Trampas de seguridad: Dispositivos IoT antiguos y olvidados en uso industrial. Las vulnerabilidades de hace siete años siguen vigentes y sin parches. Un comentario del experto en seguridad Thomas Uhlemann, ESET.
El Internet de las cosas (IoT) se ha establecido durante mucho tiempo en la industria alemana. Según una encuesta de Statista, dos tercios de todas las empresas encuestadas ya utilizan aplicaciones de Industria 4.0. Pero los operadores no parecen tomarse tan en serio la seguridad informática de los dispositivos: el experto en seguridad Thomas Uhlemann no tiene otra explicación para el hecho de que los piratas informáticos tengan éxito al explotar brechas de seguridad que se conocen desde hace siete años o más. De hecho, las 10 principales vulnerabilidades de ESET para dispositivos IoT son todas filtraciones de 2015-2012.
Sin parchear: fugas antiguas en IoT
“El Internet de las Cosas ofrece a las empresas nuevas posibilidades inimaginables. Pero si no corrige las vulnerabilidades conocidas durante años, corre el riesgo de perder más de lo que quisiera", dice Uhlemann, especialista en seguridad de ESET Alemania. “Además de eso, los veteranos de TI obsoletos como Fritz!Fax todavía están en uso, presumiblemente sin parchear. Solo en Alemania, más de 3 millones todavía se usan activamente”.
Pero la protección de los dispositivos a menudo deja mucho que desear. Se puede acceder a su acceso a través de una combinación de nombre de usuario y contraseña; no hay rastro de la autenticación multifactor moderna. Se vuelve realmente preocupante cuando te encuentras con quién es quién de las peores autenticaciones aquí:
“Con los éxitos actuales de los ataques de piratas informáticos en todo el mundo, la seguridad de confianza cero debe estar a la orden del día. Es por eso que todas las vulnerabilidades deben cerrarse con urgencia, especialmente aquellas en los dispositivos IoT”, recomienda Thomas Uhlemann.
Grupos de errores especiales
Básicamente, el experto ve cuatro grupos de errores graves que hacen tan problemático el uso del Internet de las Cosas:
- Problemas de seguridad ya en el diseño de los dispositivos IoT
- Operación o instalación incorrecta por parte de humanos.
- Uso de aplicaciones cuestionables en términos de seguridad y ley de protección de datos
- Transferencias de datos no deseadas o desapercibidas desde el dispositivo a Internet
“Además de las posibles filtraciones de seguridad, muchos dispositivos IoT industriales se vuelven peligrosos con el tiempo. Porque su vida útil está diseñada para años o décadas, y lamentablemente suceden muchas cosas en términos de seguridad. En este sentido, cada empresa debe pensar cuidadosamente si y cómo conectar estos dispositivos a Internet en la red activa”, dice el experto en TI. Su ejemplo favorito de esto es la cámara web ampliamente utilizada. Aunque esto no se usa en operaciones productivas a gran escala, es un símbolo de dispositivos con una larga vida útil. Muchos todavía transmiten videos en vivo de la empresa a Internet, tal vez incluso lo olvidaron. Al hacer clic en él, a menudo lo lleva a la interfaz de administración de las cámaras. Incluso si no desea iniciar sesión, el atacante obtiene información valiosa, como la dirección IP pública o si se encuentra la cámara y en qué segmento de la red.
Los dispositivos olvidados son un riesgo para la seguridad
En resumen: los dispositivos olvidados o no incluidos en el inventario representan un gran riesgo para la seguridad. Por cierto, esto sucede muy a menudo cuando se cancelan proyectos o se venden empresas. Luego, este equipo retrocede a un segundo plano y solo más tarde se convierte en una bomba de seguridad.
Las empresas deben considerar esto cuando se trata de dispositivos IoT:
- Usar software de inventario
- Usar segmentos de red
- Usar acceso seguro
- Los sensores, actuadores y similares son tan importantes como los servidores y las PC.
- Actualizar, actualizar, actualizar
- Seguridad en el diseño
- Usar software de protección adicional
En el blog de seguridad, el experto también describe qué peligros aún acechan, de qué deben ser conscientes las empresas y cómo pueden ayudarse a sí mismas.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.