Ataques a dispositivos domésticos de IoT para acceder a las empresas

Cada vez disponemos en nuestras casas de más dispositivos inteligentes, que son susceptibles de ser atacados por los ciberdelincuentes

Este interés en acceder a los dispositivos de los particulares parece estar motivado por el hecho del aumento del trabajo remoto con lo que, de una forma indirecta, pueden llegar a acceder a los sistemas empresariales, que son su verdadero objetivo de negocio.

La casa moderna está repleta de innumerables dispositivos de Internet de las cosas: relojes, altavoces, cámaras, comederos para mascotas, timbres, etc. Si bien estos productos nos ofrecen una serie de comodidades, desde el punto de vista de la vulnerabilidad de seguridad, son nuevos puntos de entrada a nuestra red.

¿Cuáles son los riesgos de seguridad de IoT?

Si un dispositivo que usa está conectado a Internet, la posibilidad de una vigilancia no detectada es más alta, con el consiguiente riesgo de vulneración de la privacidad y la seguridad, éstas han sido preocupaciones constantes para consumidores y empresas.

¿Qué pasa con la privacidad y el Internet de las Cosas?

Con todos esos sensores que recopilan datos sobre todo lo que hacemos, IoT es un gran dolor de cabeza para nuestra privacidad y seguridad.

Nadie quiere que se comparta su información personal sin permiso; sin embargo, cuando un cliente suscribe una aplicación o comparte sus datos con el fabricante de su reloj inteligente, se recopilan y analizan datos personales.

Es posibles obtener un patrón de nuestra actividad diaria a través de los dispositivos, por ejemplo:

• Cuándo te levantas por el despertador del móvil o del reloj inteligente, si inmediatamente tomas café (a través de la cafetera inteligente)
• El tipo de comida que comes (según los datos de tu horno o tu nevera inteligentes)
• Cuántas discusiones y sobre qué temas se producen en casa (según la información de los altavoces inteligentes)
• Qué lugares has visitado a lo largo del día (según la geolocalización de los dispositivos que llevas)

Si bien las empresas ganarán dinero vendiéndole el objeto inteligente en primer lugar, su modelo de negocio de IoT probablemente también implique vender al menos algunos de esos datos, sobre todo cuando te ofrecen servicios de valor añadido sin coste.

Obviamente, no todas las empresas de hogares inteligentes construyen su modelo de negocio en torno a la recolección y venta de sus datos.

Recordemos, también, la potencia de combinar los datos de IoT para crear una imagen sorprendentemente detallada de nosotros. Es muy fácil averiguar mucho sobre una persona a partir de unas pocas lecturas de sensores diferentes.

El IoT cierra la brecha entre el mundo digital y el mundo físico, lo que significa que la piratería de dispositivos puede tener consecuencias peligrosas en el mundo real.

¿Cómo puede afectar la IoT de “uso particular” en la empresa?

Durante el último año y medio, cuando la Covid-19 cambió drásticamente nuestra forma de vida y la forma de trabajar, muchos equipos remotos han confiado en las conexiones VPN en su día a día.

Estas puertas de enlace resultaron muy interesantes para los atacantes puesto que podían realizar ataques de denegación de servicio, DDoS (sus siglas en inglés) de forma que pudieran interrumpir los flujos de trabajo de la empresa y obtener acceso a las redes de la empresa a través de enlaces VPN mal configurados o inseguros.

El coste / esfuerzo que supone infectar dispositivos IoT, hace que los ciberdelincuentes encuentren una motivación suficiente para hacerlo.

Otra vía de acceso a los usuarios finales, con un coste muy barato, es el envío masivo de correos no deseados con el objetivo de bien de realizar una suplantación de identidad o bien ataques dirigidos para “secuestrar” nuestra información y la de nuestra empresa.

En Tritón somos consultores de tecnología y ayudamos a las compañías en materia de ciberseguridad, para poder tner actualizadas sus politicas y evitar ataques maliciosos tanto desde el exterior como desde el interior de la organización.