Asistentes inteligentes, próximo vector de ataques contra dispositivos IoT

23

Expertos en seguridad cibernética de McAfee Labs han colaborado para la elaboración de un Informe de predicciones sobre amenazas para 2019, donde se ha destacado que los asistentes inteligentes podrían ser el próximo vector de ataques contra dispositivos IoT (Internet de las Cosas).

Allí han participado investigadores como Eoin Carroll, Taylor Dunton, John Fokker, German Lancioni, Lee Munson, Yukihiro Okutomi, Thomas Roccia, Raj Samani, Sekhar Sarukkai, Dan Sommer y Carl Woodward, de acuerdo a la publicación de la empresa de ciberseguridad.

Se ha indicado que los aficionados a la tecnología siguen llenando sus casas de todo tipo de asistentes inteligentes, desde enchufes a televisores, cafeteras, frigoríficos, sensores de movimiento, iluminación, entre otros, sin imaginarse que al mismo ritmo aumentan los medios de conseguir acceso a las redes domésticas.

En este punto es donde, según los expertos en seguridad informática, se debe tener en cuenta la escasa protección con las que cuentan los dispositivos conectados a Internet.

Es por eso que se ha predicho que la verdadera llave de la puerta de la red este año será el asistente digital controlado por voz o los llamados asistentes inteligentes, dispositivos creados en parte para gestionar todos sus similares IoT en el hogar.

Con el aumento de las ventas de este tipo de equipos, que se esperaba se dispararán durante las fiestas navideñas, el interés de los ciberdelincuentes en los asistentes para llegar a los dispositivos realmente interesantes de una red no hará sino crecer, de acuerdo a los especialistas.

“Por ahora, el mercado de asistentes de voz se encuentra todavía en ciernes y hay un buen número de marcas disputándose el liderazgo del mercado de diversas formas. Todavía no está del todo claro si alguno de los dispositivos se impondrá de forma generalizada”.

Si alguno de ellos toma delantera, los expertos de McAfee Labs creen que sus funciones de seguridad serán lógicamente sometidas al escrutinio de los medios de comunicación, aunque tal vez no antes de que las preocupaciones sobre su privacidad hayan sido analizadas en detalle.

“El año pasado señalamos la privacidad como la principal preocupación sobre los dispositivos IoT domésticos. La privacidad seguirá siendo una preocupación, pero los ciberdelincuentes se esforzarán en la creación de redes de bots, exigiendo rescates y amenazando con la destrucción de propiedad, tanto en el hogar como en la empresa”.

Ataques contra dispositivos IoT

Los ciberdelincuentes no dejarán pasar la oportunidad de ataques contra dispositivos IoT para así controlarlos en el hogar o la oficina, a través del producto estrella del mercado. Se ha dicho que se centrarán en diseñar un código malicioso que no solamente arremeta en su contra, sino contra los asistentes digitales que se comunican con ellos con tanta facilidad.

“Los smartphones ya han servido de puerta de entrada de amenazas. En 2019, pueden convertirse perfectamente en el instrumento que abra una puerta mucho más grande. Ya hemos visto dos amenazas que demuestran lo que los ciberdelincuentes pueden hacer con dispositivos desprotegidos, a través de la red de bots Mirai, que golpeó por primera vez en 2016, e IoT Reaper, en 2017”.

Según el informe de McAfee Labs, estos ejemplos de malware para dispositivos IoT aparecieron con muchas variantes para atacar dispositivos conectados, como enrutadores, grabadoras de vídeo en red y cámaras IP. Poco después consiguieron ampliar su alcance con el descifrado de contraseñas y el aprovechamiento de vulnerabilidades conocidas para crear redes de robots a escala mundial.

Este año los especialistas esperan ver dos vectores principales para ataques contra dispositivos IoT domésticos: enrutadores y smartphones/tablets.

Y es que la red de bots Mirai puso de relieve la falta de seguridad de los enrutadores, mientras que, los smartphones infectados, que ya pueden supervisar y controlar dispositivos domésticos, se convertirán en uno de los principales objetivos de los ciberdelincuentes. Todo apunta a que utilizarán técnicas actuales y nuevas para hacerse de su completo control.

“Los creadores de malware aprovecharán los teléfonos y tablets, dispositivos de total confianza en la actualidad, para intentar controlar los dispositivos IoT mediante el descifrado de contraseñas y el aprovechamiento de vulnerabilidades. Estos ataques no parecerán sospechosos, ya que el tráfico de red procede de un dispositivo de confianza”.

Vulnerabilidades IoT

De acuerdo al informe de McAfee Labs, la tasa de éxito de estos ataques contra dispositivos IoT aumentará y las rutas de los ataques serán difíciles de identificar. Un smartphone infectado, por ejemplo, podría provocar un secuestro de la configuración DNS de un enrutador.

“Las vulnerabilidades en apps móviles y en la nube también están listas para ser aprovechadas, con los smartphones en el centro de la estrategia de los ciberdelincuentes”.

Los dispositivos iOS infectados se cree que proporcionarán redes de bots que pueden utilizarse para lanzar ataques DDoS (Denegación de Servicio), así como robar datos personales.

Además, se ha considerado que el malware para dispositivos IoT más sofisticado aprovechará los asistentes digitales controlados por voz para ocultar sus actividades sospechosas ante los usuarios y el software de seguridad de redes domésticas.

Las actividades maliciosas, como abrir puertas y conectar con servidores de control, se podrán activar mediante comandos de voz tales como “Reproducir música” y “¿Qué tiempo hace hoy?”. “Muy pronto oiremos hablar de dispositivos IoT infectados exclamando ellos mismos: ‘¡Asistente, abre la puerta trasera!’”.