See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/348692397

Ciberseguridad del IoT: Un Análisis en Países de la Unión Europea

Article in RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação · January 2021

CITATIONS READS

2 1,118

2 authors:

Cristian Jiménez Richard Rivera

Universitat Oberta de Catalunya Escuela Politécnica Nacional
1 PUBLICATION 2 CITATIONS 25 PUBLICATIONS 496 CITATIONS

SEE PROFILE SEE PROFILE

All content following this page was uploaded by Richard Rivera on 05 February 2021.

The user has requested enhancement of the downloaded file.

Revista Ibérica de Sistemas e Tecnologias de Informação Recebido/Submission: 09/09/2020
Iberian Journal of Information Systems and Technologies Aceitação/Acceptance: 16/11/2020

Ciberseguridad del IoT: Un Análisis en Países de la

Unión Europea

Cristian Jiménez1, Richard Rivera1,2

cjmenez@uoc.edu, richard.rivera01@epn.edu.ec

1
Universitat Oberta de Catalunya, Estudios de Informática, Multimedia y Telecomunicación, 08018
Barcelona, España.
2
Escuela Politécnica Nacional, Escuela de Formación de Tecnólogos, 170525, Quito, Ecuador.
Pages: 461-476

Resumen: Cada día el Internet de las Cosas (IoT) incrementa la cantidad de

dispositivos interconectados. Se estima que este acelerado despliegue del IoT en
diversas industrias, congregue a 50 mil millones de dispositivos para el final de 2020.
Esto sumado a la heterogeneidad de sus componentes, presenta múltiples desafíos,
debido a que los sistemas IoT no siempre son desplegados considerando aspectos
de ciberseguridad. En este trabajo, se estudian los aspectos más relevantes del IoT
y algunas de sus tecnologías asociadas. Se analiza el estado de la seguridad del IoT
en los diez países con mayor PIB de la Unión Europa. Se recopila información sobre
protocolos, productos, y sistemas operativos de dispositivos IoT, para realizar un
análisis de las vulnerabilidades más comunes del IoT en estos países. Finalmente,
se concluyen discutiendo las posibles estrategias a tomar en cuenta en el despliegue
de sistemas IoT.
Palabras-clave: IoT; Seguridad IoT; Ciberseguridad; Análisis de vulnerabilidades;
IoT Unión Europa.

Cybersecurity in IoT: An analysis in countries of Europe Union

Abstract: Each day the Internet of Things (IoT) increases the number of
interconnected devices. It is estimated that this accelerated deployment of IoT in
various industries, congregates 50 billion devices by the end of 2020. This added
to the heterogeneity of its components, presents many challenges, because the
IoT systems are not always deployed considering aspects of cybersecurity. This
paper presents the most important aspects of the IoT and some of its associated
technologies are studied. It analyzes the state security IoT in the ten countries with
the highest GDP of the European Union. information about protocols, products,
and operating systems IoT devices is collected, for an analysis of the most common
vulnerabilities of the IoT in these countries. Finally, it concludes by discussing
possible strategies to consider in the deployment of IoT systems.
Keywords: IoT; IoT Security; Cybersecurity; vulnerability scan; IoT Europe.

