O mercado global da Internet das Coisas (IoT) registou um aumento significativo de crescimento nos últimos anos. Mais de  Atualmente, estão a ser utilizados 8,4 mil milhões de dispositivos e prevê-se que este número aumente para 25 mil milhões até 2020.

A Internet das Coisas refere-se a todos os dispositivos físicos em todo o mundo que estão agora ligados à Internet, recolhendo e partilhando dados.

Os dispositivos IoT podem incluir qualquer coisa, desde micro-ondas, monitores para bebés e altifalantes inteligentes até operações de fabrico em grande escala. Muitas indústrias globais estão agora a adotar a tecnologia IoT como forma de melhorar a eficiência e aumentar os lucros.

No entanto, à medida que a utilização destes dispositivos aumentou, também aumentaram os riscos associados à cibersegurança da IoT. O problema dos dispositivos IoT é que têm muito pouca segurança e muitos não têm a capacidade de serem actualizados, o que proporciona aos cibercriminosos pontos de acesso fáceis de explorar.

Os piratas informáticos tentarão comprometer os dispositivos IoT com uma autenticação fraca, firmware não corrigido ou outras vulnerabilidades de software. Se estas tácticas não funcionarem, aplicam um ataque de força bruta utilizando nomes de utilizador e palavras-passe predefinidos.

Até 2020, estima-se que 25% de todos os ataques cibernéticos visarão dispositivos IoT e, com mais indústrias a adotar tecnologias IoT, podemos esperar um aumento contínuo destes ataques, a menos que os fabricantes dêem prioridade às funcionalidades de segurança destes dispositivos.

Perigos dos dispositivos IoT não seguros

Os dispositivos IoT não seguros são uma forma fácil de os cibercriminosos se infiltrarem numa rede. O infame ataque Mirai Botnet de 2016 demonstra a facilidade com que estes dispositivos quotidianos podem ser transformados em armas pelos atacantes.

O ataque continua a ser um dos maiores ataques de negação de serviço distribuído (DDoS) da história. Usando um malware chamado Mirai, os hackers criaram uma enorme rede de bots com 100.000 dispositivos IoT. Os dispositivos incluíam rádios, smart TVs, impressoras e estavam todos programados para enviar pedidos à Dyn e sobrecarregá-la com tráfego.

O ataque foi extremamente perturbador e derrubou os sites de mais de 80 dos seus clientes, incluindo Amazon, Netflix, Airbnb, Spotify, Twitter, PayPal e Reddit. Os danos causados pelo ataque terão custado 110 milhões de dólares e, apesar de ter sido contido no espaço de um dia, mais de 14 500 domínios abandonaram os serviços da Dyn no rescaldo imediato do ataque.

No entanto, o comprometimento dos dispositivos IoT não se limita apenas aos ataques DDoS. Os piratas informáticos estão cada vez mais a visar diretamente os consumidores para roubar os seus dados pessoais. Estes dispositivos podem transmitir enormes quantidades de dados sensíveis que podem ajudar os criminosos a construir uma imagem detalhada da sua vítima. A informação pode então ser utilizada na elaboração cuidadosa de um  ou os criminosos podem utilizar os dados para cometer fraude de identidade.

Proteger os dispositivos IoT

O rápido crescimento do mercado da IoT levou a que muitos fabricantes se concentrassem mais nos lucros do que na segurança dos próprios dispositivos. Os cibercriminosos têm sido rápidos a capitalizar este lapso de segurança, explorando vulnerabilidades nos dispositivos e utilizando-as em ataques cibernéticos coordenados.

Este aumento de ataques levou vários governos a levar a questão mais a sério. A Califórnia é o primeiro estado dos EUA a introduzir um  Lei sobre cibersegurança que regula os dispositivos IoT. A legislação entrará em vigor a 1 de janeiro de 2020 e exige medidas de segurança para qualquer dispositivo que possa ligar-se à Internet e que tenha um endereço IP ou Bluetooth.

O governo do Reino Unido também definiu diretrizes para tornar os dispositivos IoT mais seguros. As orientações incluem o armazenamento seguro de dados pessoais, actualizações regulares, encriptação de dados e a utilização de palavras-passe únicas.

A conclusão é que os fabricantes precisam de dar prioridade à segurança para garantir que as medidas adequadas são integradas na tecnologia IoT desde o momento em que é desenvolvida. Isto ajudará a aumentar a confiança dos consumidores e a reduzir a possibilidade de os dispositivos serem comprometidos por atacantes.

Dicas importantes para melhorar a cibersegurança da IoT

Os consumidores também podem ajudar a melhorar a segurança dos seus dispositivos tomando as seguintes medidas:

  • Altera as palavras-passe predefinidas – Os fabricantes atribuem automaticamente um nome de utilizador e uma palavra-passe a cada dispositivo, e os piratas informáticos podem facilmente encontrar estas palavras-passe predefinidas na Internet. Os utilizadores devem alterar imediatamente o nome de utilizador e a palavra-passe predefinidos para algo mais seguro.
  • Aplica actualizações de software – O firmware dos dispositivos inteligentes, como qualquer outro tipo de software, pode conter vulnerabilidades que os piratas informáticos podem explorar. A maioria dos dispositivos não tem a opção de atualização automática, pelo que terás de atualizar manualmente o software para garantir que os teus dispositivos estão protegidos. Os utilizadores devem também visitar regularmente o sítio Web do fabricante para verificar se existem actualizações de firmware.
  • Ativar a encriptação da rede sem fios – A encriptação é uma das formas mais eficazes de proteger os dados da rede.
  • Utiliza uma firewall – Uma firewall monitoriza o tráfego entre uma ligação à Internet e os dispositivos para detetar comportamentos suspeitos. Mesmo que um dispositivo seja infetado, uma firewall pode ajudar a impedir que um atacante tenha acesso a outros dispositivos na mesma rede.
  • Utiliza apenas marcas conhecidas – As grandes marcas tendem a levar a segurança dos seus produtos mais a sério. Investirão mais tempo e dinheiro para garantir que as caraterísticas de segurança são incorporadas no fabrico e na conceção do produto. Além disso, lançam regularmente actualizações de software para evitar que os piratas informáticos explorem as vulnerabilidades do dispositivo.