BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Pobre seguridad de IoT podría derribar la red eléctrica, advierte investigador

Un investigador de seguridad que ha dejado al descubierto una serie de vulnerabilidades en dispositivos IoT dice que está preocupado por los ataques sistémicos que podrían derribar partes de internet o redes eléctricas nacionales.

La falta de seguridad en los dispositivos que componen la internet de las cosas (IoT) potencialmente podría permitir a los atacantes utilizarlos para apagar redes de energía, ha advertido un investigador de seguridad y probador de penetración.

Ken Munro, socio de Pen Test Partners, está probando continuamente la seguridad de los dispositivos IoT y recientemente encontró que algunos tipos de termostatos conectados a internet son vulnerables a ataques.

Esto significa que un atacante podría tomar control de estos dispositivos y potencialmente desencadenar que cientos de miles de sistemas de calefacción o de refrigeración se enciendan en la misma zona, al mismo tiempo.

"Eso sería una enorme carga para la red eléctrica, y no se necesita mucho para empujar una red eléctrica a una situación de sobrecarga, causando apagones", dijo a los delegados de IPExpo en Excel, Londres.

Esto podría resultar en la necesidad de un procedimiento de "arranque negro" para recuperarse de una parada, pero todas las centrales eléctricas necesitan algo de energía para ponerse en marcha.

En condiciones normales, esta energía viene de las centrales eléctricas vecinas, pero si todas las centrales eléctricas en los alrededores han sido apagadas por un atacante, esto podría resultar en un apagón total.

"Algunas, pero no todas, centrales eléctricas en el Reino Unido tienen una fuente de alimentación de 'arranque negro' en el lugar para re encender la red eléctrica, y fuentes de alimentación auxiliares de este tipo son bastante raras en los EE.UU.", dijo Munro.

"Esa es la razón por la cual la IoT me asusta. Si un atacante pudiera apagar suficientes centrales eléctricas, podría dar lugar a un corte de energía masiva del que podría tomar varios días recuperarse".

Haciendo eco de una advertencia similar por el investigador de seguridad James Lyne sobre que la IoT plantea una amenaza muy real para la seguridad cibernética, Munro dijo que la superficie de ataque era "absolutamente enorme".

Con vulnerabilidades en las comunicaciones inalámbricas, aplicaciones móviles y firmware, hay muchas oportunidades diferentes para el peligro, dijo.

"Y, sin embargo, los fabricantes con poca o ninguna comprensión de la seguridad tienen oportunidades en esto, y mediante la compra de dispositivos no probados y no asegurados, las personas están dando a los proveedores una gran oportunidad para hacer mucho dinero a su costa", dijo Munro.

Su investigación ha revelado que los fallos comunes de la IoT incluyen:

  • El uso de contraseñas comunes por defecto.
  • La inclusión de claves de cifrado y contraseñas en el código fuente de las aplicaciones relacionadas con la IoT.
  • La inclusión de claves de cifrado y contraseñas en el firmware de los dispositivos.
  • Dejar Bluetooth permanentemente en el modo de asociación.
  • No utilizar códigos de acceso para Bluetooth.
  • No desactivar los puertos de diagnóstico de los dispositivos en vivo.
  • Falta de validación de las entradas para evitar ataques de inyección SQL.

Munro aconsejó a las organizaciones que estaban considerando el uso o la producción de dispositivos y aplicaciones de IoT que busquen la guía del Proyecto de Seguridad de Aplicaciones de Web Abierta (OWASP) y la Fundación de Seguridad de IoT.

"Cuando se trata con proveedores, escriba sus requisitos de seguridad en los contratos y luego pruebe para verificar que dichos requisitos se han cumplido y todo lo que está utilizando es muy seguro", dijo.

El no hacerlo podría resultar en daños devastadores a los clientes y la reputación de una organización, dijo Munro. Él advirtió que la IoT era un potencial "descarrilamiento de seguridad" y que la situación podría llegar a ser "mucho peor" antes de mejorar.

Próximos pasos

Más sobre seguridad:

Ataques DDoS a Dyn revelan vulnerabilidades de internet global

Aborde los riesgos de seguridad de IoT antes de que sea demasiado tarde, urge reporte

IoT se expande al sector minero como aliado de crecimiento y seguridad

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close