Vida Digital | Artículos | 11 ENE 2015

Principales amenazas para drones, coches conectados, aplicaciones y wearables

El Internet de las cosas (loT, the internet of Things) es una masa de miles de millones de dispositivos conectados, desde coches, a productos inalámbricos, mucho de los cuales llevamos puestos. La cifra de dispositivos conectados a lo largo de este año 2015 alcanzará los 25.000 millones por lo que las compañías deben trabajar a fondo la seguridad del usuario.

Compartir

Drone Phantom
Redacción

A la luz de este mercado emergente, hemos investigado en la redacción en cinco categorías diferentes de dispositivos conectados que suponen un elevado riesgo de seguridad para los usuarios. Conviene estar al tanto de las amenazas y peligros potenciales que suponen, tanto para gobiernos como organizaciones de cualquier tipo. Los usuarios de los dispositivos, como toda la vida a sucedido con el uso de los ordenadores PC, serán el blanco perfecto para los atacantes y malhechores que busquen romper las brechas de seguridad en este entorno de Internet de las Cosas.

 

CarPlay y Google Car en vehículos conectados

 

Este año en CES hemos podido comprobar como los vehículos conectados han desplazado a los grandes protagonistas de otros años, que no dejan de ser los smartphone. Las principales marcas como  Ford y GM han anunciado sus diferentes apuestas de In-Car WiFi, y convertirán sus vehículos en puntos de acceso móviles donde los pasajeros podrán conectar sus smartphones, tabletas y otros dispositivos a Internet, comenta John Pescatore, director de tendencias emergentes en el Instituto SANS.

 

 

Pero In-Car WiFi tiene las mismas vulnerabilidades y problemas de seguridad que los puntos de acceso WiFi tradicionales. Sin firewalls e instalaciones WiFi para pequeñas empresas, los dispositivos y datos usados en el vehículo podrían estar en peligro. Una vez dentro de la red, un atacante podría engañar al coche, explica Pescatore. Este es un ejemplo. Solo la imaginación puede limitar la clase de ataques que serían posibles en el momento en el que un hacker consiga acceso a la WiFi de un vehículo, a los dispositivos de sus pasajeros y a la identidad del coche (a través de spoofing).

 

Los departamentos de TI de las empresas deberían preocuparse por estas vulnerabilidades, dado que los hackers pueden utilizar estos ataques para acceder a información de la empresa”, afirma Jerry Irvine, CIO de Prescient Solutions.

 

Aplicaciones mHealth, HomeKit y dispositivos de salud

 

“El mercado de los dispositivos inalámbricos wearable utilizados en el campo del deporte, fitness y salud o mHealth (mobile health) ha superado todas las espectativas previstas por las consultoras. Jonathan Collins, analista jefe de ABI Research, comenta que ya en 2014 hemos podido ver como los hackers aumentaron sus ataques a dispositivos médicos móviles que corren con Windows, como los marcapasos, añade Rodney Joffe, experto en tecnología de Nuestar. Los fabricantes tradicionales utilizan sistemas embebidos propietarios que son difíciles de hackear debido a su código fuente cerrado y sus restricciones. Pero los fabricantes de dispositivos no tradicionales a menudo utilizan Windows.

 

 

“Windows es muy popular entre estos dispositivos porque es barato, está en todas partes y es muy conocido entre los programadores”, explica Joffe, quien también afirma que a diferencia de los sistemas Windows de sobremesa, no hay mecanismos para instalar parches para los Windows instalados en estos dispositivos. Cuantos más de estos dispositivos estén conectados a Internet a través de frecuencias inalámbricas como WiFi, más virus se extenderán entre ellos.

 

Los CSO deberían preocuparse por el acceso remoto a estos dispositivos porque son un objetivo potencial de ataques maliciosos a los empleados, fugas de información relacionada con la salud y ataques a altos ejecutivos para influir o controlar la estabilidad financiera de la empresa, concluye Irvine.

 

Dispositivos wearables y Google Glass

 

El mercado global de tecnología wearable, la cual representaba en 2013 una cifra de 4.600 millones de dólares, según datos de Visiongain y LTD,  ha continuado su ascenso vertiginoso. En este mercado, dispositivos como las Google Glass son los mejores objetivos para un ataque porque se conectan automáticamente a Internet para llevar a cabo cualquier consulta. Además, incluyen muy pocas (si alguna) soluciones de seguridad.

 

 

Hackear las Google Glass puede ofrecer a los atacantes información corporativa confidencial y datos de propiedad intelectual. Una empresa podría desconocer qué clases de datos o cuántos absorbe un usuario utilizando Google Glass a medida que se mueve por las oficinas y otros entornos de la empresa. Un hacker podría copiar todo ese audio y vídeo. De este modo, “todas las organizaciones deberían definir políticas para los dispositivos wearable que limiten dónde pueden utilizarse, cuándo y cuál es su uso aceptable”, añade Irvine.

 

Monitorización y control M2M en paquetería

 

A partir de 2015, las tecnologías de gestión de inventarios incluirán cada vez más transmisores de datos 3G en sus paquetes. Estos transmisores se conectan a internet y, según comenta Pescatore, harán que esas aplicaciones sean vulnerables a ataques desde la red. “Estos dispositivos rudimentarios permiten la detección, recuperación de información estadística, gestión remota y muy poco más”, añade Irvine. Existen muy pocas soluciones de seguridad para proteger estos dispositivos o limitar su espionaje.

 

 

El propósito de los nuevos transmisores 3G es reportar su posición de forma constante y en tiempo real. Pero los hackers que normalmente bombardearían un sitio web con ataques DoS podrían cambiar de estrategia interceptando estos transmisores y diciéndole a los servidores que WalMart, por ejemplo, está agotando de forma continua sus existencias de balones de fútbol y provocar la llegada masiva de nuevos productos a su tiendas, continúa diciendo Pescatore. “Estos hackers u otros oportunistas podrían influir en las acciones de Kellogg’s por ejemplo aumentando o disminuyendo su producción de Corn Flakes”, concluye Pescatore. Las empresas deben configurar de forma segura estos sistemas de control de inventario y tecnologías M2M y segmentarlas en frecuencias encriptadas, seguras e inaccesibles. Y esto no sucede hoy en día.”Yo puedo ir con un escáner de frecuencias y ver qué comunicaciones encuentro. Una vez detectadas, puedo ver cuál es su frecuencia y señal. Y una tenga esto puedo afectar a sus comunicaciones”, explica Irvine.

 

La realidad de los Drones

 

En febrero de 2012, el Congreso de los Estados Unidos estableció la “FAA Modernization and Reform Act” con abundantes provisiones para los dones con la confianza general de que la FAA aceleraría la inclusión de drones/vehículos aéreos no tripulados en el sistema aéreo nacional en un plazo de tres años (para 2015). Como ya adelantaba Erik Cabetas, socio administrativo de Include Security, los drones ya se han hecho realidad en infinidad de países. Los CSO deberían comenzar a planificar medidas para garantizar la seguridad de los drones desde ya. 

“Dado que los drones dependen de señales de telemetría vulnerables, los atacantes podrían debilitarlos usando cualquiera de los ataques clásicos tipo buffer overruns, cadenas de formato, inyecciones SQL y bypasses de auténticación sobre su firmware”, explica Cabetas.

 

 

Ya existen ejemplos de ataques con éxito a drones. Años atrás, insurgentes de oriente medio interceptaron señales del drone Predator por culpa de un fallo en el uso de protocolos seguros, comenta Cabetas. Y esto permitió que pudiesen espiar lo que los Predators estaban espiando interceptando sus transmisiones áreas. Sin protocolos seguros sería posible realizar ataques similares en vehículos aéreos no tripulados domésticos. Cabetas afirma que "utilizando una única vulnerabilidad en el homogéneo Firmware de los drones, un atacante podría llenar el cielo de dispositivos voladores dispuestos a seguir sus instrucciones".

 

Ya hemos visto como pueden ser utilizados para infinidad de soluciones, como pueda ser la toma de fotografías de alta resolución y vídeos a través de ventanas (descubriendo contraseñas apuntadas en post-its y otros tipos de datos sensibles). Ya son capaces de incorporar micrófonos de alta fidelidad para escuchar conversaciones desde el exterior de habitaciones específicas (como salas de reuniones o el despacho del CEO)”, asegura Cabetas. 

Es necesario mantener activa la investigación de medidas de seguridad física adecuadas para ataques de drones, al tiempo que se exigen protocolos de seguridad para cualquier vínculo aéreo no tripulado que utilicen.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información