Por qué el 98% del tráfico de IoT no está cifrado

El 98 por ciento del tráfico de IoT no está cifrado. Cuando leí esa estadística, publicada por Palo Alto Networks en su informe Unit 42 2020 Threat, debería haberme sorprendido, dice Mike Nelson, vicepresidente de seguridad de IoT en DigiCert . .

El año pasado, un Z-Scaler El informe decía algo similar:que el 91% del tráfico de IoT no estaba encriptado. Si bien es posible que esos números no sean realmente representativos del problema real, una cosa es segura:demasiado tráfico de IoT no está encriptado cuando absolutamente todo debería estarlo.

El tráfico de IoT sin cifrar significa más obviamente que los atacantes pueden realizar ataques Man in The Middle (MiTM). Al acceder a ese flujo de datos sin cifrar, los atacantes pueden meterse entre los dispositivos, o entre el dispositivo y la red más grande, y robar o alterar los datos.

Las fallas de la seguridad de IoT están bien documentadas. Los dispositivos conectados a menudo son lanzados rápidamente al mercado por fabricantes que cometen errores de seguridad dolorosamente obvios, pero en su mayoría fácilmente prevenibles, en el proceso de diseño. Luego son comprados con entusiasmo por empresas que a menudo no toman en cuenta esas fallas y se implementan en redes que de otro modo serían seguras. A partir de ahí, los atacantes los descubren a través de una búsqueda simple y encuentran un punto de fuga fácil en una empresa.

Y, sin embargo, sea cual sea el estado de su seguridad, el IoT está creciendo vorazmente. McKinsey estima que habrá 43 mil millones de dispositivos IoT conectados a Internet para el 2023. Si continúan las tendencias actuales, y el 98 por ciento del tráfico de IoT no está encriptado, será un frenesí para los ciberdelincuentes.

A menudo, cuando las personas piensan en un truco de IoT (piensan en una muñeca o un timbre vulnerable), los ataques que aprovechan la funcionalidad de un dispositivo son interesantes pero, en última instancia, efectistas. Las amenazas reales son mucho menos coloridas. Las implementaciones de IoT empresarial a menudo se componen de cientos, si no miles, de dispositivos individuales; si solo uno de esos dispositivos quedara expuesto, podría proporcionar un punto de fuga fácil en una red que de otro modo sería segura.

Uno puede ver un ejemplo de este tipo en una infracción de IoT ahora infame en Las Vegas. En 2017, los piratas informáticos utilizaron una pecera para llevar a cabo un atraco en un casino. La pecera en cuestión estaba conectada a Internet a través de un sensor que permitía a sus operadores operar y controlar la pecera de forma remota. Sin embargo, poco después de su instalación, el personal de seguridad notó que la pecera enviaba datos a un servidor remoto en Finlandia. Una investigación adicional reveló una violación masiva:los piratas informáticos habían utilizado esa pecera para extraer 10 gigabytes de datos de la base de datos de grandes apostadores del casino.

El truco reveló tres puntos apremiantes. En primer lugar, que la información robada no estaba cifrada en el sistema del casino y estaba disponible para que los atacantes simplemente la recogieran. En segundo lugar, el casino no tenía suficientes controles de autenticación y acceso para evitar que los atacantes pasaran de ese dispositivo de IoT a parte de la información más confidencial que tenían. Finalmente, esa pecera estaba conectada a la red más amplia del casino, y al explotar las debilidades de ese producto, podían conectarse y robar una gran cantidad de datos confidenciales.

Las consecuencias de tales ataques pueden variar desde la filtración de datos financieros o de clientes hasta ataques a la infraestructura crítica. Piense en el daño causado por cortes de energía a gran escala, apagones de Internet, el cierre de los sistemas de salud en todo el país y el acceso a cuidados críticos. La lista continúa.

Conseguir el 100% de cifrado

IoT o no IoT:todos los datos confidenciales deben estar cifrados. Todo:cualquier valor superior al 0 por ciento es inaceptable. Es posible que pueda hacer pequeñas concesiones por errores aquí y allá, pero cualquier dato que no esté encriptado es susceptible de verse comprometido.

Lo que no quiere decir que no tenga sus propios desafíos. La naturaleza de los datos modernos es que se mueven constantemente, desde el centro hasta la puerta de enlace, la puerta de enlace a la nube y más allá. Eso hace que las cosas sean más complejas, ya que los datos deben cifrarse tanto en reposo como en vuelo.

Eso es especialmente cierto con las redes de IoT empresariales, que comúnmente se construyen con una serie de diferentes puntos finales, sensores y dispositivos que envían datos constantemente entre sus diferentes partes. Una grieta en esa red puede dejar entrar a un atacante, lo que la convierte no solo en un área particularmente sensible, sino en una que es particularmente crítica de arreglar.

Las Infraestructuras de Clave Pública (PKI) con certificados digitales están comenzando a resolver ese problema. Debido a que PKI puede proporcionar autenticación mutua entre los diversos nodos de redes grandes y cifrar el flujo de datos en todas partes, a una escala enorme adecuada para IoT, las empresas están comenzando a aprovecharlo como una forma de asegurar sus grandes implementaciones de IoT.

Aunque la industria está progresando y las empresas líderes, los profesionales y los reguladores están tomando medidas para trabajar juntos y mejorar la postura de seguridad de estos dispositivos, todavía nos queda un largo camino por recorrer. Necesitamos más fabricantes para priorizar la seguridad e implementar las mejores prácticas (cifrado, autenticación e integridad, por nombrar algunos) y la implementación no puede ser incremental. Eso no será suficiente.

El cifrado a escala es lo que las empresas necesitan para proteger el tráfico de IoT. Los fabricantes líderes están tomando nota e implementando PKI. Esperemos que el resto se ponga al día. Y pronto.

El autor es Mike Nelson, vicepresidente de seguridad de IoT en DigiCert .

Acerca del autor

Mike Nelson es vicepresidente de seguridad de IoT en DigiCert, un proveedor de seguridad digital. En este puesto, Mike supervisa el desarrollo de mercado estratégico de la empresa para las diversas industrias de infraestructura crítica que aseguran redes altamente sensibles y dispositivos de Internet de las cosas (IoT), incluida la atención médica, el transporte, las operaciones industriales y las implementaciones de redes inteligentes y ciudades inteligentes.

Mike consulta con frecuencia con organizaciones, contribuye con informes de los medios, participa en organismos de estándares de la industria y habla en conferencias de la industria sobre cómo se puede usar la tecnología para mejorar la seguridad cibernética de los sistemas críticos y las personas que dependen de ellos.

Mike ha desarrollado su carrera en TI para el cuidado de la salud, incluido el tiempo en el Departamento de Salud y Servicios Humanos de EE. UU., GE Healthcare y Leavitt Partners, una firma de consultoría de atención médica boutique. La pasión de Mike por la industria proviene de su experiencia personal como diabético tipo 1 y su uso de la tecnología conectada en su tratamiento.