menu MENÚ
MALDITA TECNOLOGÍA

Buscadores de dispositivos de internet de las cosas: qué son, qué riesgos corre nuestro dispositivo y cómo evitarlos

Publicado
Comparte
Etiquetas

Este verano os hemos dado varias recomendaciones para cuidar la ciberseguridad en vacaciones, por ejemplo para minimizar riesgos cuando conectamos nuestro móvil a un coche de alquiler. También os hemos explicado que, antes de salir de casa, hay que revisar el router y los dispositivos conectados. Hoy venimos a ahondar en una de las cosas que os comentamos y por la que nos habéis preguntado: las bases de datos de dispositivos IoT (internet de las cosas, por sus siglas en inglés) publicadas en internet.

Un "Google" para buscar dispositivos IoT, de una aspiradora conectada a un marcapasos

¿Te suena de algo Shodan? ¿Zoomeye? ¿Censys? Seguramente no, porque no son para nada tan famosos como Google, pero también son buscadores. En este caso son motores de búsqueda con un objetivo específico: dispositivos conectados a internet.

“Igual que Google busca páginas web y las va indexando, los motores de búsqueda de dispositivos IoT tienen unos programas llamados crawlers que van rastreando todas las IP del mundo. Cuando una de esas IP es de un dispositivo conectado, lo indexan en el buscador”, explica a Maldita.es David Purón, CEO de Barbara IoT y experto en ciberseguridad.

Shodan es el buscador más importante, pero hay muchas más bases de datos con dispositivos IoT: algunas son públicas y puede tener acceso cualquier persona, como ONYPHE, O'shadan o GreyNoise, y otras son privadas y de acceso limitado, detalla Enrique Domínguez, director de Estrategia de Entelgy Innotec Security.

Y no es que existan pocos de esos dispositivos IoT: un estudio de IOT Analytics recoge que a finales de 2019 había 9.500 millones de dispositivos IoT conectados en el mundo (sin contar móviles y ordenadores). En esta lista entra desde un termostato inteligente, una bombilla conectada a Alexa y una cámara de seguridad, a un sistema de riego por goteo automatizado, un sistema de control industrial y un audífono conectado. Cada vez hay más dispositivos IoT a nuestro alrededor y, según el mismo estudio, esta cifra seguirá creciendo: hasta 28.000 millones en 2024 y 40.000 millones en 2027. Así que, atentos a qué implican estos buscadores.

Captura del sitio web del buscador Shodan, con un mapa de color de dispositivos IoT conectados en el mundo.

Si tu dispositivo está en uno de esos buscadores, podrían hackearlo para pedir un rescate o acceder a otros dispositivos conectados de tu casa

¿Cuál es el peligro de que un dispositivo IoT aparezca registrado en estos buscadores? Como en todo, depende del buen o mal uso que se le dé a la herramienta. Puede haber fines legítimos -por ejemplo, realizar estudios de mercado, conectarse a una estación climática de otro país para obtener datos o colaborar con otra máquina conectada de manera más ágil- pero si hablamos de dispositivos de uso personalDomínguez nos alerta de que son “las principales fuentes de información de los atacantes que pretenden localizar dispositivos vulnerables”.

En ‘Internet de las cosas. Informe de buenas prácticas’ del CCN-CERT de 2021, se explica que el objetivo de hackear dispositivos IoT no suele ser obtener la información almacenada en ellos, sino congelar el dispositivo y denegar el servicio a la espera de conseguir un rescate económico. Un atacante puede acceder a un juguete conectado, a una casa domótica o a un marcapasos, pudiendo incluso poner en riesgo vidas, alerta el informe del CCN-CERT.

Pero no solo eso: además, aunque el que sean dispositivos “conectados” nos ofrece muchas ventajas, también se convierten en una puerta de entrada al internet de nuestra casa. Si un hacker con malas intenciones llega hasta nuestro dispositivo IoT y accede a nuestro router, ya puede tener acceso a otros dispositivos conectados a él.

“Igual si te fastidian el termostato inteligente no es un drama, pero si de ahí pasan a tu ordenador y te encriptan todos los ficheros, es otra historia. También pueden robar credenciales de banco. De hecho, a veces hay ataques relacionados con tu cuenta y la gente no sabe de dónde vienen. Igual tu aire acondicionado conectado estaba en Shoda, han entrado y tomado el control del wifi, y con un keylogger te han robado la cuenta bancaria”, relata Purón de Bárbara IoT.

Ejemplo de una IP de un dispositivo IoT en el sitio web del buscador Shodan.

Recomendaciones de ciberseguridad: actualizaciones al día, no vincules dispositivos y ojo al router

Bueno, ya somos conscientes de los riesgos; veamos soluciones. ¿Qué podemos hacer si nuestro dispositivo IoT está en una de las bases de datos de estos buscadores? ¿Qué medidas de ciberseguridad debemos tomar en cualquier caso con un dispositivo IoT?

“Lo mínimo es cambiar la configuración de la red y no exponer lo que no necesite ser expuesto, tener los dispositivos actualizados, incluyendo las últimas versiones de su firmware, y bien configurados con usuarios y contraseñas robustos”, enumera Domínguez de Entelgy Innotec Security.

El experto también recomienda evitar que los dispositivos estén vinculados entre ellos ya que, de lo contrario, “si uno de ellos fuera vulnerado, tendría acceso y control a todos los demás”. El CCN-CERT añade utilizar un elemento que haga de intermediario para separar la red de dispositivos IoT de nuestra casa con el resto de internet.

Como hemos dicho, el router puede ser un elemento de riesgo, así que Purón de Barbara IoT también recomienda averiguar si nuestro proveedor de internet ofrece algún paquete extra de seguridad para detectar intrusiones.

Cuando adquieras un dispositivo IoT, mejor buscar antes opiniones sobre su ciberseguridad y elegir fabricantes de confianza

Como prevenir es mejor que curar, cabe preguntarse si podríamos haber evitado esta situación de riesgo desde el principio: ¿es posible saber cuando compro un dispositivo IoT si es seguro o si es probable que esté en uno de estos buscadores?

Ahora mismo, no, pero Purón cuenta a Maldita.es que es algo que se está intentando regular en Europa: “Igual que hay una etiqueta CE que certifica que un producto cumple con requisitos esenciales de seguridad y salud, la Comisión Europa y la ENISA [Agencia de la Unión Europea para la Ciberseguridad] están intentando crear una etiqueta de ciberseguridad y unos estándares para los dispositivos conectados, pero para eso aún queda tiempo”.

Mientras tanto, dos consejos: googlear opiniones y elegir fabricantes de confianza. “Antes de comprar un dispositivo IoT, puedes buscar en foros de internet esa marca y modelo y sus problemas de ciberseguridad, para saber si hay antecedentes de situaciones en las que han sido hackeados o indexados en buscadores”, dice Purón.

La responsabilidad de que un dispositivo IoT acabe en una de esas bases de datos es del fabricante: igual que cuando alguien desarrolla una web y tiene información privada debe asegurarse de poner unos protocolos para que Google no la indexe, cuando estás haciendo un dispositivo IoT tienes que asegurarte de que no sea indexable, explica el experto. Por eso, concluye, “es muy importante que compremos dispositivos conectados que vienen de proveedores que se toman la ciberseguridad en serio. Si compras dispositivos de bajo coste, probablemente sean indexables y sea mucho más fácil conectarse a ellos; el producto acabas siendo tú.”

Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.