad podrán encargarse de su protección. Sin embargo, cuando se trata del Internet de las Cosas, la cosa cambia. No existe un estándar en la industria, motivo por el que los desarrolladores ignoran la seguridad y, como resultado, los dispositivos IdC a menudo contienen vulnerabilidades o “cabos sueltos”. Además, en muchos casos están mal configurados o se puede acceder a ellos a través de Internet. Por si no bastara con los dispositivos del IdC que tenemos en casa o en la oficina, el Internet industrial de las cosas no es mucho más seguro.
El caso en cuestión
Estamos rodeados de ejemplos. En este artículo en Securelist de Ido Naor, un investigador de seguridad senior de nuestro equipo GReAT y su compañero Amihai Neiderman de Azimuth Security, podrás leer la investigación sobre una vulnerabilidad en un dispositivo de automatización para gasolineras. El dispositivo estaba conectado directamente a Internet y era el responsable de controlar todos los elementos de la gasolinera, incluidos los dispensadores de combustible y los terminales de pago.
Lo más preocupante del asunto es que se podía acceder a la interfaz de la web del dispositivo a través de las credenciales predeterminadas. Los investigadores llegaron hasta el software del dispositivo y encontraron la forma de detener todos los sistemas de carburante, causar fugas de combustible, cambiar el precio, eludir el terminal de pago (para robar dinero), recopilar matrículas e identidades de los conductores, ejecutar código en la unidad del controlador e incluso moverse con total libertad por la red de la gasolinera.
Los expertos informaron de las vulnerabilidades al fabricante del dispositivo y a MITRE para que se archivara en el CVE. No hay pruebas de que ningún delincuente haya intentado explotar estas vulnerabilidades antes de que las descubrieran los investigadores. Sin embargo, si comprobamos las estadísticas de los incidentes con más impacto financiero, observamos que los relacionados con dispositivos conectados que no son computadoras se encuentran en los 3 primeros lugares, con una media por accidente de 114,000 dólares en pérdidas.
La solución al problema
Cada vez se hace más evidente la necesidad de estandarizar la ciberseguridad en el IdC, por lo que los organismos de normalización tendrán que clasificar los problemas de seguridad del IdC, examinar las posibles amenazas y determinar cómo pueden las medidas de seguridad ayudar en la ejecución de las tareas del sistema del IdC. La Recomendación ITU-T Y.4806, “Security capabilities supporting safety of the Internet of Things”, desarrollada por Study Group 20 de ITU-T (siglas en inglés, Unión Internacional de Telecomunicaciones. Sector de Telecomunicaciones) es una respuesta a esta pregunta.
Kaspersky Lab, como miembro de Study Group 20 de ITU-T, ha sido una pieza clave en el desarrollo de la Recomendación ITU-T Y.4806. Nuestros expertos de Kaspersky Lab ICS CERT compartieron su experiencia y desarrollaron una lista con todo lo que puede ayudar a establecer un nivel de protección de confianza. Puedes encontrar esta recomendación y otras en este enlace.
La Recomendación UIT-T Y.4806 se aplica principalmente a los sistemas del IdC que se puedan ver más afectados, como la automatización industrial, los sistemas de automoción, el transporte, las ciudades inteligentes y los dispositivos médicos portátiles e independientes.