Lunes 18 de diciembre de 2017
Home / Estudios e informes / La Internet de las cosas avanza pero la seguridad no tanto
iot-seguridad-kaspersky-lab-consejos-itsitio-660x330

La Internet de las cosas avanza pero la seguridad no tanto

Uno de los aspectos más críticos de la IoT son las vulnerabilidades de los dispositivos que pueden causar daños a las personas. Los expertos de Kaspersky Lab analizaron el estado actual de los riesgos de conectar Internet a los automóviles.

Durante los últimos años, los autos han comenzado a conectarse activamente a Internet. Esta conectividad incluye no sólo sus sistemas de información y entretenimiento, sino también sistemas esenciales del vehículo, como cerraduras de puertas y encendido, que ahora están disponibles en línea. Con la ayuda de aplicaciones móviles, es posible obtener las coordenadas de ubicación del vehículo, así como su ruta, y abrir puertas, arrancar el motor y controlar dispositivos adicionales en el automóvil. Por un lado, estas son funciones extremadamente útiles. Por otro, ¿cómo aseguran los fabricantes estas aplicaciones contra el riesgo de ataques cibernéticos?

Los investigadores de Kaspersky Lab probaron siete aplicaciones para el control a distancia de automóviles que han sido desarrolladas por algunos de los principales fabricantes y que, según las estadísticas de Google Play, han sido descargadas decenas de miles, y en algunos casos, hasta cinco millones de veces. La investigación descubrió que cada una de las aplicaciones examinadas contenía varios problemas de seguridad.

LISTA DE LOS PROBLEMAS DE SEGURIDAD DESCUBIERTOS

  • No hay defensa contra la ingeniería inversa de la aplicación. Como resultado, usuarios malintencionados pueden entender cómo funciona la aplicación y buscar una vulnerabilidad que les permita obtener acceso a la infraestructura del servidor o al sistema multimedios del automóvil.
  • No hay verificación de la integridad del código, lo cual es importante porque permite a los delincuentes incorporar su propio código en la aplicación y reemplazar el programa original por uno falso.
  • No hay técnicas para detectar un rooting. Los permisos de root le dan a los troyanos casi infinitas posibilidades y dejan indefensa a la aplicación.
  • Falta de protección contra las técnicas de superposición de aplicaciones. Esto ayuda a las aplicaciones maliciosas a mostrar ventanas de phishing y a robar las credenciales de los usuarios.
  • Almacenamiento de inicios de sesión y contraseñas en texto sin formato. Aprovechando esta debilidad, un criminal puede robar los datos de los usuarios con relativa facilidad.

En síntesis, después de un ataque exitoso, un atacante puede ganar control sobre el automóvil, desbloquear las puertas, apagar la alarma de seguridad y, teóricamente, robar el vehículo.

“Las aplicaciones para autos conectados no están preparadas para soportar ataques de malware”

En cada caso, el vector de ataque requeriría algunos preparativos adicionales, como el de tentar a los propietarios de las aplicaciones a que instalen apps maliciosas especialmente diseñadas que hagan rooteo en el dispositivo y obtengan acceso a la aplicación del automóvil. Sin embargo, como han concluido los expertos de Kaspersky Lab después de investigar otras aplicaciones maliciosas dirigidas a robar credenciales en las transacciones bancarias efectuadas en línea y otra información importante, es poco probable que esto sea un problema para criminales con experiencia en técnicas de ingeniería social si decidieran salir a la caza de propietarios de automóviles conectados.

“La conclusión principal de nuestra investigación es que, en su estado actual, las aplicaciones para autos conectados no están preparadas para soportar ataques de malware. Al pensar en la seguridad del automóvil conectado, no sólo debe considerarse la seguridad de la infraestructura del lado del servidor. Esperamos que los fabricantes de automóviles vayan por el mismo camino que han recorrido los bancos con sus aplicaciones. Inicialmente, las aplicaciones para la banca en línea no tenían todas las características de seguridad enumeradas en nuestra investigación. Ahora, después de varios casos de ataques, muchos bancos han mejorado la seguridad de sus productos. Todavía no hemos detectado ningún caso de ataque contra aplicaciones para automóviles, lo que significa que los vendedores de autos todavía tienen tiempo para hacer las cosas bien. Cuánto tiempo tienen exactamente, se desconoce. Los troyanos modernos son muy flexibles, un día pueden actuar como adware normal, y al día siguiente pueden bajar fácilmente una nueva configuración que hace posible que se dirijan a nuevas aplicaciones. La superficie de ataque es realmente muy grande”, explicó Victor Chebyshev, experto en seguridad de Kaspersky Lab.

“Los troyanos modernos son muy flexibles, un día pueden actuar como adware normal, y al día siguiente pueden bajar fácilmente una nueva configuración que hace posible que se dirijan a nuevas aplicaciones”

LAS CLAVES PARA EL CANAL

La franja de mercado de Seguridad para la IoT se desarrollará de manera rápida. Quienes quieran participar exitosamente de ella deben comenzar a tomar en cuenta algunos aspectos básicos sobre las soluciones y sus implementaciones:

  • No hacer root en un dispositivo Android, ya que esto abrirá posibilidades casi ilimitadas a las aplicaciones maliciosas.
  • Desactivar la posibilidad de instalar aplicaciones de fuentes que no sean las de las tiendas de aplicaciones oficiales
  • Mantener actualizada la versión del sistema operativo de los dispositivos para reducir las vulnerabilidades del software y reducir el riesgo de ataque
  • Instalar una solución de seguridad probada para proteger su dispositivo contra ataques cibernéticos.

Acerca de Pamela Stupia

Pamela Stupia
Editora de ITSitio para toda la región. Comenzó su camino en medios gráficos y digitales hace más de 10 años. Escribió para diario La Nación y revista Be Glam del mismo grupo.

También puedes ver

itsitio_amd radeon adrenalin edition 022

AMD actualiza Radeon Software Adrenalin Edition para una experiencia más inmersiva

AMD lanzó recientemente la última gran actualización de su suite de software Radeon Graphics, Radeon …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *