Auditoría de seguridad IoT
En las auditorías de seguridad IoT, el equipo de expertos de Tarlogic trata de identificar posibles fallos de seguridad en todo tipo de dispositivos conectados mediante cualquier tipo de tecnología: NFC, ZigBee, Bluetooth, WiFi…
Complete el formulario y le llamamos
Objetivos de la auditoría de seguridad IoT
En los últimos años la cantidad de dispositivos conectados que existen se ha incrementado exponencialmente; desde dispositivos que procesan datos de salud como relojes, básculas o pulseras, hasta dispositivos que están directamente implicados en la seguridad de nuestros hogares, tales como sistemas de apertura automática de persianas o cerraduras electrónicas.
La generalización de este tipo de dispositivos presenta un importante aumento de superficie expuesta a actores maliciosos, tanto para la empresa que los gestiona como para los usuarios que los utilizan a diario.
Para evaluar el estado de seguridad de estas tecnologías se modelan los ataques dependiendo de la naturaleza del dispositivo y los datos gestionados por él.
El resultado de este esfuerzo en materia de auditoría de seguridad IoT permitirá al cliente conocer el estado de seguridad en el que se encuentra su infraestructura, incluyendo posibles soluciones a los problemas encontrados.
Beneficios de la auditoría de seguridad IoT
Los beneficios que nuestros clientes obtienen mediante la ejecución de este tipo de pruebas son:
-
Conocer potenciales problemas en el dispositivo, incluyendo vulnerabilidades en componentes del sistema operativo embebido que ejecute.
-
Estudio de posibles fallos de seguridad en el flujo de datos del dispositivo, tanto en conexiones locales a través de redes de corto alcance, como en su procesamiento posterior en servidores de la compañía si los hubiese, así como sus posibles soluciones tanto a nivel técnico como de diseño.
-
Análisis de las posibles implicaciones de seguridad derivadas de la arquitectura y tecnologías usadas por el entramado IoT.
-
Identificación de debilidades en el dispositivo físico mediante pruebas de hardware hacking y análisis del firmware del dispositivo con pruebas de ingeniería inversa.
Descripción general del análisis de seguridad IOT
En las auditorías de seguridad de dispositivos IoT se analizan habitualmente todas las superficies expuestas en la infraestructura que gestiona al dispositivo, incluyendo servicios de backend, conexiones inalámbricas con el dispositivo y puertos expuestos por el propio dispositivo.
Las redes de corto alcance como NFC, Bluetooth o ZigBee habitualmente requieren equipamiento especializado para ser auditadas, hecho que junto a la propia naturaleza de las redes fomenta que la seguridad no se refuerce con tanto ímpetu como otras redes más conocidas. El equipo de Tarlogic cuenta con herramientas y conocimiento para auditar la seguridad de este tipo de redes.
El segundo paso de estas auditorías suele ser la búsqueda de vulnerabilidades de los servicios de backend que sustentan la infraestructura; habitualmente son muy similares a otros servicios web. Es especialmente importante prestar atención a la naturaleza de los datos, especialmente si los dispositivos trabajan con información crítica.
Por último también se suele estudiar los puertos expuestos por los dispositivos por si existiese algún tipo de conexión de debug.
Preguntas frecuentes sobre auditoría de seguridad IoT
¿Qué es la seguridad de IoT?
La seguridad en el “Internet de las Cosas” son el conjunto de mecanismos software y hardware que se utilizan para mantener los requisitos de seguridad (disponibilidad, integridad y confidencialidad) de la información transmitida en la red IoT en estudio.
En resumen, la evaluación de la seguridad en IoT identifica amenazas y vulnerabilidades en estos dispositivos y las redes a las que se conectan con el objetivo de evitar accesos no autorizados, manipulación de datos u otros tipos de ataque.
¿Cómo se mantiene la seguridad de los dispositivos IoT?
La seguridad para IoT se centra en tres aspectos fundamentales:
- La conservación de la integridad de la información contenida en los dispositivos y transmitida a través de las redes que los interconectan.
