Los dispositivos inteligentes del llamado 'Internet de las Cosas' (IoT, por sus siglas en inglés) se han introducido en los hogares, las fábricas y las ciudades para ofrecer mejoras, si bien también pueden introducir puntos ciegos y riesgos de seguridad en forma de vulnerabilidades, como advierte el equipo de Trend Micro.

Los dispositivos inteligentes vulnerables abren las redes a las amenzas y pueden debilitar la seguridad general de internet, porque a través de ellos los ciberdelincuentes apoyan sus ataques, lo que refuerza la importancia de la seguridad desde la fase de diseño.

En este sentido, desde la compañía de ciberseguridad indican que una vulnerabilidad puede deberse a capacidades de computación limitadas y restricciones de 'hardware', dado que deja poco espacio para mecanismos de seguridad robustos y protección de datos. O a la tecnología de transmisión heterogénea, que puede dificultar el establecimiento de métodos y protocolos de protección estándar.

La vulnerabilidad, sin embargo, puede también presentarse en los componentes que forman el dispositivo inteligente, lo que puede llegar a afectar a millones de dispositivos desplegados, como advierten desde la compañía.

Otro elemento de riesgo se identifica en los usuarios, quienes contribuyen a la vulnerabilidad, especialmente cuando carecen de concienciación en materia de seguridad. La falta de conocimiento de seguridad podría exponer a los dispositivos inteligentes a vulnerabilidades y oportunidades de ataque.

Desde TrendMicro señalan que los agentes de amenazas pueden utilizar dispositivos vulnerables para alcanzar de forma lateral a objetivos críticos. Los atacantes también pueden utilizar las vulnerabilidades para apuntar a los propios dispositivos y convertirlos en armas para campañas más grandes o utilizarlos para propagar 'malware' a la red.

Las 'botnets' IoT sirven como ejemplo para mostrar el impacto de las vulnerabilidades de los dispositivos y cómo los ciberdelincuentes han evolucionado para utilizarlas. En 2016, Mirai, uno de los tipos más destacados de 'malware' de 'botnets' IoT, se hizo un nombre al eliminar sitios web distinguidos en una campaña de denegación de servicio distribuida (DDoS) que consistía en miles de dispositivos de IoT domésticos comprometidos.

Desde el punto de vista empresarial, la compañía de ciberseguridad advierte de que la introducción de dispositivos IoT en el hogar puede abrir nuevos puntos de entrada en un entorno que podría tener una seguridad débil, exponiendo a los empleados a 'malware' y ataques que podrían colarse en la red de una empresa.

Los atacantes también pueden usar dispositivos IoT con problemas existentes para acceder en redes internas. Estas amenazas van desde los ataques de 'DNS rebinding', que permiten recopilar y filtrar información de redes internas, hasta nuevos ataques a través de canales laterales, como los ataques inducidos por láser infrarojo contra dispositivos inteligentes en hogares y entornos corporativos.

El Open Web Application Security Project (OWASP), una fundación sin ánimo de lucro para mejorar el 'software', publica anualmente una lista de las principales vulnerabilidades IoT, entre las que se recogen las interfaces inseguras del ecosistema, los servicios de red inseguros y las contraseñas débiles, adivinables o 'hardcoded'.

La posibilidad de que se produzcan efectos impredecibles en cascada por las vulnerabilidades y seguridad deficiente en IoT afecta en gran medida a la seguridad general de internet. "Garantizar que estos dispositivos sean seguros es una responsabilidad compartida de las partes interesadas", según apunta Trend Micro.

La compañía entiende que los fabricantes deben abordar las vulnerabilidades conocidas de los productos posteriores, publicar parches para los existentes e informar sobre el fin del soporte para los productos más antiguos.

"Necesitan considerar la seguridad desde la fase de diseño, y luego realizar pruebas de penetración para asegurar que no haya brechas imprevistas para un sistema y dispositivo en producción", aseguran desde la compañía. Las empresas también deben tener un sistema para aceptar informes de vulnerabilidad de entidades externas sobre sus productos desplegados.

Los usuarios, por su parte, también deben comprender mejor los riesgos de seguridad que conlleva la conexión de estos dispositivos y su papel en la seguridad de los mismos. Cambiar las contraseñas predeterminadas, actualizar el 'firmware' y elegir configuraciones seguras, entre otras cosas, puede mitigar los riesgos.