Ordenadores, Los telefonoscámaras web, enrutadores Wifiauriculares Bluetooth. El dispositivos inteligentes Están tan naturalizados en nuestra vida diaria que nos cuesta imaginar la vida sin ellos. Y, sin embargo, estos pueden representar un problema para la seguridad de nuestros datos personales.
Lo que pasa con la hiperconectividad es que, si bien resuelve muchas de nuestras actividades, también amplía lo que se llama superficie de ataque: la cantidad de “espacio” digital que tienen los delincuentes para cometer un ciberdelito.
Según el último informe de IoT Analytics de Palo Alto Networks, la cantidad de artefactos de Internet de las cosas (IoT) conectados alcanzaron los 12.300 millones el año pasado y se espera que superen 27 mil millones de conexiones para 2025.
Esta tendencia continúa en constante aumento: “Para 2023, veremos un aumento en la actividad coordinada de los entornos físicos y cibernéticos dirigidos a la infraestructura crítica. En el sector privado, la seguridad de los dispositivos físicos de los usuarios frente a ataques coordinados que aprovechan los sistemas IoT (Internet de las cosas) y OT (tecnología de operaciones) será una preocupación clave.
“La conectividad IoT se ha convertido en una de las herramientas más utilizadas en la actualidad: ya representan más del 50% de dispositivos conectados a Internet en todo el mundo. Pero esto conlleva riesgos y algunas amenazas que pueden dañar no solo nuestros equipos, sino también nuestros privacidad”, dice Arturo Torres, estratega de inteligencia de amenazas de FortiGuard Labs de Fortinet en América Latina y el Caribe.
En este sentido, existen una serie de dispositivos y prácticas que pueden suponer una amenaza para los usuarios: desde dar permiso a aplicaciones terceroconectarse por bluetooth o a una red WiFi insegura, incluso peligrosas webcams y “nubes”, estos son los riesgos que advierten varios expertos.
Permisos de aplicaciones de «terceros»
Los permisos de terceros entran en juego cuando autorizamos a una aplicación para utilizar nuestros datos que pueden ser sensibles, como nuestra agenda de contactos, cámara o ubicación.
“La mayoría de los dispositivos IoT requieren que el usuario final descargue e instale una aplicación en su teléfono móvil para su control. Muchas de estas aplicaciones solicitan permisos innecesarios por la naturaleza del dispositivo en cuestión”, explicó a Clarín Emmanuel Di Battista, analista de seguridad.
Pongamos un ejemplo: lámparas inteligentes que se pueden regular con una aplicación. Estos se conectan al WiFi de la casa. “Es común que soliciten la ubicación del usuario, cuando, lógicamente, el usuario no puede estar en otra ubicación que no sea cercana al dispositivo; o la solicitud de acceso a la cámara del móvil -con la idea de «escanear» códigos QR en la caja de la lámpara-, o incluso para enviar notificaciones”, desarrolla.
Esto es potencialmente peligroso y, en la mayoría de los casos, innecesario. “La mayoría de los usuarios aceptan ciegamente otorgar todos los permisos solicitados a perpetuidad. Muchas de estas plataformas también requieren que el usuario se registre para ‘inscribir’ sus dispositivos, brindando aún más información personal”, agrega.
En este caso, es mejor denegar todos los permisos que no sean estrictamente necesarios.
Bluetooth: los riesgos
“Bluetooth fue históricamente uno de los protocolos con mayor adopción pero también con más vulnerabilidades. Teniendo en cuenta que es un protocolo utilizado por una gran cantidad de dispositivos (inteligentes o no), estas fallas tienden a comprometer a muchos fabricantes y modelos de los más variados dispositivos”, analiza el experto.
Incluso existe una vulnerabilidad conocida desde 2017: “Se trata de transportado por el azulun tipo de ataque que encadena 8 vulnerabilidades del protocolo bluetooth con el propósito de ejecutar instrucciones arbitrarias en el dispositivo de la víctima sin que ésta tenga ninguna interacción en el proceso (lo que se conoce como zero-click)”, comenta. Ejecutar una instrucción arbitraria implica que un hacker puede tomar el control de nuestro dispositivo.
“Este ataque, como era de esperar, afectó a diferentes sistemas operativos y dispositivos por igual. Entre estos dispositivos afectados se encontraban los asistentes digitales más populares del momento: Google Home y Amazon Alexa. Al abusar de esta vulnerabilidad, un atacante podría enviar comandos arbitrarios a estos dispositivos”, concluye.
Por lo tanto, los dispositivos aparentemente inocentes que se conectan a través de Bluetooth, como los asistentes domésticos, pueden ser un arma para los ciberdelincuentes.
Webcams, un target muy buscado
El cámara web Pueden ser un objetivo de ataque. En este caso, la invasión de la privacidad puede ser enorme si un hacker logra acceder a ella de forma remota. Teniendo en cuenta que no solo se encuentran en las computadoras, sino también en las entradas de los edificios, casas e incluso ambientes privados del hogar, es un gadget que puede convertirse contra el usuario con relativa facilidad.
«Es recomendable adquirir marcas que son reconocidasporque estas marcas generalmente tienen cierto tipo de proceso para vulnerabilidades, fallas, actualizaciones continuas que te pueden ayudar a evitar algún tipo de robo o ataque de información”, advierte Torres de FortiGuard Labs.
