IoT y seguridad. ¿Podrían matar a mi vecino Óscar en remoto?

Tiempo de lectura estimado: 7 minutos

Esta conferencia magistral pertenece al Módulo 11 “IoT y Seguridad” de C1b3rWall Academy 2021/2022. El objetivo de esta es mostrar a través de la historia de Óscar, un enfermo de diabetes, las aplicaciones de los dispositivos IoT médicos y cómo estos pueden ser securizados.

Un dispositivo IoT médico

Óscar utiliza un dispositivo IoT médico, en su caso una bomba de insulina.

• Este dispositivo emula el comportamiento de un páncreas.
• Cumple tareas de dosificación y monotorización.
• Se encuentra integrado con la nube del fabricante.
• Permite al médico de Óscar tener control sobre sus niveles de glucosa de manera remota.

Aunque esto parezca algo ideal, la realidad es que la Agencia Española del Medicamento ha realizado varios avisos en los últimos años acerca de algunos fabricantes, cuyos dispositivos médicos son vulnerables al acceso de terceros, llegando incluso a producirse la retirada de algunos dispositivos por motivos de ciberseguridad.

Estas vulnerabilidades, en el caso de la bomba de insulina de Óscar, podrían permitir a terceros:

• Copiar las señales de radiofrecuencia inalámbricas del mando a distancia del usuario.
• Reproducirlas posteriormente.
• Programar en remoto la administración de una cantidad de insulina.
• Provocar un impacto en la salud del usuario.

Ante esta situación, nos preguntamos lo siguiente: ¿Estos dispositivos vulnerables se pueden securizar?

Marco de Referencia para IoT

Para responder a esta pregunta necesitamos conocer en primer lugar cómo funcionan los dispositivos IoT. Para ello tomamos como referencia el Marco de Referencia para IoT, basado en el artículo publicado por Cisco “The Internet of Things Reference Model”.

En este caso, aplicaremos estos siete niveles tomando como referencia la bomba de insulina de Óscar, con el fin de analizar los activos y amenazas presentes en cada uno de estos niveles.

1.Dispositivos físicos y controladores

2.Conectividad

3.Computación Edge

4.Almacenamiento de datos

5.Abstracción de datos

6.Aplicación

7.Colaboración y procesos

¿Cómo securizar los dispositivos IoT?

• Guías CCN-STIC
  • Guías útiles para securizar dispositivos IoT de cualquier tipo.
  • Pueden utilizarse a nivel estratégico y técnico.
  • Existen guías para todo tipo de dispositivos y casos técnicos concretos.
  • Permiten securizar los dispositivos desde diferentes niveles.

• Guía del Ministerio del Interior

• • Establece pautas sobre controles en seguridad de sistemas OT.
  • Trata el campo del Internet de las Cosas y la privacidad.
  • Explica cómo se gestiona la ciberseguridad en la industria actual.

Aunque queda mucho trabajo por delante, estas guías sirven establecer una securización efectiva y no se limitan únicamente a los elementos relacionados al IoT, sino que son aplicables a todos los ámbitos de las TIC.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

Si te interesa este tema, puedes consultar la información y cursar el Master en IoT o ver la oferta de másteres desde aquí.

Ponente: Jorge Brea

Jorge es auditor de ciberseguridad, trabaja en Isdefe desde hace más de 15 años y actualmente se encuentra destinado en el Mando Conjunto del Ciberespacio (MCCE). Realiza su labor como auditor tanto a nivel nacional como internacional, desplazándose a zonas de operaciones establecidas por el Ministerio de Defensa. Entre sus auditorías destacan las relativas a la defensa, el campo aeroespacial, la sanidad y las administraciones públicas.