A pesar de que en los últimos años se ha prestado mayor atención a la ciberseguridad, el número de filtraciones de datos sigue aumentando. A medida que las empresas dedican más recursos (y gastan más) en seguridad, los ciberdelincuentes intensifican sus esfuerzos. Esto se observa especialmente en el ámbito de las amenazas persistentes avanzadas (APT) dirigidas a los dispositivos del Internet de las cosas.
Existen importantes incentivos, tanto económicos como de otro tipo, que impulsan a los ciberdelincuentes actuales.
Los paquetes de ransomware se pueden conseguir fácilmente en la Dark Web, y el ransomware supone un gran aliciente económico para los delincuentes. Los actores maliciosos vinculados a Estados también se han incorporado al panorama de las amenazas, llevando a cabo ataques con motivaciones políticas.
Por estas y otras razones, el número de variantes de malware está aumentando, y el malware que se crea es cada vez más sofisticado a medida que las empresas refuerzan sus medidas de ciberdefensa.
No parece que esta tendencia vaya a terminar pronto, ya que los delincuentes tienen demasiados incentivos.
Vulnerabilidades en el Internet de las cosas
El Internet de las cosas (IoT) hace referencia a la red de dispositivos conectados a Internet que utilizan tanto los consumidores como las empresas. Todo, desde un marcapasos conectado a la red hasta un detector de humo Nest o un Tesla autónomo, es un dispositivo IoT.
Los dispositivos IoT no dejan de ganar popularidad. Por desgracia, los ciberataques contra el IoT también están aumentando. Ataques al IoT:
- Son fáciles de poner en marcha gracias al código disponible públicamente, tanto en la Dark Web como en repositorios de código como GitHub
- Tienen una alta tasa de éxito
- Son difíciles de detectar y solucionar, lo que facilita las amenazas persistentes avanzadas (APT)
- Permitir que un atacante se introduzca en la red de una organización
- Permitir que un atacante añada más dispositivos a su red de bots (las redes de bots pueden utilizarse para ataques DDoS, envío de spam, etc.)
El número de vulnerabilidades está aumentando en general, y los ataques contra dispositivos del Internet de las cosas están aumentando especialmente.
Superficies de ataque del Internet de las cosas
Los atacantes comienzan buscando dispositivos IoT vulnerables e intentando comprometerlos. Pueden hacerlo a gran escala. Pueden permitirse fallar una y otra vez al intentar piratear los dispositivos, pero basta con que un dispositivo IoT sucumba a un ataque una sola vez para quedar comprometido.
Para empeorar las cosas, los dispositivos del IoT suelen presentar una serie de vulnerabilidades, tanto conocidas como desconocidas. El número de vulnerabilidades del IoT va en aumento, y los usuarios a menudo no aplican los parches ni instalan las actualizaciones a tiempo, lo que facilita enormemente a los atacantes el acceso a los dispositivos.
Otro motivo de preocupación es que los dispositivos del IoT suelen venir con credenciales predeterminadas que nunca se actualizan. Esto hace que la cuestión de las vulnerabilidades y la aplicación de parches resulte prácticamente irrelevante: si un atacante puede simplemente descifrar las credenciales mediante un ataque de fuerza bruta u obtenerlas de una lista de acceso público, el dispositivo ya está, a todos los efectos, comprometido.
Algunas características de las amenazas persistentes avanzadas en el Internet de las cosas

Técnicas de evasión
Las amenazas persistentes avanzadas suelen estar diseñadas para eludir la detección mediante la ofuscación del código, la detección de entornos virtuales y muchos otros métodos.

Técnicas de camuflaje
Los ciberdelincuentes son cada vez más hábiles a la hora de ocultar el malware que infecta un sistema.

Autopropagable
Muchas APT, además de permanecer de forma persistente en un sistema, buscan otros sistemas para infectar.

Eficiencia en el uso de los recursos
Este es un factor que distingue a las APT del IoT de las APT tradicionales en un ordenador convencional. Las APT del IoT necesitan menos del 5 % de la potencia de cálculo de un dispositivo medio para funcionar y, en ocasiones, el malware es lo suficientemente inteligente como para adaptarse tras detectar la capacidad de memoria del dispositivo.
La nueva cadena de ataque cibernético del IoT
La cadena de ataque cibernético es la serie de pasos que siguen los autores de las amenazas. En teoría, las defensas cibernéticas pueden identificar y bloquear cada uno de esos pasos. Lockheed Martin describió la «cadena de ataque cibernético» para las APT de la siguiente manera:

Sin embargo, en el caso de los dispositivos IoT, hay pasos adicionales en la cadena de ataque que hacen que las amenazas persistentes avanzadas (APT) relacionadas con el IoT resulten aún más peligrosas. La nueva cadena de ataque del IoT tiene el siguiente aspecto:
Las amenazas persistentes de tipo IoT no se limitan a infectar un solo dispositivo o red, sino que se propagan a otros dispositivos y se ocultan para poder mantenerse activas.
Estrategias de defensa del IoT
Las actualizaciones del sistema son esenciales para corregir vulnerabilidades, pero a menudo resultan inviables o no se llevan a cabo por otros motivos. Una vez publicado el parche, los atacantes pueden aplicar ingeniería inversa al exploit, lo que deja a los dispositivos sin actualizar en una situación de vulnerabilidad. Además, los proveedores a menudo no pueden o no quieren mantenerse al día con la corrección de todas las vulnerabilidades que se descubren en sus productos.
La cuarentena es una posible solución cuando se producen infecciones. Sin embargo, debido a las limitaciones del mundo real, puede resultar imposible o poco práctico poner en cuarentena los dispositivos. Por ejemplo, puede resultar difícil poner en cuarentena una cámara de seguridad que muestre signos de haber sido comprometida, pero que sea esencial para vigilar la seguridad del edificio.
IoT APT: Estrategias de defensa recomendadas OPSWAT
Para detener los ataques APT en el IoT, es necesario bloquear todas las amenazas ocultas en los datos. Una vez más, los ciberdelincuentes pueden permitirse el lujo de fallar, pero las defensas cibernéticas deben funcionar correctamente en todo momento.
Las defensas basadas en la detección son vulnerables a las técnicas de ocultación del malware. Las amenazas avanzadas pueden incluso engañar a los entornos de pruebas ejecutándose de forma aleatoria o detectando si se encuentran o no en un entorno virtual antes de ejecutarse. Además, es posible que ni siquiera la mejor tecnología de detección de malware sea capaz de detectar una amenaza de día cero.
OPSWAT por combinar estrategias basadas en la detección con la prevención avanzada de amenazas. Nuestra tecnología de depuración de datos (CDR) neutraliza las amenazas presentes en cualquier documento o imagen que entre en la red, desactivando y reconstruyendo los archivos tras eliminar el contenido potencialmente malicioso. Cualquier archivo puede y debe pasar por este proceso, independientemente de que se detecte o no una amenaza.

Además de aprovechar la depuración de datos (CDR), las organizaciones que utilizan dispositivos IoT deben seguir las mejores prácticas de seguridad en la medida de lo posible, actualizando los dispositivos con regularidad y restableciendo las credenciales de inicio de sesión predeterminadas. Por último, los dispositivos conectados a la red solo deben conectarse a Internet en general si es absolutamente necesario.
