La Comisión Europea prepara una norma para protegerse frente a la amenaza creciente que supone para la ciberseguridad la proliferación de dispositivos conectados en el hogar, como electrodomésticos, juguetes y domótica, obligando a cerrar puertos no necesarios y usar credenciales robustos.
Proliferación de objetos conectados con seguridad deficiente
IoT (Internet Of Things) es un fenómeno en plena ebullición donde hasta los elementos más sencillos y aparentemente inofensivos, como un juguete, son capaces de conectarse por wifi a internet. Bombillas domóticas, termostatos, videoporteros, cámaras, vigilabebes, robot aspiradores, juguetes inteligentes, routers y un sinfín de dispositivos se conectan a la red para recibir instrucciones desde la nube del fabricante y poder ser controlados remotamente, como desde una app en el móvil.
En muchos casos se trata de productos de bajo coste en los que se ha invertido muy pocos recursos en el desarrollo del software que los hace funcionar, por lo que es frecuente que su seguridad sea muy deficiente y cuenten con vulnerabilidades que nunca se parchean.
Este tipo de dispositivos son el objetivo de los cada vez más habituales ciberataques en los que en una primera fase se aprovecha alguna vulnerabilidad conocida o el uso de los credenciales por defecto para hacerse con el control remoto del dispositivo. Sin que su propietario se dé cuenta, el dispositivo permanece entonces en reposo esperando órdenes del atacante, pasando a formar parte de un enjambre de nodos haciendo peticiones masivas contra un objetivo, por ejemplo dentro de un ataque de denegación distribuido (DDoS).
Nueva Ley Europea de Ciberresiliencia
Europa quiere poner freno a los bajos estándares de calidad del software que gobierna los dispositivos IoT de bajo coste dentro de la Ley Europea de Ciberresiliencia1 prevista para el último trimestre del año.
La nueva regulación obligará a los fabricantes a pasar test de conformidad relacionados con la ciberseguridad para poder lucir el marcado CE que permite que sean comercializados en Europa. Estas pruebas confirmarán que el dispositivo cumple con una serie de medidas de seguridad, como el uso de credenciales robustos y el cierre de puertos no necesarios para el funcionamiento. La seguridad del dispositivo tendrá que garantizarse además durante todo su ciclo de vida, lo que obligará al fabricante a seguir lanzando actualizaciones de seguridad a medida que se descubran nuevas vulnerabilidades.
Los requisitos dependerán de la categoría del producto. En un estudio reciente2 encargado por la Comisión Europea se identifican 5 categorías. Una de ellas es Smart Home, donde se incluyen los routers domésticos que instalan las operadoras para proporcionar el servicio de acceso a internet.
Exigencias de seguridad para los routers domésticos
Los routers son frecuentemente objetivo de malware. A finales de 2016, casi un millón de routers de la operadora alemana Deutsche Telekom fabricados por Arcadyan se quedaron fuera de servicio durante un intento fallido de instalar en ellos una variante de la botnet Mirai.
El estudio de la Comisión Europea cita como ejemplo las normas que a raíz de este incidente Alemania exige a los fabricantes de routers que se comercializan en el país y que podrían adaptarse para ser aplicadas a nivel europeo.
Según el documento Requerimientos para routers de banda ancha seguros3, el router solo debe traer activados por defecto un conjunto de servicios básicos accesibles desde la red local, como DNS, HTTP/S y DHCP e ICMP, mientras que en la parte WAN accesible desde internet solo deben estar activos los puertos necesarios para TR-069 utilizado para la configuración remota por parte de la operadora, ICMP y VoIP en el caso de que tenga teléfono fijo.
- La administración del router, solo accesible desde la red local, debe protegerse con HTTPS mediante una contraseña única y robusta de al menos 8 caracteres que no puede estar derivada del hardware del router, como el modelo o la dirección MAC, además de traer un mecanismo contra ataques de fuerza bruta.
- La red de invitados debe venir desactivada por defecto. Desde esta red no debe poder accederse a la configuración del router ni a otros equipos de la red local.
- El nombre de la red wifi no debe revelar el modelo de router y debe poder ocultarse.
- El cifrado wifi debe traer activo por defecto al menos WPA2 con una contraseña mínima de 20 caracteres.
Otras exigencias son traer un mecanismo para la actualización automática del firmware del equipo y la obligación de publicar nuevas versiones de forma diligente cuando se conozcan vulnerabilidades.
- Encuesta pública de la Comisión Europea sobre la Ley Europea de Ciberresiliencia
- Study on the need of cybersecurity requirements for ICT products
- BSI TR-03148 Secure Broadband Routers
Fuente obtenida de: https://bandaancha.eu/articulos/europa-regulara-seguridad-routers-10234