Una fila de cámaras se encuentra entre los dispositivos conectados a Internet cuya seguridad ha sido evaluada por investigadores de Georgia Tech y la Universidad de Carolina del Norte. Crédito:Allison Carter, Georgia Tech
Si está buscando un abridor de puerta de garaje conectado a Internet, timbre de la puerta, termostato, cámara de seguridad, sistema de riego del patio, olla de cocción lenta, o incluso una caja de bombillas conectadas, un nuevo sitio web puede ayudarlo a comprender los problemas de seguridad que estos nuevos dispositivos brillantes pueden traer a su hogar.
Los dispositivos de Internet de las cosas (IoT) de nivel de consumidor no son exactamente conocidos por tener prácticas de seguridad estrictas. Para evitar que los compradores lo descubran por las malas, investigadores del Instituto de Tecnología de Georgia y la Universidad de Carolina del Norte en Chapel Hill han realizado evaluaciones de seguridad de dispositivos representativos, otorgando puntajes que van desde 28 (una F) hasta 100.
Su sitio, https://yourthings.info, muestra clasificaciones para 45 dispositivos, aunque se han evaluado un total de 74. Eso no es un resumen completo de las decenas de miles de tipos de dispositivos disponibles, pero la gran idea detrás del proyecto es ayudar a los consumidores a comprender los problemas importantes antes de conectar un nuevo asistente de IoT a sus redes domésticas.
"Muchas personas que compran estos dispositivos no comprenden completamente los riesgos asociados con su instalación en sus hogares, ", dijo el asistente de investigación graduado de Georgia Tech, Omar Alrawi. Queremos brindar información al proporcionar calificaciones de seguridad para los dispositivos que hemos probado".
Los asistentes digitales personales activados por voz se encuentran entre los dispositivos de IoT domésticos más comunes, pero si no se instala correctamente, pueden proporcionar acceso no deseado a las redes domésticas a las que están conectados, advirtió Manos Antonakakis, investigador de ciberseguridad y profesor asociado en la Escuela de Ingeniería Eléctrica e Informática de Georgia Tech.
"Si tiene una aplicación de IoT que es vulnerable, Quien tenga acceso a esa aplicación no solo tiene acceso a su información personal, pero también podría entrar en su casa y escuchar a escondidas sus conversaciones, ", dijo." Cualquier cosa que esté conectada en el hogar cerca del asistente personal también podría interactuar con él. Si hay software vulnerable ejecutándose en el dispositivo, podría explotarse dentro de la red doméstica ".
Un problema es que la mayoría de las redes domésticas se configuraron para tareas simples como compartir impresoras, por lo que carecen del tipo de controles de seguridad que se encuentran en los sistemas empresariales de las empresas, señaló Chaz Lever, ingeniero de investigación en la Escuela de Ingeniería Eléctrica e Informática de Georgia Tech.
"La red doméstica comienza a parecerse mucho a las redes empresariales con una variedad de servicios que deben protegerse, ", Dijo Lever." Pero el consumidor promedio no estará equipado para hacer eso. No tienen personal de TI que realice auditorías y proteja los dispositivos. Si estos dispositivos no están seguros desde el primer momento y no hay formas fáciles de protegerlos, pueden abrir el hogar a un nuevo vector de ataques ".
Para dar consejos útiles a los consumidores, los investigadores desarrollaron un marco para analizar los componentes de seguridad de los dispositivos. En lo que se cree que es el primer esfuerzo por evaluar objetivamente los riesgos de los equipos de IoT, examinaron los dispositivos ellos mismos, cómo se comunican los dispositivos con los servidores en la nube, las aplicaciones que se ejecutan en los dispositivos, y los puntos finales basados en la nube.
Página de inicio del sitio web de seguridad de Internet de las cosas desarrollado por investigadores de Georgia Tech y la Universidad de Carolina del Norte. Crédito:Georgia Tech
"Cuantos más servicios se ejecuten en el dispositivo, cuanto mayor sea la probabilidad de que algunos de ellos sean vulnerables a los ataques, ", Dijo Antonakakis." Proporcionar muchos servicios puede ser atractivo desde una perspectiva de marketing, pero si tienes varios servicios, el riesgo aumenta ".
En su estudio de los dispositivos de IoT, los investigadores encontraron amplias variaciones en la seguridad según el fabricante. En algunos casos, Los equipos fabricados por empresas pequeñas y menos conocidas funcionaron mejor que los dispositivos fabricados por empresas más grandes.
"Hay algunos dispositivos que funcionan muy bien con la seguridad, y otros fabricantes deberían aprender de esos dispositivos ejemplares, ", Dijo Alrawi." Vimos el espectro completo de lo bueno y lo malo, ya veces nos sorprendieron los resultados de nuestra evaluación ".
Debido a que están diseñados para ser instalados por los consumidores, estos dispositivos de IoT deben ser fáciles de usar. Sin embargo, a veces, la facilidad de uso es enemiga de la seguridad. Un ejemplo es un servicio conocido como UPnP, que da a conocer los dispositivos a la red durante la instalación para que se puedan establecer las comunicaciones.
Pero un dispositivo que se anuncia a sí mismo en la red puede atraer a atacantes, Lever notó. "Es útil que los dispositivos comuniquen lo que hacen, pero eso abre vulnerabilidades. La elección de protocolos afecta no solo al dispositivo, sino también la seguridad de la red en la que se ejecuta ".
Los investigadores de Georgia Tech, Chaz Lever, Manos Antonakakis y Omar Alrawi se muestran con una colección de dispositivos conectados a Internet que han evaluado en su laboratorio. Crédito:Allison Carter, Georgia Tech
Es poco probable que las bombillas conectadas a Internet tengan una vida útil prolongada, pero ese no es el caso de aparatos costosos como refrigeradores conectados a Internet. A Antonakakis le preocupa que estos dispositivos puedan convertirse en riesgos de seguridad sin actualizaciones periódicas.
"Idealmente, el consumidor no debería tener que ser consciente de que su frigorífico necesita actualizaciones que deben descargarse en el dispositivo, ", dijo." Queremos que eso suceda de forma automática y segura. ¿Por qué debería alguien saber cómo reparar su refrigerador? "
Si bien la idea de piratear una olla de cocción lenta puede parecer divertida, los dispositivos tienen elementos calefactores que podrían provocar un incendio si un actor malintencionado aumentara la temperatura. Los ataques también pueden afectar a más personas que a un propietario. En 2016, La botnet Mirai aprovechó las cámaras conectadas a Internet no seguras, muchas de ellas monitores para bebés, para crear un ataque masivo distribuido de denegación de servicio que dejó gran parte de Internet indisponible.
Más allá de educar a los consumidores, los investigadores esperan fomentar una mayor seguridad por parte de los fabricantes de dispositivos mediante el seguimiento de las tendencias de seguridad a lo largo del tiempo.
"Esperamos inspirar los próximos pasos técnicos y políticos, ", dijo Antonakakis." Es necesario establecer políticas y estándares. Queremos elevar el nivel de seguridad de todos estos dispositivos. Hay mucho más por hacer ".