A principios de marzo, un hacktivista suizo llamado Tillie Kottman expuso con éxito empresas, departamentos de policía, escuelas, cárceles y hospitales en uno de los ciberataques más extendidos en la historia moderna, dice Chris Rouland, fundador y director ejecutivo de Fósforo. ¿Cómo lo hicieron?

Al piratear casi 150.000 cámaras de seguridad Verkada configuradas con sus configuraciones de seguridad predeterminadas. Kottman se atribuyó el mérito del ataque como una ilustración de lo fácil que es poner en peligro este tipo de dispositivos de Internet de las cosas (IoT) y exfiltrar datos y otra información valiosa.

La parte aterradora cuando se trata de la seguridad de IoT es que las cámaras de video son solo un ejemplo de la letanía de nuevas superficies de ataque que los piratas informáticos tienen disponibles para explotar. Además, las organizaciones y empresas no solo desconocen que sus dispositivos de IoT son vulnerables a este tipo de ataques generalizados. La mayoría de ellos ni siquiera conocen la mayoría de los dispositivos IoT en su red.

Los dispositivos de IoT ahora son tan omnipresentes que se pueden instalar para casi cualquier función mundana y los oficiales de seguridad no tendrían idea de que están allí. Por ejemplo, un trabajador de mantenimiento podría instalar un dispositivo de monitoreo de IoT en un conjunto de puertas para hacer sonar una alarma si las instalaciones fueran violadas. Poco saben que al conectar ese dispositivo, podría comprometer toda la red si es pirateado.

A medida que los ecosistemas de dispositivos de IoT de las organizaciones continúan creciendo a un ritmo desconocido, a cada director de información y seguridad (CISO) se le pregunta actualmente qué están haciendo para protegerse contra las violaciones de seguridad de IoT. La respuesta corta es que deben adoptar nuevas estrategias y políticas para garantizar que los piratas informáticos no obtengan acceso a sus valiosos datos, pero es posible que no sepan cuáles son esas estrategias o cómo implementarlas.

Aquí hay algunas estrategias para que los CISO comiencen:

Siga las prácticas básicas de higiene cibernética

La aparición de credenciales predeterminadas en los dispositivos de IoT es un error común que cometen muchos proveedores, y Verkada ciertamente no es el único proveedor de IoT con este problema, sino que fue el más reciente en ser detectado. El uso de contraseñas y credenciales administrativas codificadas, combinado con la falta de un repositorio de credenciales seguro y administración de acceso privilegiado, facilitó a Tillman y su grupo el acceso a una gran cantidad de videos confidenciales en tiempo real con solo unos pocos clics.

Al llevar a cabo una higiene de seguridad básica y escalable para proteger los dispositivos de IoT, como el inventario, los parches y la gestión de credenciales, esta intrusión podría haberse evitado. La nueva Ley de mejora de la ciberseguridad de IoT ahora exige el cambio de las credenciales predeterminadas en los dispositivos de IoT y establece políticas estrictas de contraseñas que se aplican a los seres humanos y a todos los dispositivos integrados.

Llevando las medidas de seguridad un paso más allá, a medida que se multiplican los dispositivos conectados, las organizaciones necesitarán automatizar el firmware y los parches contra las vulnerabilidades más críticas de IoT. Al automatizar la seguridad, las organizaciones pueden eliminar errores de software, códigos maliciosos y aumentar el rendimiento de los dispositivos, todos aspectos positivos que mejoran la seguridad.

Adopte un enfoque de confianza cero para IoT

Dado que la mayoría de las organizaciones no conocen todos los dispositivos de IoT conectados a su red, avanzar hacia un modelo de confianza cero para la seguridad de IoT es ideal para evitar el acceso no otorgado a una red. Zero Trust es un marco bien establecido para la seguridad de la red que se centra en la premisa de que las organizaciones no deben confiar automáticamente en ningún dispositivo, dentro o fuera de la red, con credenciales de acceso.

Incluso cuando un administrador de red inicia sesión en la red, requiere autenticación de dos factores en un esfuerzo por reducir la suplantación de identidad o el acceso no autorizado. Una vez que haya iniciado sesión, cada dispositivo y el uso comercial asociado de ese dispositivo se verifica y vuelve a verificar constantemente para detectar cambios en su confianza inherente cada vez que intenta acceder a los datos.

El mismo marco debería aplicarse a los dispositivos de IoT, especialmente teniendo en cuenta la falta general de conciencia sobre la cantidad de dispositivos y lo fácil que es piratearlos cuando se configuran con la configuración predeterminada.

Llevar "Dispositivo seguro" promete con un grano de sal

En lo que respecta a la seguridad, los usuarios finales deben permanecer atentos incluso cuando trabajen con proveedores de confianza. Es imprescindible comprar dispositivos de IoT de fuentes acreditadas con un sólido historial de altos estándares de seguridad y asegurarse de que su proveedor no haya sido prohibido en los EE. UU.

También hay muchas cosas que los usuarios finales pueden hacer para aumentar su postura de seguridad si no están seguros de la seguridad de un dispositivo. Un primer paso para proteger las implementaciones de dispositivos es automatizar la aplicación de credenciales únicas y la rotación de contraseñas.

Cuando se implementan los dispositivos de IoT, a menudo son miles o decenas de miles de dispositivos en un solo clip. El uso de herramientas automatizadas para la gestión de inventarios, parches y credenciales ayuda a los equipos de TI a mantener el ritmo sin sentirse abrumados.

Con estos enfoques de seguridad de IoT, los CISO pueden tomar medidas proactivas para evitar que su organización aparezca en los titulares como la próxima víctima de este tipo de piratería sin problemas. Al tomar medidas ahora para inventariar, parchear y monitorear los dispositivos que tienen acceso a sus sistemas, los CISO podrán avanzar con la confianza de que tanto su información como sus ecosistemas son seguros.

El autor es Chris Rouland, fundador y director ejecutivo de Fósforo.

Sobre el Autor

Chris Rouland es fundador y director ejecutivo de Phosphorus. Es un proveedor de renombre en innovación en ciberseguridad y ha fundado varias empresas multimillonarias, incluidas Bastilla, la empresa para permitir la evaluación y mitigación de los riesgos de Internet de las radios, y Endgame, Un proveedor de seguridad para endpoints. También fue director de tecnología e "ingeniero distinguido" para IBM y director de la X-Force para sistemas de seguridad de Internet. Chris posee más de 20 patentes y una maestría del Instituto de Tecnología de Georgia de EE. UU.