Ayer, durante el día de la privacidad de datos, aprovechamos para
presentar un whitepaper sobre una reflexión que hemos hecho entre varias empresas y organismos sobre los riesgos que puede acarrear la creciente adopción de las tecnologías
IoT. Ni mucho menos el documento pretende ser alarmista ni contrario al mundo del
IoT, del que todos coincidimos que va a permitirnos transformar la sociedad donde vivimos, sino para hacer conscientes a personas y empresas de que hay que empezar a trabajar ya en la seguridad de
IoT sin cometer los errores del pasado en el mundo
IT.
 |
| Figura 1: The Shadow - Controlar el "Shadow IT" y el "Shadow IoT" |
Pensar que la cantidad de dispositivos hardware que se han creado, y se van a crear, se van a hacer si ningún fallo de seguridad en su diseño es algo que ya sabemos que no va a pasar. La historia nos ha enseñado que tenemos que contar con ello. Pensar que las soluciones que se creen utilizando esos dispositivos no van a contar con ningún problema de seguridad es algo que ya sabemos que no va a suceder. Pensar que la utilización que le van a dar los usurarios a estas plataformas no va a generar ningún problema, es algo que sabemos que no va a ser así.
Hemos visto contraseñas hardcodeadas en dispositivos, hemos visto aplicaciones con bugs en las implementaciones de los programas y vemos a usuarios capaces de publicar fotos de sus tarjetas de crédito en Internet solo porque es cool, y en el mundo IoT aún no somos conscientes de a dónde van a llegar los riesgos a los que nos enfrentamos debido a la escala de conectividad a la que nos enfrentamos y a la cantidad de ámbitos a los que se van a aplicar las soluciones Internet of Things.
Llamarle IoT es quedarse, de partida, cortos con el término, ya que al final a lo que nos referimos es al famoso IoE (Internet of Everything) donde cualquier objeto va a tener una vida conectada a Internet. Desde sistemas industriales a humanos conectados para gestionar su salud, pasando por los elementos domóticos de un hogar o los medios de transporte de una ciudad. Todo objeto es susceptible de tener una conexión a la red para ser mucho más inteligente en su vida útil. Un vaso que puede avisar al camarero cuando el vino se calienta más de lo debido o una cocina sin nevera que trae los alimentos en drones cuando se va a cocinar.
También una impresora que compra el toner y el papel, un vídeo proyector que avisa a mantenimiento cuando falla la bombilla o un sistema de destrucción de documentos conectado que llama al reciclado de papel cuando el depósito está lleno. Cafeteras, máquinas de dispensación de dulces en la empresa o los papeles de publicidad corporativa que se usen en las oficinas. Tal escala abre la posibilidad a un montón de riesgos en la vida de las personas, pero también en las empresas y organizaciones, y por tanto hay que estar preparados para los riesgos que puedan suponer para la seguridad de la compañía.
Shadow IT
En el mundo de la empresa cada vez los empleados hacen más uso de lo que llamamos
Shadow IT, o lo que es lo mismo, de su propia infraestructura
IT para hacer su trabajo. Del
BYOD donde los usuarios tienen su propio dispositivo móvil, hemos pasado al
BYOIT (Bring Your Own IT), donde ya no solo traen su propio
smartphone, sino que además traen sus propias cuentas de servicios de vídeo-conferencia, correo electrónico, transmisión de ficheros, conexión a
Internet por medio de sistemas de tethering para evadir los controles de
firewalls o
proxy, sus propios sistemas de almacenamiento de documentos - que pueden crear
hidden links en las redes - , tienen sus propios sitios webs e incluso sus propios servidores en la nube, que a veces usan para hacer sus propias webs de recursos, documentos o pruebas.
 |
| Figura 4: Reporte de activos descubiertos por Faast en la plataforma Vamps |
Los administradores de
IT y los responsables de seguridad se las ven y se las desean para controlar la cantidad de tecnologías que se meten en sus redes, que circulan por sus oficinas o que conectan sus sistemas informáticos con sistemas informáticos remotos en Internet. Hoy en día, un informe de vital importancia para una empresa puede estar en los adjuntos del correo electrónico personal de
Gmail de un administrativo porque se lo envió a su casa para poder trabajar con él, y esa cuenta de
Gmail es la misma que utiliza en su
Android para bajarle apps a su hijo en el smartphone de su casa. Los equipos de administración
IT y seguridad en las empresas cada vez tienen menos control del
IT que usan sus empleados. Y ese
Shadow IT crece y crece cada día.
 |
| Figura 5: Seguimiento de activos en Vamps |
Hoy en día, los sistemas de búsqueda de vulnerabilidades en la empresa, no solo ayudan a encontrar los
bugs, sino también a descubrir el
Shadow IT que ha podido crecer dentro de la organización. Con
Vamps & Faast, los sistemas de gestión de vulnerabilidades y pentesting persistente que creamos en
Eleven Paths, intentamos generar alertas con los nuevos activos que se descubren escaneo tras escaneo, lo que le permite conocer a un administrador si una nueva web o un nuevo servidor ha aparecido dentro de la red sin que el lo sepa. Es decir, sacamos provecho de los módulos de
autodiscovery que usamos en las tecnologías de
pentesting persistente para localizar y controlar el
Shadow IT, independientemente de que luego se busquen vulnerabilidades en ellos.
Shadow IoT
Si el número de activos que aparecen en el mundo
IT dentro de la empresa es grande, hay un subconjunto muy peculiar, que son los dispositivos
IoT. A veces son dispositivos
plug&play que se autoconfiguran, o sistemas autónomos con conexión que se conectan a una red y hacen todo el trabajo ellos. Pueden ser impresoras, termostatos,
vídeo proyectores, teléfonos VoIP, sistemas de backup, relojes inteligentes, controles de puertas, sistemas de automatismo de persianas, reproductores de música en streaming, etcétera, etcétera. De todo hemos podido ver en el mundo de la empresa.
 |
| Figura 6: Vídeo proyector conectado a la red de la empresa publicado en Internet |
Todos estos dispositivos, conectados, configurados y manipulados muchas veces por empleados con mayor o menor conocimiento técnico, se convierten en un punto importante del
Shadow IT, es lo que nosotros llamados el
Shadow IoT, y las herramientas tradicionales de escaneo de vulnerabilidades no los buscan en sus sistemas de discovery y escaneo de vulnerabilidades. Debido a esto, en
Eleven Paths hemos estado trabajando en adaptar los sistemas de
autodiscovery de
Faast, nuestra plataforma de
pentesting persistente, para localizar el
IoT en las empresas que auditamos de forma continua.
 |
| Figura 7: Módulos de IoT en Faast para detectar el Shadow IoT |
No solo los módulos de autodiscovery de activos, sino también los plugins de búsqueda de vulnerabilidades, donde hemos ampliado la knowledge base de vulnerabilidades para centrarnos en todos esos pequeños sistemas que pueden abrir un gran fallo de seguridad en una organización. Un sistema de control de CCTV conectado a la red de la empresa con un bug conocido, sensores de control de barrera del parking con contraseñas por defecto o impresoras con gestión desde Internet que están automatizadas pueden suponer una brecha de seguridad importante, por lo que hay que crear una gran cantidad sistemas de detección que los busquen de forma automática.
En el próximo
Mobile World Congress en
Barcelona, en el
stand de
Telefónica, vamos a presentar nuestra evolución de
Vamps & Faast hacia el mundo del
IoT, para tener un sistema de
Pentesting Persistente y Gestión de Vulnerabilidades capaz de descubrir los nuevos dispositivos conectados y los bugs en ellos. Todo, con el objetivo de que se pueda controlar el
Shadow IT y el
Shadow IoT un poco mejor dentro de la empresa.
Saludos Malignos!
Sigue El lado del mal en Telegram
Chema Alonso en Threads
Chema Alonso en Mastodon
Chema Alonso 3DAIS
Chema Alonso en BSKY
Chema Alonso en Linkedin
DragonJAR
8.8 Chile
Ekoparty
e-Hack MX 
AREA 51 
Comunidad Dojo Panamá 
ARPAHE SOLUTIONS 