RISTI, N.º E39, 01/2021 461

Ciberseguridad del IoT: Un Análisis en Países de la Unión Europea

1. Introducción
A corto y medio plazo, se prevé un aumento exponencial de dispositivos conectados a
Internet en todo tipo de industrias, además de en el ámbito doméstico. Desde dispositivos
que recopilan datos para la Industria 4.0, pasando por cámaras públicas usadas en el
ámbito administrativo por las ciudades, hasta pequeños gadgets que nos ayudan en el
uso diario de nuestros hogares o en el tiempo de ocio (INCIBE, 2019). EL IoT será una
parte integral de la era 5G, que permitirá la conexión de un sinfín de dispositivos extra,
abriendo el panorama de complejidad e interconexión de las redes y de los flujos de
información personal, además de datos masivos (5g Observatory, 2020). Se estima que
entre 2019 y 2025, el número de conexiones globales de IoT se duplicará a casi 25 mil
millones, mientras que los ingresos globales de IoT se triplicarán a $ 1.1 billones. Esto
acentúa el problema de que el despliegue de estos nuevos dispositivos no siempre se
realiza teniendo en cuenta la seguridad (5g Observatory, 2020), y los riesgos en los que
se puede caer debido a una implementación deficiente o un inadecuado mantenimiento
(Pazmiño, et al., 2019). Los protocolos criptográficos seguros y tendencias innovadoras
tecnológicas como el blockchain también jugarán un papel determinante (Dolader
Retmal, Bel Roig, & Muñoz Tapia, 2017).
En este trabajo se realizaron 210 consultas en el motor de búsqueda Shodan, para
conocer los protocolos, tecnologías y productos más usados, en diez países, después se
realizaron análisis de vulnerabilidades a 196 direcciones IP aleatorias para conocer los
problemas de seguridad que presentan. Con el objetivo de tener una captura del estado
actual de la seguridad en dispositivos IoT. Se ha acotado el estudio de investigación
a aquellos diez países con mayor crecimiento económico, usando como indicativo el
PIB y en un rango superior o igual a los diez millones de habitantes con datos de 2019.
Esto incluye a: Alemania, Francia, Italia, España, Países bajos, Polonia, Suecia, Bélgica,
Austria, Irlanda. De cada país se recogen datos identificativos de los dispositivos y
después se realizará un análisis de vulnerabilidades para así poder extraer conclusiones.
Las principales contribuciones del estudio se describen a continuación.
1. Realizar un resumen del actual estado de los dispositivos IoT en la Unión
europea en base a búsquedas en Shodan y en un rango de países concreto.
2. Analizar las tecnologías y protocolos que más intervienen en las redes IoT.
3. Detectar vulnerabilidades en los dispositivos hallados.
4. Extraer conclusiones sobre los aspectos a mejorar en base a las vulnerabilidades
y deficiencias encontradas.
La estructura del documento se distribuye de la siguiente manera; en la Sección 2, se
presenta la arquitectura general que implementan los sistemas IoT, describiendo las
capas que la componen. También, se analizan tecnologías asociadas al IoT. La Sección
3, presenta los diferentes problemas de seguridad en los dispositivos y redes de la
IoT. La Sección 4, describe la metodología empleada en este estudio. La Sección 5,
presenta los resultados, tanto de las búsquedas como de los análisis de vulnerabilidades
respectivamente, además de una discusión donde se exponen las contramedidas
propuestas para la mejora de la seguridad de los dispositivos. Finalmente, en la Sección
6 se detallan las conclusiones.

462 RISTI, N.º E39, 01/2021

RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação

2. Arquitectura del IoT

La arquitectura del IoT está definida por tres capas, que comprenden las capas de
percepción, red y aplicación. Cada capa tiene sus propias funciones, dispositivos y
problemas de seguridad que se irán detallando en las siguientes secciones. La Tabla 1,
indica que existe un número determinado de capas y numerosas posibles conexiones a
proteger, teniendo en cuenta la gran variedad de dispositivos que entran en juego, que
van desde algunos relativamente simples a los más complejos. Para poder analizar la
seguridad de los dispositivos IoT a través de Shodan se presenta el desafío de la detección
de dispositivos IoT (Microsoft, 2020). A continuación, especificamos cada capa.

Capa Función Elementos

Aplicación Preprocesados de datos, envó a Ejemplos: back-ends de plataformas IoT
servidores y extracción de datos
Red Conexión y enrutamiento de datos Ejemplos: routers, puntos de acceso wi-fi, switches.
capturados
Percepción Captura de datos Ejemplos: Sensores de luz, químicos, audio, video.

Tabla 1 – Arquitectura básica de IoT

2.1. Capa de percepción

En la primera capa de la arquitectura, tenemos la capa de percepción, encargada de
recaudar los datos. Estos dispositivos suelen ser los más básicos de toda la red, y también
los que suelen estar más expuestos. Empezando por los más tradicionales, tenemos lo
sensores físicos que detectan presiones, luz, imágenes, sonidos y temperaturas entre
otros. También tenemos los sensores químicos capaces de detectar cambios químicos
en determinadas sustancias, a los que encontraremos formando parte de un sistema
electrónico más complejo, con más servicios y operabilidades. Además, en esta capa
existen actuadores como los motores eléctricos y sus derivados, que se accionan a través
de pulsos eléctricos que pueden ser enviados a través de la red y las electroválvulas que
controlan algún tipo de flujo.
En el ámbito del usuario tanto domestico como industrial, los smartphones también
incorporan múltiples sensores que son objeto de integración con redes IoT a través
de aplicaciones específicas. Generalmente, contamos con sensores de iluminación,
acelerómetros, magnetómetros, giroscopios, GPS, táctiles, acústicos, e incluso de
temperatura, infrarrojos o barómetros además de los estándares Wi-Fi y GSM. Tenemos
también las placas electrónicas, que mayormente funcionan como los smartphones,
un sistema operativo completo o un kernel core maneja los protocolos de red (e.g.,
bluetooth, wifi) y pueden llevar integrados otros sensores ya mencionados. Un ejemplo
claro son las Raspberry pi, Arduino, o la reciente propuesta de Google Coral para
proyectos profesionales (Cui, 2017).