También insiste en contraseñas, en este caso, de los sistemas en los que vamos a instalar o utilizar una webcam integrada en el equipo. “Siempre es recomendable que estos dispositivos tengan contraseñas seguras, ya que si las tenemos por defecto cualquiera puede acceder a ellas”.
redes WiFi
Uno de los mayores problemas tiene que ver con la conexiones a redes Wi-Fi públicas. Estos conllevan un riesgo ya que no puede estar seguro de si la conexión entre el dispositivo y el módem es segura.
Es muy común ir a un café y conectar la computadora o el teléfono. O incluso en espacios de coworking como WeWork.
Sin embargo, debe tenerse en cuenta que no es seguro conectarse a ninguna red disponible y, si lo hace, debe tener cuidado.
nubes inseguras
La llamada «nube”, es decir, el uso de recursos computacionales de otras empresas como AWS, Azure y Oracle, implica una confianza implícita en los sistemas de estas empresas.
Sin embargo, pueden tener un agujero de seguridad y vulnerabilidades.
En este sentido, conviene utilizar las más conocidas para asegurarse de que tienen una infraestructura detrás y, sobre todo, una buena copias de seguridad de la información que subimos. El siguiente problema está relacionado con este punto.
Bases de datos expuestas o desprotegidas
“Muchos dispositivos inteligentes utilizan almacenamiento de datos en la nube que no cumplen con las mejores prácticas de seguridad y privacidad, muchas veces exponiendo públicamente la información de sus usuarios”, advierte Di Battista.
Por supuesto, según cada dispositivo, la información potencialmente filtrada es diferente: siempre depende de qué accesos tenga el dispositivo.
“Dependiendo de la naturaleza del artefacto, la información que se puede filtrar varía: la ubicación física del usuario, llaves utilizado en la plataforma de servicio o incluso datos de uso del dispositivo como grabaciones audio y/o video”, explica.
En 2019, cuenta, 2 mil millones de registros de la empresa china Orvibo Fueron descubiertos en una base de datos insegura y expuestos públicamente a Internet. “Estos registros contenían contraseñas de usuario, códigos de confirmación de cambio de contraseña (fichas), e incluso grabaciones de cámaras inteligentes”.
Todos los dispositivos IoT pueden exponer las bases de datos: cuanta más tecnología en línea se utilice, mayor será la superficie de ataque.
La responsabilidad de las empresas
Finalmente, vale la pena revisar la responsabilidad de las empresas que fabrican dispositivos inteligentes.
“Las empresas tienen la obligación para cumplir con las leyes de cada país en el que operan que tienen que ver con la protección de datos de sus ciudadanos, quienes serán usuarios de estos servicios”, explica Carolina Martínez Elebi, licenciada en Comunicación de la Universidad de Buenos Aires y fundadora de DHyTechno.
“La protección de la privacidad implica también la seguridad de la informacion que impulsan. Esto, como se ha visto en los últimos años, se está vulnerando cada vez más incluso en las grandes empresas que uno esperaría tener un desarrollo más robusto de la seguridad de la información”, critica.
En este sentido, Elebi diferencia entre la vulneración por negligencia y el diseño de productos y apps: “Algunas se vulneran por negligencia de quien administra y gestiona los datos almacenados. En otros casos, la privacidad de los usuarios no se respeta directamente porque esta invasión de la privacidad es parte del propio modelo de negocio y, si encuentran la manera de superar las barreras legales, lo harán”.
Bajo este escenario, el experto aconseja tener higiene digital en el uso de estos dispositivos y, sobre todo, configurarlos. Aunque, a partir de ahora, el usuario tiene más que perder: «En principio, antes de comprar un nuevo dispositivo electrónico o usar un nuevo servicio, es importante pensar que por cada cosa que usemos, vamos a tener que aceptar las condiciones». que las empresas que proveen ese gadget o ese servicio que vamos a utilizar.El margen que tenemos como usuarios para decidir cómo serán estas condiciones es muy poco”, reflexiona.
“Algunas aplicaciones nos piden que les demos permiso para acceder a la cámara, micrófono, libreta de direcciones, ubicación, entre otras cosas, y esto no siempre es algo que necesitas para trabajar. Entonces, ¿queremos otorgar permisos y acceso a todo nuestro teléfono solo para jugar un juego durante unos minutos? Mucha gente piensa que sí sin analizar lo que eso implicay eso fue lo que aprovechó la empresa Cambridge Analytica cuando quiso recopilar datos de usuarios en Facebook para campañas políticas en varios países”, cierra, en línea con las advertencias de los expertos en seguridad informática.
En cuanto a lo técnico, Torres cierra con 2 consejos: «Siempre es recomendable tener todos los dispositivos IoT en una red totalmente aislada a la operación o incluso a los invitados, para que sólo ellos puedan vivir allí, separados, y en caso de cualquier Filtración de datos [filtración]que nada podía salirse de control”.
“El otro punto es mantener estos dispositivos siempre actualizado: es necesario tener algún tipo de estrategia donde el mismo vendedor o fabricante tenga la capacidad de actualizarlos, enviar algún tipo de reporte o, en el peor de los casos, avisar al usuario si se sufrió una filtración de datos”, concluye Torres.
SL