Cómo la divulgación de vulnerabilidades te mantiene a ti y a tu familia seguros


Rodeados de dispositivos domésticos inteligentes, así como de aplicaciones que se integran con otros servicios, estamos entrando en una period de tecnología de consumo donde todo puede hablar con todo. Para la mayoría de los consumidores, esto se sentirá como el siguiente paso lógico en un avance tecnológico que ha estado ocurriendo durante décadas.

Este año, veremos que más compañías anuncian más productos inteligentes nuevos que nunca antes, y sabemos que mientras algunos de estos dispositivos y servicios tendrán un enorme éxito, otros se hundirán sin dejar rastro. Desde timbres, básculas de cocina y tazas de café hasta refrigeradores e incluso automóviles, miles de empresas están compitiendo para construir la próxima generación de dispositivos inteligentes, y nadie sabe a ciencia cierta qué despegará.

Sin embargo, lo que sí sabemos con certeza es la amenaza potencial que puede representar, o, para los cibercriminales, la oportunidad. Mientras que, para los usuarios domésticos, tener productos que se comuniquen entre sí va junto con la portabilidad y el poder como parte del progreso tecnológico general, en términos de seguridad, este cambio es diferente a cualquier otra cosa. Cada dispositivo IoT que compramos es otra ruta que un atacante podría usar para hacer daño y ganar dinero. Con tantas opciones disponibles, ¿cómo puede comprar la comodidad de los dispositivos conectados en su hogar y, al mismo tiempo, asegurarse de mantenerse a salvo? Básicamente, no se trata de si los productos pueden tener vulnerabilidades, sino de cómo reaccionan las empresas cuando se encuentran vulnerabilidades.

Todo conectado

No existe un tipo único de ciberataque contra la tecnología de consumo conectada. En su forma más uncomplicated, los ataques a dispositivos de consumo de IoT no seguros pueden afectar solo al dispositivo en sí. Por ejemplo, podría tomarse una bombilla inteligente y utilizar su conexión a Online como herramienta para atacar a otros objetivos: preocupantes, pero no directamente perjudiciales para el propietario de la bombilla. Sin embargo, estos ataques son más preocupantes cuando el atacante está robando no solo una conexión a Internet, sino la identidad de su propietario al comprometer sus datos de inicio de sesión.

Una preocupación aún más grave para los usuarios serán las situaciones en las que la funcionalidad de un dispositivo puede ser controlada por alguien que no sea el propietario. Recientemente, el equipo de Investigación Avanzada de Amenazas de McAfee encontró un ejemplo preocupante de esto donde una puerta de garaje inteligente puede ser engañada para abrirse cuando el propietario cree que la está cerrando de forma remota, por ejemplo, después de abrirla para permitir que se entregue un paquete mientras están en trabajo. Nuestro equipo también encontró una vulnerabilidad en un enchufe inteligente que, cuando se explota cuidadosamente, puede otorgar acceso a cualquier otra cosa en la misma pink doméstica, como computadoras, televisores y sistemas de seguridad. Y, más recientemente, también identificamos una nueva vulnerabilidad en vehículos autónomos que discutí en un weblog anterior.

Trabajando juntos

Encontrar vulnerabilidades que un atacante podría aprovechar es un trabajo difícil y altamente especializado. En McAfee, nuestros equipos de investigación utilizan técnicas similares a las que los delincuentes podrían emplear para intentar llegar primero.

Por supuesto, contarle al mundo sobre estos problemas tan pronto como los encontremos les daría a los delincuentes la oportunidad de usarlos antes de que las compañías que fabrican los productos tengan la oportunidad de resolverlos. Es por eso que nosotros, al igual que otras organizaciones que realizan este tipo de trabajo, seguimos una política de divulgación responsable: primero, le decimos a la empresa preocupada por lo que encontramos, y luego, después de un período de tiempo establecido, registramos un aviso público (como este Para el vulnerabilidad de enchufe inteligente) que pone esta información en el dominio público. De esa manera, las empresas tienen tanto el tiempo como la motivación para solucionar el error.

La buena noticia es que todo esto nos da pasos específicos a seguir que pueden ayudar a garantizar que nuestras vidas conectadas también sean seguras:

  • Investigue productos por adelantado: la búsqueda del nombre del producto más la «vulnerabilidad» debería mostrar rápidamente si algún equipo de investigación ha identificado problemas con él, si se ha solucionado.
  • Dar tiempo a los investigadores de ciberseguridad: si bien los productos nuevos son emocionantes, elegir un dispositivo que haya estado en el mercado durante algún tiempo aumenta las probabilidades de que se descubran vulnerabilidades importantes.
  • Mantenga su tecnología actualizada: estar conectado significa que los problemas con los dispositivos IoT generalmente se pueden solucionar con un nuevo software program, por lo que verificar regularmente las nuevas actualizaciones minimizará las posibilidades de quedar atrapado.

Si bien grupos como el equipo de McAfee Superior Menace Investigation están trabajando arduamente para encontrar posibles ataques, también es basic que las empresas que fabrican estos productos tengan lo que llamamos programas de divulgación de vulnerabilidades. Estos programas se utilizan para alentar a los grupos de investigación a investigar la seguridad de los productos y asegurar al mundo que la compañía responderá positivamente cuando se encuentren vulnerabilidades. Estos pasos, después de todo, solo son útiles si las empresas buscan activamente garantizar que sus productos sean seguros.

Por ejemplo, el fabricante líder de bombillas inteligentes Philips tiene una página net dedicada explicando cómo informar de manera segura una vulnerabilidad a la empresa, lo que significa que si se encuentra un problema, las personas adecuadas verán rápidamente los detalles y, con suerte, se solucionarán. manzana y Google vaya un paso más allá al ofrecer recompensas de hasta $ 1 millón por encontrar problemas en su program, incentivando a los investigadores a arrojar todo lo que tienen para descubrir problemas. Si bien no puede garantizar la seguridad, un programa de divulgación de vulnerabilidad debe verse como una condición previa para comprar un dispositivo conectado de un fabricante.

Al ser inteligente acerca de los dispositivos inteligentes de su hogar, junto con medidas familiares como el uso de contraseñas seguras y únicas, puede disfrutar de la conveniencia de la conectividad y al mismo tiempo protegerse en línea.





Enlace a la noticia authentic