- La confidencialidad de esta información, que toma especial relevancia cuando estos datos se exponen a servicios remotos en internet.
- La disponibilidad de estos dispositivos y datos cuando se necesitan.
El mantenimiento de un buen nivel de seguridad en dispositivos IoT requiere, previamente a la implantación, un análisis de seguridad del hardware y firmware para asegurar que los mecanismos y sistemas de protección internos del dispositivo son adecuados. Posteriormente se deben de realizar pruebas de garantía de la seguridad de la información tanto en las redes domésticas donde los sensores se interconectan como en los mecanismos de comunicación con servidores en internet.
¿Cuáles son los factores que afectan la seguridad de la red loT?
La seguridad de las redes IoT se ven afectadas por múltiples factores, de entre los cuales, se pueden destacar los siguientes:
- La limitada capacidad de computación de los dispositivos no permite la utilización de medios tradicionales para la detección y eliminación de malware en tiempo real. Esto se traduce en la necesidad de una seguridad proactiva que complica la fase de diseño.
- La lucha por mantener los costes a raya para lograr precios competitivos en un mercado basado en el volumen. Esta reducción de costes puede afectar al diseño y a la planificación de la seguridad de los dispositivos, que es crítica por sus limitaciones de computación.
- Una excesiva exposición de todo tipo de dispositivos a nuestras redes cotidianas es el factor perfecto para aumentar la superficie de ataque disponible.
La combinación de estos factores convierte al segmento IoT en un objetivo clave para la seguridad de las redes de información.
¿Cuáles son las amenazas para la seguridad en el loT?
Los dispositivos IoT se ven afectados por amenazas similares a otros elementos de una red de ordenadores, pero a ellas se añaden otras amenazas propias de este tipo de dispositivos. Debido al pequeño tamaño y coste de los dispositivos IoT, así como a su adopción masiva, estos exponen una superficie de ataque mayor. En el proyecto OWASP se puede encontrar una lista con las mayores vulnerabilidades a dispositivos IoT, como por ejemplo:
- Contraseñas inseguras o fijas
- Servicios de red inseguros
- Interfaces de interconexión inseguras
- Falta de un mecanismo de actualización seguro
- Uso de componentes inseguros o desactualizados
- Protección a la privacidad insuficiente
- Transmisión y almacenamiento de datos de forma insegura
- Falta de una gestión centralizada de dispositivos
- Configuración base insegura
- Falta de seguridad física
La arquitectura y ubicación de los dispositivos IoT también crea riesgos específicos de estos sistemas:
- Botnets IoT: Se puede combinar la capacidad de procesamiento de un conjunto de dispositivos para llevar a cabo tareas maliciosas.
- Ataques de ransomware: Los dispositivos pueden servir como puerta de entrada a redes corporativas con las que instalar malware e iniciar un ataque de ransomware.
- Seguridad física: El robo físico de un dispositivo puede servir a un atacante para obtener datos de la red en la que se encuentra instalado.
- Dispositivos ocultos: Dispositivos no controlados por los administradores se pueden conectar a la red y ser utilizados como punto de entrada por atacantes.
¿Cómo realizar una auditoría de seguridad Bluetooth?
La complejidad del estandar Bluetooth, la existencia de múltiples implementaciones, versiones y la ausencia de metodologías y herramientas de seguridad Bluetooth adecuadas han provocado que los riesgos de seguridad en Bluetooth hayan aumentado en los últimos años.
Tanto para Bluetooth Classic como para Bluetooth Low Energy (BLE) Tarlogic ha desarrollado metodologías de pentesting Bluetooth (BSAM) y aplicaciones Bluetooth con las que realizar una completa auditoría de seguridad Bluetooth.
El testing de seguridad Bluetooth es importante por el impacto en privacidad que tiene para los usuarios en dispositivos IoT. Para proteger un dispositivo Bluetooth las pruebas técnicas se realizan sobre los ámbitos de descubrimiento, emparejamiento, autenticación, cifrado, servicios y aplicación.