El uso de dispositivos expuestos permite a los atacantes escuchar conversaciones privadas y ver vídeos potencialmente sensibles en tiempo real.
BitSight, líder en detección y gestión de riesgos cibernéticos, ha presentado hoy un nuevo estudio que revela que una de cada 12 organizaciones analizadas por BitSight con cámaras web o dispositivos IoT similares conectados a Internet son susceptibles de sufrir ataques de vídeo y/o audio. Estos hallazgos se producen poco después de que la Casa Blanca publicara su Estrategia Nacional de Ciberseguridad, cuyo objetivo es mejorar significativamente la seguridad de los dispositivos IoT.
Entre las organizaciones expuestas, que abarcan 54 países, figuran varias de las que figuran en la lista Fortune 1000, y se concentran en los sectores de la educación, la tecnología, el gobierno y la política, y los medios de comunicación y el entretenimiento. De estos sectores, el de la educación es el que presenta un mayor riesgo: casi una de cada cuatro organizaciones educativas rastreadas por BitSight que utilizan cámaras web o dispositivos similares conectados a Internet son susceptibles de ser espiadas.
Al utilizar dispositivos expuestos, las organizaciones ponen en riesgo tanto la ciberseguridad como la seguridad física. Si estos dispositivos son explotados, los actores de amenazas podrían espiar tanto conversaciones privadas como profesionales, lo que les permitiría explotar potencialmente información personal e información empresarial sensible. Las cámaras web expuestas con vistas a puertas y salas de acceso controlado también podrían proporcionar a los malhechores información clave relacionada con la seguridad física.
"Esta investigación muestra que incluso tecnologías cotidianas, como las cámaras web, pueden dejar a las organizaciones altamente vulnerables si se exponen", dijo el Director de Riesgos de BitSight, Derek Vadala. "Entender cómo estos dispositivos pueden aumentar la superficie de ataque de una organización y tomar las medidas para desplegarlos de una manera que limite las amenazas potenciales es crítico."
Para este estudio, BitSight reunió un amplio conjunto de datos de direcciones IP propiedad de organizaciones con al menos un servicio de audio/vídeo abierto, mapeándolos con el inventario de organizaciones de BitSight para determinar las tasas de exposición. Los dispositivos expuestos descubiertos por BitSight no estaban protegidos por un cortafuegos o VPN, a pesar de las mejores prácticas recomendadas. Además, estaban mal configurados -posiblemente debido a que un usuario no había establecido una contraseña- o sufrían una vulnerabilidad de software.
BitSight insta a las organizaciones a que identifiquen y evalúen la seguridad de todos los dispositivos de vídeo y/o audio instalados internamente y por terceros, y a que tomen las siguientes medidas correctoras:
- Si los dispositivos no están protegidos por un cortafuegos o una VPN, es prioritario hacerlo.
- Si los dispositivos carecen de autenticación para acceder a las fuentes de vídeo y/o audio, dé prioridad a establecer medidas de control de acceso para protegerlos.
- Si los dispositivos sufren de una vulnerabilidad de software, el desarrollador es la única ruta para remediarlo. En este caso, BitSight recomienda detener el uso del dispositivo expuesto y cambiar de marca si el proveedor no puede o no quiere remediarlo.
(BitSight)
