8 formas en las que 5G cambiará la seguridad de la IoT

Y cómo prepararse

0
43

Las redes móviles 5G súper rápidas prometen vincular no solo a las personas de manera más eficiente, sino también una mayor interconectividad y control de máquinas, objetos y dispositivos. Sus altas tasas de transferencia de datos de Gbps, baja latencia y alta capacidad serán una bendición para los consumidores y las empresas por igual. Eso viene con nuevos riesgos de seguridad significativos.

El fabricante global de electrodomésticos, Whirlpool, ya ha comenzado el proceso de implementación de 5G para una de sus fábricas. La compañía está utilizando dispositivos IoT para el mantenimiento predictivo, controles ambientales, monitoreo de procesos utilizando una red Wi-Fi de área local tradicional; y, además, el 5G le permitirá a la compañía hacer algo que es imposible con Wi-Fi: implementar montacargas y otros vehículos autónomos.

«Mis fábricas tienen mucho metal», comenta Douglas Barnes, gerente regional de aplicaciones de infraestructura de fabricación de TI y TO de América del Norte Whirlpool. «El Wi-Fi se refleja en el metal. Incluso si utilizáramos un Wi-Fi Mesh en la fábrica, seguimos teniendo demasiado metal. Pero el 5G atraviesa las paredes y no se refleja en el metal».

Eso significa que una vez que el 5G esté instalado en la planta de producción, Whirlpool podrá hacer cambios dramáticos, anota. «Esto nos permitirá implementar vehículos verdaderamente autónomos en toda la planta, para el mantenimiento, para la entrega, para todo lo que respalde las operaciones de producción. Ese argumento comercial tiene mucho peso y mucho ahorro de costos. La recuperación de la inversión del 5G es muy favorable».

La compañía ya ha realizado las pruebas para asegurarse de que los vehículos autónomos funcionen, comenta. El capital se asignará este mes, y los vehículos deberían estar funcionando con 5G para finales de este año. «Si logramos que funcione, el argumento comercial de los vehículos autónomos paga por todo lo demás», agrega.

Barnes es muy consciente de los problemas de ciberseguridad que la IoT crea para las empresas, así como la medida en que todos esos problemas se amplificarán con el cambio a 5G. Whirlpool trabajó con su socio de 5G, AT&T, para abordar esas preocupaciones. «Luchamos esas batallas todos los días», asegura. «Entonces, incluso antes de comenzar, el primer tema que tocamos con AT&T fue cómo hacer que sea una red segura».

A continuación, se presentan siete áreas clave que las empresas como Whirlpool deben tener en cuenta en la creación de sus planes de implementación de 5G.

1. Cifrar y proteger el tráfico de red 5G
Con 5G, se espera que la cantidad de dispositivos inteligentes conectados a redes aumente drásticamente, al igual que el volumen de tráfico a lo largo de esas redes. Según Gartner, el número de dispositivos IoT empresariales y automotrices aumentará a 5,8 mil millones el próximo año, un 21% más que el total esperado de 4,8 mil millones de puntos finales de IoT para este año. Eso hace que estas redes sean un entorno lleno de objetivos para los atacantes, incluso más que hoy en día.

Barnes comenta que, para abordar este problema, Whirlpool cifrará todo el tráfico 5G y configurará las antenas 5G para aceptar solo el tráfico aprobado. «A medida que agregamos dispositivos, los configuramos como dispositivos aceptables en el 5G», señala. «Si no están en la lista permitida, no los escuchamos. Y como está encriptada, no me preocupa que alguien intente capturar la señal, pues no podrá hacer mucho con ella».

Si el tráfico sale de la red local y se va al 5G público, o a la Internet, las comunicaciones serán aseguradas a través de un túnel VPN protegido, añade. «Debido a que es probable que tengamos que usar el 5G para comunicarnos con el mundo exterior, lo configuramos por adelantado», anota.

2. Proteger y aislar los dispositivos vulnerables
La siguiente línea de posibles debilidades son los dispositivos mismos. «Gran parte de esta industria no es consciente de la seguridad», indica Barnes. Los equipos industriales a menudo tienen sistemas operativos patentados, y no tienen la capacidad de instalar parches o cuentan con licencias que lo prohíben. «No están diseñados para ser actualizados», comenta.

De hecho, la mayoría de los errores de seguridad de IoT no han sido solucionados, asegura Jonathan Tanner, investigador senior de seguridad de Barracuda Networks. Algunos dispositivos tienen problemas que no se pudieron solucionar con una actualización de firmware, o no tienen un mecanismo para actualizar el firmware, comenta. Incluso cuando los fabricantes de dispositivos agregan características de seguridad a la siguiente generación de sus dispositivos, los antiguos aparatos inseguros todavía están ahí fuera.

Algunas empresas no se preocupan, agrega Tanner, e ignoran a los investigadores de seguridad que señalan vulnerabilidades. «Hay compañías con dispositivos vulnerables que se han ido a la quiebra», anota Tanner. «Y han dejado sus dispositivos atascados con las vulnerabilidades que existían originalmente».

¿Qué puede hacer una empresa cuando está atrapada con uno de estos dispositivos IoT inseguros? El aislamiento de la red puede ayudar a protegerlos, indica Barnes de Whirlpool, en combinación con otras tecnologías de seguridad de red. «Tenemos un enfoque de dos niveles», explica. «La seguridad de red que monitorea todo el tráfico, y una seguridad de segundo nivel más asociada al protocolo, que realiza una inspección profunda de paquetes, buscando ese tipo de actividad maliciosa incrustada dentro del protocolo».

Luego, además de eso, está la higiene de seguridad general, como los parches siempre que sean posibles, auditorías de seguridad periódicas de todos los dispositivos, tener un inventario completo de dispositivos de todo lo que hay en la red.

3. Prepararse para ataques DDoS más grandes
En general, 5G no significa una seguridad más débil que las generaciones anteriores de tecnología inalámbrica. «5G trae nuevas características de seguridad que no están disponibles en 4G o 3G», comenta Kevin McNamee, director del laboratorio de inteligencia de amenazas de Nokia. «Con 5G, todo el plano de control se ha trasladado a un tipo de entorno de servicios web, donde está muy autenticado y seguro. Esa es una mejora».

Esa mejora de la seguridad se verá compensada por las mayores oportunidades para las botnets, señala McNamee. «5G aumentará considerablemente el ancho de banda disponible para los dispositivos», indica. «Y aumentar el ancho de banda significa mayor ancho de banda disponible para los bots de IoT». 

Una de las cosas para las que se utilizará el mayor ancho de banda será para encontrar más dispositivos vulnerables y propagar la infección. Los consumidores están comprando dispositivos domésticos inteligentes a un ritmo acelerado. Al igual que con Whirlpool, las empresas también son grandes usuarios de dispositivos IoT. También lo son las agencias gubernamentales y otros tipos de organizaciones.

5G hará posible que los dispositivos se coloquen en áreas remotas, donde pueden ser difíciles de mantener. «Habrá hordas de sensores que registrarán todo, desde el clima hasta la calidad del aire y las transmisiones de video», indica Cameron Camp, investigador de seguridad de ESET y copresidente de la Asociación de Proveedores de Servicios de Internet Inalámbrico del estado de Oregon. «Esto significa que hay nuevos enjambres de máquinas que pueden ser hackeadas y enlistadas en botnets. Dado que estos sensores estarán en gran medida desatendidos, será difícil detectar y responder a los hackeos».

Además, los dispositivos IoT tienden a quedarse por un tiempo. Los usuarios no van a reemplazar un dispositivo que todavía hace lo que se supone que debe hacer. Los atacantes quieren adoptar un enfoque discreto para sus botnets para que no llamen la atención. Incluso si hay un parche disponible, o un fabricante vende una versión actualizada y más segura del dispositivo, es posible que los clientes no se tomen la molestia de hacer el cambio.

Mientras tanto, muchos dispositivos IoT inteligentes ejecutan sistemas operativos reales como Linux incorporado, que les permite ser computadoras casi completamente funcionales. Los dispositivos infectados se pueden usar para alojar contenido ilegal, malware, datos de comando y control y otros sistemas y servicios valiosos para los atacantes. Los usuarios no piensan en estos dispositivos como computadoras que necesitan protección antivirus, parches y actualizaciones. Muchos dispositivos IoT no mantienen registros de tráfico entrante y saliente. Esto permite a los atacantes permanecer en el anonimato y hace que sea más difícil cerrar las botnets.

Esto lo convierte en una triple amenaza. La cantidad de dispositivos potencialmente explotables, el ancho de banda disponible para difundir la botnet, y el ancho de banda disponible para que los dispositivos realicen ataques DDoS están aumentando. Las empresas deben prepararse para la llegada de ataques DDoS en un orden de magnitud mayor en un entorno 5G de lo que ocurre actualmente, ya que muchos de los dispositivos todavía son inseguros y algunos no son compatibles.

4. Pasar a IPv6 podría hacer públicas las direcciones privadas de Internet
A medida que los dispositivos proliferan y las velocidades de comunicación mejoran, las empresas pueden verse tentadas a usar IPv6 en lugar de IPv4, que es común hoy en día. IPv6, que permite direcciones IP más largas, se convirtió en un estándar de Internet en el 2017.

No hay suficientes direcciones IPv4 para todos; solo alrededor de 4.3 mil millones de direcciones posibles. Algunos registros comenzaron a quedarse sin números en el 2011, y las organizaciones comenzaron a trasladarse a IPv6 en el 2012. Pero actualmente, menos del 30% de los usuarios de Google acceden a la plataforma a través de IPv6, según datos de The Internet Society.

En lugar de usar IPv6, gran cantidad de organizaciones, casi todos los dispositivos residenciales y muchas redes de teléfonos móviles usan direcciones IPv4 privadas, señala McNamee de Nokia. «Esto les proporciona una protección natural contra los ataques, ya que no son visibles para Internet», explica.

A medida que el mundo pasa a ser 5G, los operadores se trasladarán naturalmente a IPv6 para admitir miles de millones de dispositivos nuevos. Y si eligen direcciones IPv6 públicas en lugar de privadas, esos dispositivos ahora serán visibles. Esto no es un problema con IPv6, dice, ni con 5G, pero las empresas que mueven sus dispositivos de IPv4 a IPv6 pueden ponerlos accidentalmente en direcciones públicas. 

5. Edge computing aumenta la superficie de ataque
Las empresas que buscan reducir la latencia y mejorar el rendimiento para los clientes, o para su propia infraestructura dispersa, están inclinándose cada vez más hacia edge computing. Con 5G, las ventajas de edge computing son aún mayores, ya que los dispositivos de punto final tendrán más capacidades de comunicación.

Edge computing también aumenta dramáticamente la superficie de ataque potencial. Las empresas que aún no han empezado a trasladarse a arquitecturas de red de confianza cero deberían comenzar a pensar en ello ahora, antes de invertir significativamente en infraestructura de edge computing. Una vez que hayan conseguido lo anterior, la seguridad debe ser una consideración principal, no una reflexión posterior.

6. Los nuevos proveedores de IoT se centran primero en el mercado, no en la seguridad
La fiebre de IoT inspirará a nuevos proveedores a ingresar al campo, y a los proveedores existentes a lanzar nuevos dispositivos al mercado. Ya hay más dispositivos IoT que investigadores de seguridad que buscan vulnerabilidades, señala Tanner de Barracuda. Con la llegada de nuevos fabricantes, veremos un ciclo completamente nuevo de errores de seguridad, asegura.

Tanner está viendo que se cometen los mismos errores una y otra vez, y las vulnerabilidades reportadas en los dispositivos IoT están aumentando, no disminuyendo. «No hay suficiente aprendizaje de los errores que les suceden a otros en la industria», anota.

«A los vendedores no les importa», señala Joe Cortese, quien irrumpe en las redes corporativas para ganarse la vida como líder de práctica de pruebas de penetración en A-lign Compliance and Security. «A principios de este año, compré cinco dispositivos relacionados con el encendido y apagado de las luces, y pude acceder a cuatro de ellos desde fuera de mi casa. Los dispositivos tienen modos de prueba integrados que el vendedor nunca quitó».

Todos los proveedores quieren ser los primeros en vender, señala Cortese. Para muchos, la forma más rápida de sacar un dispositivo es utilizar una plataforma lista para usar como Linux incorporado. «Yo solía trabajar para la comunidad de inteligencia», cuenta. «Y recientemente tuve en mis manos un malware de IoT que puede derribar un dispositivo con siete líneas de código». Los fabricantes que no endurecen sus dispositivos son vulnerables a este ataque, asegura.

Los atacantes podrían usar esto, por ejemplo, para cerrar una fábrica o infraestructura esencial, o retener los sistemas de una compañía para exigir un rescate. «No he visto que haya sucedido todavía, pero esto se debe a que el 5G aún no se ha implementado extensamente», señala Cortese. «Con una mayor adopción de 5G y un aumento de IoT, probablemente veamos un gran aumento en las vulnerabilidades de los sistemas como en la industria manufacturera». 

7. Tener cuidado con los ataques de suplantación
Como la mayoría de las redes 5G no son independientes, siguen siendo vulnerables a algunos de los defectos inherentes a los protocolos 4G y anteriores. El protocolo GTP, utilizado para transmitir el tráfico de usuarios y control en redes 4G y anteriores es un ejemplo. Tiene una vulnerabilidad que permite la intercepción de los datos del usuario, lo que puede conducir a un ataque de suplantación.

Positive Technologies lanzó recientemente un informe sobre vulnerabilidades GTP, y su efecto en las redes 5G. Una vulnerabilidad que describe es que GTP no verifica la ubicación del usuario, lo que dificulta determinar qué tráfico es legítimo. Todo lo que un atacante necesita para suplantar a un usuario es su identidad de suscriptor IMSI y su identificador de túnel TEID. Este último se puede obtener fácilmente, y los atacantes tienen varias formas de adquirir el IMSI, de las cuales la más simple es comprar una base de datos en la web oscura.

Los ataques de suplantación de identidad a menudo se ven facilitados por servicios que realizan autenticación pass-through por conveniencia. Potencialmente, esto también podría exponer a socios externos a un acceso no autorizado.

Los investigadores de Positive Technologies sugieren que las organizaciones rastrean la ubicación del usuario o dispositivo, pero observan que las herramientas de seguridad necesarias para hacer esto no están implementadas en la mayoría de las redes.

8. Alguien debe hacerse cargo de la seguridad de IoT
La barrera más grande para la seguridad de IoT no es tecnológica, sino psicológica. Nadie quiere asumir la responsabilidad. Todos quieren culpar a alguien más. Los compradores culpan a los vendedores por no asegurar sus dispositivos. Los vendedores culpan a los compradores por elegir productos más baratos y menos seguros. En un mundo 5G, las consecuencias de asumir que otra persona es responsable de la seguridad de IoT serán inmensamente mayores. 

Según una encuesta publicada por Radware el año pasado, el 34% de los encuestados cree que el fabricante del dispositivo es responsable de la seguridad de IoT, el 11% cree que los proveedores de servicios lo son, el 21% cree que la responsabilidad recae en el consumidor privado, y el 35% cree que las organizaciones comerciales deberían asumir la responsabilidad. «En otras palabras, no hay consenso», señala Mike O’Malley, vicepresidente de estrategia de Radware. Además, los consumidores no tienen el conocimiento o las habilidades. Las empresas no pueden contratar suficiente personal. Los fabricantes son demasiado descoordinados y numerosos para poderlos controlar.

Las empresas pueden contratar proveedores de servicios para asumir parte de la carga, pero eso no aborda el problema de los dispositivos de consumo no seguros, los fabricantes que no están dispuestos a hacer cambios, y la falta de regulaciones y cumplimiento globales consistentes.

Todos deben asumir la responsabilidad de la seguridad de IoT. Los compradores deben insistir en que los productos que compren no tengan contraseñas o modos de prueba predeterminados, que las comunicaciones están encriptadas y autenticadas, y que los dispositivos reciban parches y actualizaciones regulares. Los proveedores deben sacar los dispositivos inseguros de los estantes y comenzar a pensar en la seguridad al comienzo del proceso de diseño de su producto, no después del hecho, luego de que comiencen a aparecer en los titulares de las noticias.

Maria Korolov, CSOonline.com