6 clases de ciberamenazas a las que se enfrentan los dispositivos IoT que no estén bien protegidos en una industria, según la española Barbara IoT

"Nadie se acuerda de Santa Bárbara hasta que truena" es una frase que inspiró a los fundadores de Barbara IoT para poner en marcha su negocio: una compañía española que desarrolla un firmware para dispositivos conectados desprotegidos.

Con Barbara OS, lo que esta startup con sede en Bilbao y Madrid pretende es concienciar y proteger un poco más uno de los eslabones más débiles de la cadena de la ciberseguridad: los dispositivos conectados.

Cámaras, impresoras, sensores... Todo tipo de dispositivos conectados y no sometidos a una buena protección son carne de convertirse en 'zombies' de una botnet, es decir, de un enjambre de aparatos perdidos navegando por la red para realizar ataques de denegación de servicio contra los objetivos que les marquen los ciberdelincuentes. En algunos años, el tráfico en internet de dispositivos ha sido superior al tráfico que realizan las personas.

Pero no solo eso. Un dispositivo desprotegido abre la puerta a que los ciberdelincuentes ataquen empresas. Desde un almacén que utiliza carretillas autónomas conectadas a la red para mover mercancías hasta un sensor que registra que la temperatura es la correcta en una cámara frigorífica: un ciberdelincuente puede irrumpir en cualquier dispositivo y alterar su funcionamiento, o dar el salto desde el mismo a la información sensible de sus víctimas.

10 años de Stuxnet, el primer ciberataque al mundo físico: por qué el IoT industrial será el nuevo frente de la guerra digital y las compañías deben anticiparse a esta amenaza

Por ejemplo, un criminal informático podría acceder a una de esas carretillas que se han puesto de ejemplo para volverlas locas e inutilizar el negocio del almacén. También podría desconfigurar el sensor térmico, que nunca podría detectar cualquier anomalía en la cadena de frío de una cámara frigorífica, algo tan imprescindible en estos tiempos en los que la distribución de vacunas contra el coronavirus requieren de tanto cuidado.

Pero para concretar cuáles son las principales amenazas y cómo podrían mitigarse o evitarse, Barbara IoT ha lanzado un nuevo whitepaper con todo tipo de detalles. La startup consiguió cerrar a finales de 2020 una ronda de 500.000 euros liderada por GoHub Ventures para continuar creciendo.

Un informe STRIDE para la ciberseguridad IoT

En su whitepaper, que puedes consultar aquí, Barbara IoT hace lo que se conoce como análisis STRIDE. Este análisis sigue una metodología creada por Microsoft hace más de dos décadas para tratar de hacer un análisis sumario de cuáles son las principales amenazas tecnológicas a las que se puede enfrentar una compañía.

Siguiendo el esquema STRIDE, son seis las principales amenazas a las que se enfrenta cualquier tecnología. También en el caso de los dispositivos IoT. Estas seis categorías son las siguientes: spoofing, tampering, repudiation, information disclosure, denial of service, y elevation of privilege. En español: suplantación, alteración, repudio, revelación de información, denegación de servicio y elevación de privilegios.

Pero, ¿en qué se traduce todo esto? Un spoofing puede permitir que un ciberdelincuente suplante a un alto cargo a una compañía para conseguir así acceso a documentos sensibles de la firma a través de sus propios sistemas informáticos. Pero en el caso de los dispositivos IoT, un ciberdelincuente puede literalmente hacerse pasar por un dispositivo registrado en la red a la que ataca. En el caso del tampering, lo que pretenden los atacantes es alterar el funcionamiento del aparato.

"El Internet de las Cosas es casi como un tsunami", según una experta en ciberseguridad de Telefónica Tech que explica por qué es vital proteger ya los dispositivos conectados

En su whitepaper, Barbara IoT advierte además que en redes "con muchos activos conectados dispersos están especialmente expuestas" a riesgos como el de la revelación de información: un dispositivo no protegido debidamente puede ser una suculenta puerta de entrada para cibercriminales, que así podrán dar el salto a otra parte del sistema vulnerable.

Lo mismo ocurre con el riesgo de la elevación de privilegios. "Desde un sentor tiene sentido que se pueda escribir una base de datos en la nube", por ejemplo, para marcar la temperatura registrada cada hora. "Lo que no tiene sentido es que el sensor pueda borrar la base de datos entera". Así, la startup recuerda lo imprescindible que resulta determinar muy bien qué permisos tiene cada dispositivo y usuario para ejecutar determinadas acciones.

Finalmente, los ataques con denegación de servicio son "probablemente, el riesgo más elevado al IoT industrial", ya que son "los que pueden llegar a comprometer la continuidad del negocio". Un ataque DoS puede ser una incursión con un ransomware para secuestrar dispositivos y comprometer la continuidad, ya que los aparatos dejarían de funcionar correctamente —o directamente no funcionarían— hasta que se pagase el rescate que reclamasen los atacantes.