Cómo puede la IoT comprometer la integridad de la red

La IoT (Internet de las cosas) está revolucionando el espacio de las redes y allanando el camino para la comunicación de máquina a máquina (M2M) y los procesos automatizados. Desde automóviles conectados y hogares inteligentes hasta cirugía remota y robótica: las oportunidades y el potencial son infinitos.

Cifras recientes indican que hay aproximadamente 8.400 millones de dispositivos IoT en uso, y se espera que el número alcance más de 20 mil millones para 2020. Hoy en día, la IoT abarca un amplio paraguas tecnológico y su implementación se presenta en muchas formas. Entre ellos se destacan los casos de uso gestionados de la Internet industrial de las cosas (IIoT) y los casos de uso no gestionados de la Internet industrial de las cosas (CIoT).

Aunque el IIoT puede parecer tremendamente complejo, en realidad la gestión de la seguridad es algo que se puede lograr fácilmente. La clave aquí es una solución que controle el flujo de tráfico entre los dispositivos y las aplicação, garantizando el mejor servicio de su clase y asegurando la conformidad del protocolo.  También es crucial proteger las comunicaciones a través de criptografía (TLS) y servicios de seguridad con estado (vigilancia y protección contra vulnerabilidades).

Un desafío clave en la implementación de IIoT son las características cambiantes de las métricas de tráfico. Los dispositivos IIoT son masivos en número, las sesiones son largas (meses o incluso años) y el volumen de tráfico suele ser muy bajo. Terminar sesiones inactivas no siempre es una opción. De hecho, la naturaleza "siempre activa" de algunas aplicações puede generar una tormenta de tráfico dentro de la red.

Los dispositivos CIoT, que generalmente no están administrados, incluyen cosas como cámaras de CCTV, sistemas de altavoces inteligentes y dispositivos portátiles. Cuando uno está detrás de un CPE de un suscriptor de banda ancha móvil o de línea fija, puede resultar difícil identificar dichos dispositivos en la red, ya que las relaciones de comunicación no están claramente definidas.

El problema se acentúa por el hecho de que muchos dispositivos inteligentes están construidos sobre chips económicos que proporcionan la pila de protocolos de red y, ocasionalmente, una capa de aplicação . Los fabricantes a menudo evitan proporcionar parches y, a veces, incluso se desentienden de toda responsabilidad una vez que se envía el dispositivo. Esto puede causar perturbaciones importantes. Según el último informe de inteligencia sobre amenazas de F5 Labs, Europa ya es un foco de Thingbots, que se crean exclusivamente a partir de dispositivos IoT y se están convirtiendo rápidamente en el sistema de entrega de armas cibernéticas preferido por los ambiciosos atacantes que construyen redes de bots.

F5 Labs informó de 30,6 millones de ataques globales de Thingbot entre el 1 de enero y el 30 de junio de 2017 que aprovechan dispositivos que utilizan Telnet, un protocolo de red que proporciona una interfaz de línea de comandos para comunicarse con un dispositivo. Esto representa un aumento del 280% respecto al período del informe anterior, del 1 de julio al 31 de diciembre de 2016. Los proveedores de alojamiento representaron el 44% de las 50 principales direcciones IP atacantes, y el 56% provenía de fuentes de ISP/telecomunicaciones.

A pesar del aumento, las actividades de ataque no equivalen al tamaño de los principales culpables de Thingbot: Mirai y Persirai. El 93% de los ataques durante el período del informe de F5 ocurrieron en enero y febrero, y la actividad disminuyó de marzo a junio. Esto podría indicar que hay nuevos ataques en el horizonte a medida que los atacantes pasan de la fase de “reconocimiento” a la de “sólo construcción”.

Lamentablemente, seguiremos viendo la creación de Thingbots masivos hasta que los fabricantes de IoT se vean obligados a proteger estos dispositivos, retirar productos del mercado o ceder ante la presión de los compradores que simplemente se niegan a comprar dispositivos tan vulnerables.

En este contexto, los proveedores de servicios se enfrentan al desafío no sólo de identificar actividades de infección, sino también de mitigar los ataques DoS salientes.

Las reglas de firewall tradicionales de capa 3 y 4 ya no son de tanta ayuda. Hoy en día, es esencial realizar un análisis sólido del comportamiento del tráfico. De esta manera, los dispositivos de seguridad aprenden la línea base de la red “normal” a lo largo del tiempo. Una vez que se detecta una desviación, se inician una variedad de actividades. Estas podrían incluir la creación de una alerta, que activaría un proceso de mitigación manual después de la verificación humana, o la creación de una firma dinámica para las tecnologías de mitigación existentes para bloquear las anomalías detectadas.

Las redes de autodefensa son parte integral de la arquitectura de seguridad del futuro. Mientras tanto, las organizaciones responsables pueden hacer lo mejor que puedan para protegerse implementando una estrategia DDoS , garantizando redundancia para servicios críticos e implementando soluciones de credential stuffing . También es importante educar continuamente a los empleados sobre los peligros potenciales de los dispositivos IoT y cómo usarlos de forma segura.