La CEO de una compañía de ciberseguridad contó el caso de un casino que fue víctima del robo de datos de apostadores en un ataque realizado a través de un termostato inteligente en un acuario.
Con más frecuencia se ven casos donde los cibercriminales eligen dispositivos de Internet de las Cosas (IoT) para dirigir sus ataques e intentar acceder a la red de empresas u organizaciones. Es que, si bien esta clase de tecnología ofrece utilidades que mejoran la calidad de vida de las personas y hacen más eficiente el trabajo para las empresas, también representan una ampliación del escenario para los cibercriminales, que ven también en los dispositivos IoT la posibilidad de aprovecharse de vulnerabilidades y así ejecutar algún tipo de ataque con fines maliciosos.
Un ejemplo de este tipo de posibles ataques lo dio a conocer la CEO de la compañía en ciberseguridad Darktrace, Nicole Eagan, quién el pasado jueves contó, en el marco de la edición 2018 del encuentro anual del consejo de CEO´s del WSJ en Londres, el caso de un casino (que prefirió evitar nombrar) que fue víctima de un ataque en el que cibercriminales ingresaron a su red tras aprovecharse de una vulnerabilidad en el termómetro inteligente de un acuario ubicado en el lobby. De esta manera, los ciberdelincuentes lograron infiltrarse en la red y acceder a la base de datos del casino, robando información como los nombres de grandes apostadores, y luego extraerla fuera de la red para finalmente subirla a la nube.
Según publicó Business Insider, durante el relato de Eagan estaba a su lado Robert Hannigan, el ex director de la agencia de espionaje digital del gobierno británico, quien asentía cuando se afirmaba que los ataques hacia dispositivos IoT representan una preocupación creciente para las compañías y agregó: “he visto cómo un banco fue víctima de un ataque a través de sus cámaras CCTV” al tiempo que explicó también que esto se debe “a que esta clase de dispositivos (las cámaras) se compran exclusivamente teniendo en cuenta el precio”. Asimismo, dijo que es necesario crear regulaciones para obligar a crear normas de seguridad.
Sin embargo, esto no es del todo nuevo. Ya en 2016 la empresa Pen Test Partner demostró lo fácil que podía llegar a ser desarrollar un ransomware dirigido a dispositivos IoT, cuando en una conferencia realizada ese año explicaron cómo era posible tomar el control de un termostato y extorsionar al usuario, incluso estando a cientos de kilómetros de distancia. Esta demostración fue realizada con el objetivo de poner el foco en el estado de seguridad que presentaban los dispositivos inteligentes y la preocupación que esto generaba.
Como ya dijimos, los dispositivos inteligentes presentan vulnerabilidades de seguridad que los convierten en objetivos fáciles de vulnerar, entre otras cosas porque muchos fabricantes de estas soluciones inteligentes no hacen especial hincapié en la seguridad. En este sentido, tanto los desarrolladores de esta clase de tecnología como las compañías que hagan uso de la misma, deberán tener en cuenta cada vez más el aspecto de la seguridad para esta clase de dispositivos, ya que tal como se mencionó en Tendencias en Ciberseguridad 2018, los ataques a dispositivos IoT se espera que sigan creciendo.