Redacción 7 enero, 2019
Gustavo Giacomodonato Analista Internacional de Seguridad
Gustavo Giacomodonato Analista Internacional de Seguridad
Gustavo Giacomodonato Analista Internacional de Seguridad

Como toda tecnología conectada a Internet, corremos el riesgo de sufrir ataques a manos de ciberdelincuentes.

El mayor de sus riesgos es la nula seguridad que presentan estos dispositivos.

En la mayoría de los casos, éstos se conectan a nuestro smartphone a partir de una aplicación, o directamente al proveedor sin mayor seguridad que un usuario y contraseña, y ya conocemos la cantidad de tácticas de las que disponen los ciberdelincuentes para obtener esta información.

En el año que acaba de finalizar, en Argentina los Smart TV, se utilizaron en los hogares más como Smart que como TV, (cuatro de cada diez) si bien aún no hay estadísticas confiables, se sabe que son vulnerables a ataques de forma remota, en los que un ciberdelincuente puede tomar el control de éstos  mediante ataques del tipo “Drive by download”, donde visitando una web, abriendo un correo electrónico o haciendo clic en el lugar equivocado, podríamos descargar un software malicioso sin darnos cuenta.

Con el acceso y el control de este aparato, nuestro atacante ya podría acceder al resto de dispositivos conectados a la misma red, y con ello a toda nuestra información.

Y que es el “Drive by download”, las descargas no autorizadas son un método común de propagación de malware.

Inseguridad bajo demanda

Los delincuentes cibernéticos buscan sitios web inseguros y plantan un script malicioso en un código HTTP o PHP en una de las páginas.

Este script puede instalar malware directamente en distintos dispositivos de alguien que visita el sitio, o puede tomar el formulario en un IFRAME que redirige a la víctima a un sitio controlado por los ciberdelincuentes.

En muchos casos, el script está “protegido”, para que sea más difícil para los investigadores de seguridad analizar el código.

Dichos ataques se denominan “descargas no autorizadas” porque no requieren ninguna acción por parte de la víctima, más allá de simplemente visitar el sitio web comprometido: se infectan automáticamente (y en silencio) si su dispositivo es vulnerable de alguna manera (por ejemplo, si no han podido aplicar una actualización de seguridad a una de sus aplicaciones).

Más dispositivos, más riesgo

Esta situación se agudiza si tenemos en cuenta que cuantos más dispositivos tengamos conectados a Internet, existirán más posibilidades de sufrir un ciberataque y una mayor cantidad de información correrá el riesgo de ser filtrada.

También existe un riesgo relacionado con el uso que hacen las empresas con toda la información que compartimos sobre nuestros hábitos de consumo, gustos, rutinas e información personal como los miembros que viven en el hogar familiar, planos, etc.

Estos datos pueden llegar a manos de terceros sin que nosotros, los usuarios, seamos conscientes de su difusión.

Internet de las Cosas malas

Por ejemplo, la empresa fabricante de nuestros dispositivos IoT (Internet de las cosas, por su sigla en Inglés) puede vender información que éstos recogen y almacenan (sin nuestro consentimiento explícito), como la incorporación a la familia de una nueva mascota, y venderla a empresas que nos harán llegar ofertas, promociones y demás publicidad para mascotas.

A priori, puede parecernos útil pero la realidad es que están en posesión de mucha más información sobre nosotros de la que sabemos e imaginamos, y  lucran al comerciar con ella, además de vulnerar nuestra intimidad.

Ya no es necesario que violenten la puerta de tu casa para vulnerar tu intimidad, solo con un dispositivo conectado a internet y desprotegido y sin las actualizaciones, es suficiente.

No pasa por demonizarlos, sino de conocer sus riesgos para actuar en consecuencia:

  1. Hacer una búsqueda sobre el dispositivo y sus posibles vulnerabilidades: los expertos están continuamente poniendo a prueba las vulnerabilidades de estos dispositivos. Es muy probable que ya se hayan detectado problemas en el dispositivo de moda, por lo que lo mejor sería informarnos sobre si estas vulnerabilidades ya han sido parcheadas.
  2. Entender las políticas de privacidad del fabricante y el dispositivo: debemos informarnos, en el punto de venta y con el fabricante, sobre las opciones de privacidad y seguridad del dispositivo, es decir, ¿qué información recoge el dispositivo?, ¿qué hace la empresa fabricante con esa información?, ¿es compartida con terceras empresas?, ¿dónde y cómo se guarda esta información, y por cuánto tiempo?, ¿el consumidor tiene control sobre qué información desea compartir? Esta serie de preguntas hará que el consumidor tome una decisión más segura.
  3. Mantener el dispositivo al día con las actualizaciones: debemos mantener el dispositivo actualizado. Ya que de esta manera las vulnerabilidades encontradas se irán parcheando. En el caso de que el fabricante no siga dando soporte al dispositivo, lo mejor será desconectarlo o actualizarlo a una versión soportada.

 

Por Gustavo Giacomodonato – Analista de Seguridad

A %d blogueros les gusta esto: