Vulnerabilidades de IoT do consumidor: cando a interconectividade significa riscos compartidos

• autor:
• nome do autor

  Previsión de Quantumrun
• Xullo 5, 2023

Insight destacados

Aínda que a industria da Internet das Cousas (IoT) segue innovando, está a enfrontarse a importantes problemas de ciberseguridade debido a que os consumidores descoiten actualizar os contrasinais predeterminados dos dispositivos e os fabricantes introducen funcións non probadas. A estes desafíos súmase a falta de información pública sobre a vulnerabilidade e as empresas que non teñen un plan claro para manexalos. Aínda que hai algún uso de acordos de non divulgación, programas de recompensas de erros e Divulgación coordinada de vulnerabilidades (CVD) como estratexias de xestión de riscos, a adopción de políticas de divulgación de vulnerabilidades en todo o sector segue sendo baixa. 

Contexto de vulnerabilidades de IoT do consumidor

Aínda que hai vantaxes para dispositivos como asistentes domésticos e cámaras de seguridade intelixentes, a industria de IoT aínda ten un longo camiño por percorrer en termos de ciberseguridade. A pesar dos avances no deseño e na infraestrutura, estes dispositivos seguen sendo vulnerables aos ciberataques. Este problema vese agravado aínda máis polo feito de que moitos consumidores non coñecen as mellores prácticas para actualizar os sistemas operativos dos seus dispositivos. Segundo a IoT Magazine, o 15 por cento de todos os propietarios de dispositivos IoT non cambian os contrasinais predeterminados, o que significa que os hackers poden acceder ao 10 por cento de todos os dispositivos relacionados con só cinco combinacións de nome de usuario e contrasinal.

Outros desafíos de seguridade están enraizados na forma en que se configuran ou se manteñen estes dispositivos. Se unha máquina ou software non se protexe (por exemplo, non se pode parchear con novas actualizacións de seguranza ou os usuarios finais non poden cambiar o contrasinal predeterminado), pode expor facilmente a rede doméstica dun consumidor a un ciberataque. Outro reto é cando un programador pecha e ninguén se fai cargo do seu software ou plataformas. 

Os ataques de Internet das Cousas varían segundo a máquina ou a infraestrutura. Por exemplo, as vulnerabilidades do software ou do firmware poden permitir aos hackers evitar os sistemas de seguridade dos vehículos eléctricos (EV). Mentres tanto, algúns fabricantes de IoT adoitan engadir novas funcións aos seus dispositivos ou interfaces sen probalas a fondo. Por exemplo, algo aparentemente sinxelo, como un cargador de vehículos eléctricos, pode ser pirateado para sobrecargar ou sobrecargar, o que provoca danos físicos.

Impacto perturbador

Segundo unha enquisa de 2020 realizada pola IoT Security Foundation, unha das áreas nas que os fabricantes de IoT non estaban facendo o suficiente foi proporcionar información pública sobre a vulnerabilidade. Unha forma clave de mellorar a seguridade dos dispositivos conectados ao IoT é facilitar aos investigadores que informen as vulnerabilidades que atopan directamente aos fabricantes. Ao mesmo tempo, as empresas deben comunicar como responderán unha vez identificadas estas preocupacións e que prazo se pode esperar para os parches de software ou outras correccións.

Para combater as ameazas emerxentes de ciberseguridade, algunhas empresas confían en acordos de non divulgación. Outros atraen aos investigadores con recompensas de erros (é dicir, pagar por vulnerabilidades descubertas). Tamén hai servizos especializados que as empresas poden manter para xestionar as divulgacións e os programas de recompensas de erros. Outra técnica para xestionar os riscos é a Divulgación Coordinada da Vulnerabilidade (CVD), onde o produtor e o investigador traballan xuntos para solucionar un problema e despois liberan o informe de corrección e vulnerabilidade ao mesmo tempo para reducir posibles danos aos usuarios. 

Desafortunadamente, algunhas empresas non teñen ningún plan para xestionar as divulgacións. Aínda que o número de empresas con políticas de divulgación de vulnerabilidade aumentou ata o 13.3 por cento en 2019 desde o 9.7 por cento en 2018, a adopción da industria mantívose en xeral baixa (2022). Afortunadamente, hai cada vez máis regulacións que obrigan a políticas de divulgación. En 2020, o goberno dos Estados Unidos aprobou a Lei de mellora da ciberseguridade da Internet das Cousas, que obriga aos provedores de IoT a ter políticas de divulgación vulnerable antes de vender a axencias federais. 

Implicacións das vulnerabilidades de IoT do consumidor

As implicacións máis amplas das vulnerabilidades de IoT dos consumidores poden incluír: 

• Os gobernos que regulan os fabricantes de IoT teñen políticas de divulgación e probas rigorosas e transparentes.
• Máis empresas tecnolóxicas que forman asociacións para acordar estándares comúns e desenvolver protocolos de ciberseguridade unificados que poidan facer que os dispositivos sexan interoperables e cada vez máis seguros.
• Smartphones e outros dispositivos persoais de consumo que implementan autenticación avanzada multifactor e identificación biométrica para mellorar a ciberseguridade.
• Aumento dos investimentos en ciberseguridade de vehículos eléctricos e autónomos para evitar o secuestro dixital.
• Máis ataques de escoita, onde os criminais se apoderan das canles de comunicación sen cifrar; esta tendencia criminal pode provocar que máis consumidores prefiran as aplicacións de mensaxería cifrada (EMA).
• Máis incidentes de ataques de enxeñería social que aproveitan a protección por contrasinal débil, especialmente entre os usuarios de dispositivos máis antigos.

Preguntas para comentar

• Como te aseguras de que os teus dispositivos IoT estean ben protexidos?
• Que outras formas poden os consumidores mellorar a seguridade dos seus dispositivos IoT?