Por Alberto Escribano Linkedin

  • Soporte a Dirección en Enagas S.A.
  • Alumno de la 8ª edición del Máster en Ciberseguridad del Campus Internacional de Ciberseguridad.
Alberto Escribano
Alberto Escribano

Por Alberto Escribano Linkedin

  • Soporte a Dirección en Enagas S.A.
  • Alumno de la 8ª edición del Máster en Ciberseguridad del Campus Internacional de Ciberseguridad.

El Internet of Things podría describirse como una red de objetos físicos («cosas«) que llevan incorporados sensores, software y otras tecnologías con el fin de conectarse e intercambiar datos con otros dispositivos y sistemas a través de una red (bien sea privada o Internet), dónde todos ellos podrían ser visibles e interaccionar. Los dispositivos que utilizan esta interacción maquina a maquina (M2M) pueden ser muy diferentes, desde electrodomésticos hasta dispositivos industriales, pasando por cualquier otro que cumpla las premisas indicadas.

Con el incremento exponencial del uso de dispositivos IoT, tanto en hogares como en empresas, se ha disparado el número de ataques que reciben estos dispositivos, convirtiéndose en uno de los principales objetivos a día de hoy.

Además, la creencia de que el compromiso de uno de estos equipos no tiene consecuencias graves hace que muchos fabricantes se hayan aventurado a crear este tipo de dispositivos sin prestar especial atención a la seguridad de los mismos poniéndolos en el centro de la diana de los atacantes.

Estudiar los métodos de ataque usados en los ataques a estos dispositivos nos ayuda a prevenir y minimizar el impacto de los mismos.

Estado del arte I

El incremento de ataques a dispositivos IoT cumple la premisa de que, cuanto mayor es la superficie de exposición, mayor es la amenaza.

El denominado hogar inteligente ha sido un factor esencial en este aumento. La inclusión de la domótica en nuestras casas ha hecho que muchas de las acciones cotidianas que realizábamos en nuestro domicilio sean controladas por “maquinas”.

También, las denominadas smart cities, cuyo crecimiento exponencial se está produciendo en los últimos tiempos, ayuda a que el número de dispositivos conectados haya aumentado sustancialmente.

Por supuesto, la mayor automatización de los procesos industriales ha hecho que este tipo de equipos sean más necesarios que nunca, incrementando de manera evidente el número de los mismos.

La gran mayoría de los ataques que reciben estos dispositivos están encaminados a formar redes zombies (botnets) que permiten a los ciberdelincuentes realizar otras acciones, fundamentalmente, enviar spam, propagar malware o realizar ataques de denegación de servicio distribuido (DDoS).

Estado del arte II

Aunque, como indiqué previamente, una mayoría de los ataques registrados por estos terminales tienen como objetivo que formen parte de una red botnet, en otras ocasiones se pueden usar para objetivos más elevados. Por ejemplo, se puede usar el compromiso de un dispositivo IoT industrial como pivote para perpetrar un ataque de consecuencias impredecibles sobre la compañía en la que se encuentra.

Conocer las técnicas y procedimientos utilizados por los “malos” nos ayuda no sólo a poder predecir y evitar el compromiso que pudiese ocasionar un ataque si no también a, una vez que se ha producido, minimizar los daños que pudiese ocasionar.

Para conseguir evaluar lo descrito anteriormente, sin exponer nuestros sistemas, una de las mejores opciones es el uso de Honeypots.

Aunque el objetivo primordial de este Trabajo Fin de Máster es conocer en detalle lo expuesto anteriormente, un Honeypot puede ayudar, también, en la detección de ataques usándolo como señuelo, monitorizándolo y enviando alertas ante comportamientos inesperados que coincidan con  los IOCs que se han estudiado previamente o que otros han obtenido en sus investigaciones.

Estado del arte III

Elegir un Honeypot acorde a nuestras necesidades es primordial para poder obtener los mejores resultados. Para ello hay que tener en cuenta los tipos existentes:

  • De interacción alta: Es un equipo que posee servicios reales instalados. Es necesario que esté perfectamente aislado del resto de la red para impedir que un ataque exitoso permita el acceso a la red de nuestra organización. La información que se genera en este sistema es sumamente detallada. Además, es más difícil que un atacante pueda darse cuenta de que está siendo engañado. En este tipo de Honeypot podemos implementar nuestras propias herramientas.
  • De interacción media: Tiene algunos servicios básicos, como puede ser un servidor web o FTP, que se pueden programar para dar algún tipo de respuesta al atacante. Más allá de la respuesta básica, los servicios no son reales —emulan servicios reales— por lo tanto, el atacante no puede obtener acceso al sistema. La información que se genera en este tipo de Honeypot es sensiblemente menor que en un Honeypot de alta interacción, pero son más fáciles de mantener e implementar.
  • De interacción baja: Simula solo algunos servicios de red básicos, como la conectividad TCP/IP, ICMP, NetBIOS, etc. La información que podemos recolectar de este tipo de Honeypot es mucho más escasa, básicamente solo podremos saber si alguien está escaneando la red, pero no podremos obtener más información sobre las técnicas o las intenciones detrás de dicha acción.

Si quieres ver el proyecto completo de Alberto, rellena el formulario y te lo mandamos a tu correo electrónico.

¿Quieres obtener el mismo conocimiento que Alberto?

APRENDE MÁS CON EL MÁSTER EN CIBERSEGURIDAD

Comparte este post