Este verano os hemos dado varias recomendaciones para cuidar la ciberseguridad en vacaciones, por ejemplo para minimizar riesgos cuando conectamos nuestro móvil a un coche de alquiler. También os hemos explicado que, antes de salir de casa, hay que revisar el router y los dispositivos conectados. Hoy venimos a ahondar en una de las cosas que os comentamos y por la que nos habéis preguntado: las bases de datos de dispositivos IoT (internet de las cosas, por sus siglas en inglés) publicadas en internet.
Un "Google" para buscar dispositivos IoT, de una aspiradora conectada a un marcapasos
¿Te suena de algo Shodan? ¿Zoomeye? ¿Censys? Seguramente no, porque no son para nada tan famosos como Google, pero también son buscadores. En este caso son motores de búsqueda con un objetivo específico: dispositivos conectados a internet.
“Igual que Google busca páginas web y las va indexando, los motores de búsqueda de dispositivos IoT tienen unos programas llamados crawlers que van rastreando todas las IP del mundo. Cuando una de esas IP es de un dispositivo conectado, lo indexan en el buscador”, explica a Maldita.es David Purón, CEO de Barbara IoT y experto en ciberseguridad.
Shodan es el buscador más importante, pero hay muchas más bases de datos con dispositivos IoT: algunas son públicas y puede tener acceso cualquier persona, como ONYPHE, O'shadan o GreyNoise, y otras son privadas y de acceso limitado, detalla Enrique Domínguez, director de Estrategia de Entelgy Innotec Security.
Y no es que existan pocos de esos dispositivos IoT: un estudio de IOT Analytics recoge que a finales de 2019 había 9.500 millones de dispositivos IoT conectados en el mundo (sin contar móviles y ordenadores). En esta lista entra desde un termostato inteligente, una bombilla conectada a Alexa y una cámara de seguridad, a un sistema de riego por goteo automatizado, un sistema de control industrial y un audífono conectado. Cada vez hay más dispositivos IoT a nuestro alrededor y, según el mismo estudio, esta cifra seguirá creciendo: hasta 28.000 millones en 2024 y 40.000 millones en 2027. Así que, atentos a qué implican estos buscadores.
Si tu dispositivo está en uno de esos buscadores, podrían hackearlo para pedir un rescate o acceder a otros dispositivos conectados de tu casa
¿Cuál es el peligro de que un dispositivo IoT aparezca registrado en estos buscadores? Como en todo, depende del buen o mal uso que se le dé a la herramienta. Puede haber fines legítimos -por ejemplo, realizar estudios de mercado, conectarse a una estación climática de otro país para obtener datos o colaborar con otra máquina conectada de manera más ágil- pero si hablamos de dispositivos de uso personal, Domínguez nos alerta de que son “las principales fuentes de información de los atacantes que pretenden localizar dispositivos vulnerables”.
En ‘Internet de las cosas. Informe de buenas prácticas’ del CCN-CERT de 2021, se explica que el objetivo de hackear dispositivos IoT no suele ser obtener la información almacenada en ellos, sino congelar el dispositivo y denegar el servicio a la espera de conseguir un rescate económico. Un atacante puede acceder a un juguete conectado, a una casa domótica o a un marcapasos, pudiendo incluso poner en riesgo vidas, alerta el informe del CCN-CERT.
Pero no solo eso: además, aunque el que sean dispositivos “conectados” nos ofrece muchas ventajas, también se convierten en una puerta de entrada al internet de nuestra casa. Si un hacker con malas intenciones llega hasta nuestro dispositivo IoT y accede a nuestro router, ya puede tener acceso a otros dispositivos conectados a él.
“Igual si te fastidian el termostato inteligente no es un drama, pero si de ahí pasan a tu ordenador y te encriptan todos los ficheros, es otra historia. También pueden robar credenciales de banco. De hecho, a veces hay ataques relacionados con tu cuenta y la gente no sabe de dónde vienen. Igual tu aire acondicionado conectado estaba en Shoda, han entrado y tomado el control del wifi, y con un keylogger te han robado la cuenta bancaria”, relata Purón de Bárbara IoT.
Recomendaciones de ciberseguridad: actualizaciones al día, no vincules dispositivos y ojo al router
Bueno, ya somos conscientes de los riesgos; veamos soluciones. ¿Qué podemos hacer si nuestro dispositivo IoT está en una de las bases de datos de estos buscadores? ¿Qué medidas de ciberseguridad debemos tomar en cualquier caso con un dispositivo IoT?
“Lo mínimo es cambiar la configuración de la red y no exponer lo que no necesite ser expuesto, tener los dispositivos actualizados, incluyendo las últimas versiones de su firmware, y bien configurados con usuarios y contraseñas robustos”, enumera Domínguez de Entelgy Innotec Security.
El experto también recomienda evitar que los dispositivos estén vinculados entre ellos ya que, de lo contrario, “si uno de ellos fuera vulnerado, tendría acceso y control a todos los demás”. El CCN-CERT añade utilizar un elemento que haga de intermediario para separar la red de dispositivos IoT de nuestra casa con el resto de internet.
Como hemos dicho, el router puede ser un elemento de riesgo, así que Purón de Barbara IoT también recomienda averiguar si nuestro proveedor de internet ofrece algún paquete extra de seguridad para detectar intrusiones.
Cuando adquieras un dispositivo IoT, mejor buscar antes opiniones sobre su ciberseguridad y elegir fabricantes de confianza
Como prevenir es mejor que curar, cabe preguntarse si podríamos haber evitado esta situación de riesgo desde el principio: ¿es posible saber cuando compro un dispositivo IoT si es seguro o si es probable que esté en uno de estos buscadores?
Ahora mismo, no, pero Purón cuenta a Maldita.es que es algo que se está intentando regular en Europa: “Igual que hay una etiqueta CE que certifica que un producto cumple con requisitos esenciales de seguridad y salud, la Comisión Europa y la ENISA [Agencia de la Unión Europea para la Ciberseguridad] están intentando crear una etiqueta de ciberseguridad y unos estándares para los dispositivos conectados, pero para eso aún queda tiempo”.
Mientras tanto, dos consejos: googlear opiniones y elegir fabricantes de confianza. “Antes de comprar un dispositivo IoT, puedes buscar en foros de internet esa marca y modelo y sus problemas de ciberseguridad, para saber si hay antecedentes de situaciones en las que han sido hackeados o indexados en buscadores”, dice Purón.
La responsabilidad de que un dispositivo IoT acabe en una de esas bases de datos es del fabricante: igual que cuando alguien desarrolla una web y tiene información privada debe asegurarse de poner unos protocolos para que Google no la indexe, cuando estás haciendo un dispositivo IoT tienes que asegurarte de que no sea indexable, explica el experto. Por eso, concluye, “es muy importante que compremos dispositivos conectados que vienen de proveedores que se toman la ciberseguridad en serio. Si compras dispositivos de bajo coste, probablemente sean indexables y sea mucho más fácil conectarse a ellos; el producto acabas siendo tú.”