La falta de seguridad en los dispositivos de IoT: un problema alarmante

Un nuevo informe revela una imagen escandalosa de cómo muchas de las marcas más populares de Internet de las Cosas (IoT) no protegen a sus clientes de ser espiados, tener sus datos robados o ayudar involuntariamente a actividades delictivas. El informe, encargado por la Fundación de Seguridad de IoT (IoTSF), encontró que nueve de cada diez (90.3%) de las marcas globales de IoT para consumidores analizadas simplemente no permiten que los investigadores de seguridad informen adecuadamente las vulnerabilidades que encuentran.

El informe buscaba responder a una pregunta simple pero fundamental para la seguridad de IoT: ¿qué tan ampliamente se practica la divulgación de vulnerabilidades en el ámbito de los productos de IoT para consumidores? La respuesta parece ser sorprendentemente mala. El autor del informe buscó descubrir si los fabricantes y vendedores de IoT para consumidores tenían un canal dedicado a través del cual los investigadores de seguridad pudieran comunicar cualquier vulnerabilidad que pudieran haber encontrado. Todos los productos incluidos en la investigación estaban disponibles en el mercado abierto y no eran prototipos, y tanto las marcas como los fabricantes involucrados eran típicamente internacionales en alcance.

En total, se incluyeron un total de 331 empresas de productos para consumidores en los resultados; responsables colectivamente de cientos de líneas de productos de IoT y millones de dispositivos vendidos. Estos abarcaban desde juguetes conectados a Internet de marcas como Hasbro y Mattel, hasta marcas de armas como Armatrix, Tracking Point y Vaultek, sin mencionar a D-Link, NEC, OnePlus, Sonos y TomTom. Sorprendentemente, 299 (90.3%) de ellos no tenían ninguna forma de política pública de divulgación de vulnerabilidades, dejando solo 32 (9.7%) con algún tipo de programa para que los investigadores de seguridad lo utilicen. De esos 32, solo 15 tenían un incentivo o programa de recompensa por errores para alentar a los investigadores de seguridad a encontrar las vulnerabilidades en sus productos que podrían ser explotadas por actores malintencionados. Una empresa incluso llegó al extremo de afirmar que la investigación de seguridad no estaba permitida al poner restricciones en la investigación de seguridad en sus términos de servicio.

Los mejores desempeños en general fueron algunos de los mayores de las marcas; notablemente Google y Samsung. Apple ofrecía un programa de recompensa por errores, pero solo por invitación. Amazon, Huawei, HTC, LG, Motorola, Samsung y Sony tenían procesos establecidos para la divulgación de vulnerabilidades pero no programas de recompensa por errores.

Contacté a algunas de esas empresas que no tenían ni un programa de recompensa por errores ni una política aparente de divulgación de vulnerabilidades, con el objetivo de averiguar por qué era así y si era una omisión de seguridad que corregirían en el futuro. Estas incluían a Bose, Foscam, Hasbro, Logitech, Mattel, NEC, OnePlus, Sonos, TomTom, Whirlpool y WyzeCam. Ninguna había respondido a mi solicitud de comentarios en el momento de la publicación de hoy.

Pregunté a David Rogers, autor del informe, miembro de la junta ejecutiva de IoTSF y CEO de la consultora de seguridad Copper Horse, si ve alguna similitud entre el bajo número de empresas que aparentemente permiten la divulgación de vulnerabilidades de manera sencilla por parte de investigadores de seguridad externos y el número relativamente alto de exploits reportados que continúan afectando al sector de IoT. “Hay una relación directa entre las empresas que ofrecen programas de divulgación de vulnerabilidades y la seguridad”, dice David, y agrega: “esto muestra que aquellos que los tienen al menos han pensado en el hecho de que los investigadores de seguridad pueden querer divulgar vulnerabilidades y eso indica que están pensando en la seguridad dentro de sus negocios y productos”. El hecho de que un número tan alto de empresas no tenga ningún mecanismo de informe es un indicador claro de que no todo está bien. “Esta investigación simplemente cuantifica lo que la comunidad de investigación de seguridad y piratería ha sabido durante años”, confía David, y continúa: “las empresas de productos de IoT tienen poco interés en facilitar que los investigadores de seguridad puedan contactarlas”. Él ve esto como la punta del iceberg cuando se trata de los bajos niveles de seguridad de IoT en los productos de consumo en todo el mundo y tiene un impacto directo en los consumidores. “Es hora de que esta situación cambie”, insiste David, “los organismos de la industria como IoTSF tienen recomendaciones disponibles para implementar, por lo que no hay excusa para que las empresas no operen programas de divulgación de vulnerabilidades”.

Artículo original: Forbes

Te puede interesar

Axial ERP ofrece un abanico de soluciones robustas para gestión y automatización de procesos empresariales, caracterizadas por su simplicidad de uso y su capacidad para brindar una experiencia de gestión empresarial completamente integrada.

Facebook Linkedin

Menú

Contacto

info@axial-erp.co

(+57) 601 5898710

Bogotá Colombia | Estados Unidos

© 2022-2024 Axial Solutions LLC. Todos los derechos reservados. Todas las demás marcas comerciales y derechos de autor pertenecen a sus respectivos dueños.