Internet se está convirtiendo en una red de “cosas” en lugar de una red de computadoras tradicionales. Estas “cosas” pueden ser desde teléfonos inteligentes y tablets hasta dispositivos que controlan sistemas HVAC para el router que proporciona internet inalámbrico en su hogar. A esta subclase de “cosas” se la llaman dispositivos integrados, y son cada vez más populares entre las empresas de todos los tamaños.
Los sistemas integrados son pequeñas computadoras que existen para realizar una tarea específica. Pueden controlar estaciones meteorológicas o ejecutar sistemas onboard en su auto. Las empresas pueden utilizarlos para controlar las luces o el calor en sus edificios de oficinas, y algunos incluso lo utilizan para el control de las cerraduras de las puertas.
Aunque estos dispositivos integrados aportan comodidad y flexibilidad a los dueños de negocios y empleados, también pueden traer una variedad de problemas de seguridad. Cómo hacker ético en Trustwave, una empresa de tecnología y servicios de seguridad de la información, a menudo me contratan para llevar a cabo pruebas de penetración en las redes y las aplicaciones de las empresas. Las pruebas de penetración, también conocido como hacker ético, ayuda a los líderes empresariales a identificar y remediar las vulnerabilidades de seguridad de sus redes, aplicaciones y bases de datos antes de que los delincuentes puedas explotarlos. Cuando realizo una prueba, uso las mismas tácticas que un criminal real usaría para que la empresa sepa exactamente lo que tiene que arreglar.
A principios de 2013, un negocio de la industria del petróleo y el gas me contrató para llevar a cabo una prueba de penetración en su red. El test incluyó la revisión de un dispositivo integrado que mide el nivel de combustible en los tanques subterráneos de estaciones de servicio. Para lograr esta tarea, el dispositivo tiene que estar conectado a la red por lo que el proveedor de combustible puede comprobar los niveles de los tanques. Durante la prueba, me encontré con una serie de vulnerabilidades no documentadas que me permitieron comprometer el control del combustible en sólo noventa minutos. El dispositivo en sí sirvió como punto de partida para mi ataque, una vez que había comprometido el dispositivo, gané acceso a la red de la empresa y todos los equipos conectados a él. A partir de ahí, habría sido trivial obtener datos confidenciales almacenados en los servidores de la compañía, incluyendo datos de tarjetas de crédito, números de seguridad social, de propiedad intelectual y otra información de las personas.
Dado que los dispositivos incrustados no son considerados tradicionalmente como las computadoras, y suelen ser pasados por alto cuando se trata de seguridad dejando una puerta abierta para los cibercriminales que buscan robar información. Entonces, ¿qué se puede hacer para proteger su red?.
1. Instale un firewall y limite el acceso. Tratar a todos los dispositivos integrados (o cualquier cosa conectada a la red en este caso) como un posible punto de entrada para el atacante. En términos generales, sólo los usuarios autorizados deben ser capaces de conectarse a los sistemas integrados. Si la totalidad de internet no necesita acceso a ella, asegúrese de limitar el acceso mediante un servidor de seguridad.
2. Acceso remoto seguro. Implementar tecnología de seguridad que controla quién tiene acceso a la red y sólo se permite el acceso a usuarios específicos. También debe utilizar la autenticación de dos factores cuando los usuarios se conectan a la red.
3. Garantice que los dispositivos sean testeados por fallas de seguridad. Muchas empresas pasan por alto dispositivos integrados en la búsqueda cuando realizan pruebas de penetración en sus redes, bases de datos y aplicaciones. Hacer pruebas en estos dispositivos es esencial para ayudar a las empresas a encontrar y corregir los fallos de seguridad antes de que sea demasiado tarde.
4. Manténgase al día con los parches y actualizaciones del proveedor. Esté en contacto con el desarrollador de dispositivos integrados y asegúrese de mantenerse al día con los parches de seguridad. Una vez que un nuevo parche de seguridad sale para su dispositivo, asegúrese de instalarlo.
5. Asegúrese de que las contraseñas predeterminadas se modifiquen. A menudo los dispositivos incorporados vienen con nombres de usuario y contraseñas conocidas públicamente. Estos se colocan en la fábrica y se proveen para que pueda iniciar sesión en el dispositivo y cambiar la configuración. Asegúrese de que todas las cuentas predeterminadas se modifiquen antes de que el dispositivo esté conectado a la red. Además, asegúrese de usar contraseñas seguras, que incluyen una combinación de letras y números, y de por lo menos ocho caracteres. Las palabras de paso son la mejor opción con una combinación de letras mayúsculas y minúsculas, como “mydogisnamedbuck.”
6. Utilice un equipo externo de expertos en seguridad. Gestión de redes y monitoreo pueden ser complejos y requerir mucho tiempo, considere aumentar su personal mediante la asociación con un proveedor de servicios de gestión de seguridad que pueda instalar, ajustar y administrar sus controles y políticas de seguridad.
Por Nathan Drier, hacker ético y Senior Security Consultant de Trustwave
Ilustración: Imagen de fondo Nixx Photography © Shutterstock.com y Nathan Drier