Siete dispositivos corporativos comunes del Internet de las cosas (IoT, por sus siglas en inglés), que incluyen los sistemas de seguridad conectados a Internet, sistemas de ventilación inteligentes y medidores de energía eléctrica, sistemas de videoconferencia e impresoras en red, pueden ser comprometidos en menos de tres minutos.

En pruebas realizadas por ForeScout Technologies y el hacker ético Samy Kamkar (que incluyeron un escenario de prueba física y el análisis de una investigación entre compañías de la industria), los dispositivos demostraron carecer de seguridad integrada. Algunos de ellos poseían seguridad rudimentaria, pero el análisis de Kamkar reveló que muchos de ellos estaban operando con firmware muy desactualizado. Todos ellos significan un riesgo potencial para las organizaciones.

La investigación de Kamkar incluía una prueba física en una cámara dentro de una red con seguridad de grado corporativo. La cámara sin modificaciones y ejecutando el firmware más reciente del fabricante, demostró por sí misma ser vulnerable y en última instancia permitió la implantación de un acceso de puerta trasera que podría ser controlado desde fuera de la red. Usando exactamente el mismo método que causó el ataque DDoS a Dyn: utilizar la contraseña por defecto.

En otra prueba, se demostró lo fácil que es generar interferencia o ataques de suplantación para comprometer sistemas corporativos de seguridad inteligentes, permitiendo controlar sensores de movimiento, cerraduras y equipos de vigilancia.

Si cualquiera de estos dispositivos se infectará, los atacantes podrían instalar puertas traseras para crear e iniciar un ataque automatizado de DDoS desde una botnet con dispositivos del Internet de las Cosas. Sin embargo, algunas consecuencias son más específicas, mediante sistemas de ventilación y medidores de energía, los atacantes podrían estresar áreas críticas, por ejemplo, áreas con servidores, hasta sobrecalentar la infraestructura física y finalmente causar daño físico. En teléfonos VoIP, explotar las preferencias de configuración para evadir autenticación puede generar oportunidades para interceptar y grabar llamadas.

Los atacantes también pueden cambiar fácilmente entre dispositivos inseguros de una red segura, y posteriormente acceder a otros sistemas corporativos que podrían almacenar información de cuentas bancarias, archivos personales o información propiedad del negocio.

Mientras los dispositivos probaron que pueden ser comprometidos rápidamente, puede tomar días o hasta semanas realizar correcciones.

"El Internet de las Cosas prevalecerá, pero la proliferación y ubicuidad de estos dispositivos en el ámbito corporativo está produciendo una mucho mayor superficie de ataque para los atacantes", señaló Michael DeCesare, presidente y CEO de ForeScout. "La solución comienza con el monitoreo en tiempo real, la visibilidad continua y el control de dispositivos en el instante en que se conectan, no se puede asegurar lo que no se puede ver."

El alcance del internet de las cosas continúa en expansión, mostrando poco o ningún signo de disminución. La firma en análisis Gartner predice que habrá 20,000 millones de dispositivos conectados para el año 2020, con aproximadamente una tercera parte de ellos permaneciendo vulnerables en redes corporativas, gubernamentales, de salud e industriales alrededor del mundo.