RISTI, N.º E39, 01/2021 463

Ciberseguridad del IoT: Un Análisis en Países de la Unión Europea

2.2. Capa de red

En la capa intermedia tenemos la capa de red, encargada de concentrar y coordinar
todos los dispositivos de los que es responsable. Aquí podríamos tener puntos de
acceso, servidores, etc. Se han escogido un total de 15 protocolos basándonos en los
más comunes y usados. Existen múltiples protocolos (e.g., TCP, UDP, HTTP) que son
adaptables a IoT. En el ámbito doméstico tenemos destacan los siguientes. IoTivity es un
software open-source que usa el sistema cliente servidor para la conexión. MFi (Made
for iDevices) es un protocolo específico del ecosistema Apple con el que se desarrollan
aplicaciones y dispositivos, adaptados a Siri. El protocolo Thread (Unwala, Taqvi, & Lu,
2018), haciendo uso del protocolo 6LoWPAN con similares planteamientos y similar a
otros estándares como ZigBee y Z-wave, donde sus principales usos están en la domótica
y operan a baja frecuencia. Crean una red en malla teniendo un concentrador central
que es el que se comunica de manera tradicional con Internet. Usan cifrado AES-
128 para las comunicaciones. Tenemos también XMPP-IoT usado comúnmente para
videoconferencias, intercambios de chats y transferencia de archivos, pero adaptado al
entorno de IoT (Ammar, Russello, & Crispo, 2018).
También, hay dos protocolos particulares que se usan en el ámbito empresarial, pero
que interactúan con dispositivos personales, NFC y RFID. Estas son tecnologías usadas
principalmente en smartphones que operan en la banda de los 13.56MHz NFC y 125Khz
o 134 KHz RFID y en un rango de muy corto alcance. Su seguridad se basa en tener una
estrecha distancia entre el chip y el lector, además de cifrado SSL (Microsoft, 2020). La
conectividad Bluetooth sigue siendo ampliamente utilizada. Su seguridad se basa en el
intercambio de llaves cifradas con AES-CCM en versiones de la 4 a la 5. Como alternativa
a Bluetooth se creó BLE (Bluetooth Low-Energy), una versión de bajo consumo con
baterías de larga duración. La conexión más común Wi-Fi la cual se caracteriza por
tener un alto consumo energético si lo comparamos con otros protocolos, sobre esta,
existe una revisión ‘ah’ llamada HaLow que funciona a 900Mhz sacrificando velocidad y
ampliando cobertura (Hernández & & Ortiz, 2019).
En el entorno industrial y empresarial, contemplaremos cinco protocolos. AMQP
(Advanced Message Quering Protocol) (Ionos 1&1., 2019) es un protocolo abierto,
operando en un modelo cliente-servidor en la capa de aplicación del modelo OSI. Su
funcionamiento se basa en intercambiar mensajes entre distintas plataformas usando
unos llamados brokers (intermediarios) y haciendo uso de colas de mensajes que actúan
entre receptor (consumidor) y emisor (productor) de manera asíncrona. Esto es útil en
entornos en los que es necesario la fluidez de mensajes como el sector bancario. Existen
algunas implementaciones como Apache Qpid, Windows Azure Service Bus o RabbitMQ
(AMQP, 2020).
CoAP (Constrained Application Protocol) es un protocolo que se basa en implementar
el modelo REST HTTP a dispositivos básicos de baja potencia (Borman, 2014).
Probablemente su competidor directo es MQTT (Message Queuing Telemetry transport)
ya que hace uso de un servidor central llamado bróker, que administra los mensajes de
los destinatarios (suscriptores) y de los emisores (publicadores). Su seguridad se basa
en SSL/TLS. Algunas implementaciones importantes son Mosquitto o ActiveMQ (Mqtt,
2020). DDS (Data Distribution Service) al estilo de MQTT, se utiliza con subscriptores
y publicadores. Está pensado para el uso de la gestión de tráfico, energía o grandes

464 RISTI, N.º E39, 01/2021

RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação

volúmenes de datos. No usa ningún bróker, sino que se basa en un intercambio de

datos en un sistema multicast, donde los suscriptores leen los mensajes emitidos (DDS
Fundation, 2020).
Finalmente, tenemos las redes LPWA (Low Power Wide Area) redes que operan en
bandas y energías más bajas que las demás (e.g., GSM, Wi-Fi). La principal peculiaridad
además del bajo consumo es la larga distancia a la que pueden operar con una cantidad
muy baja de datos. Su uso es útil en entornos agrícolas muy dispersos, en su mayoría
sensores o en entornos de smart-citys (Sinha, Wei, & Hwang, 2017).

2.3. Capa de aplicación

Finalmente, la capa de aplicación es la encargada de recoger todos los datos procedentes
de la red y aplicarles algún procesamiento de datos para así poder extraer información
útil, para la organización o para el usuario. Para esto, tenemos diversas aplicaciones que
se encargan de dicha tarea. Las llamadas plataformas IoT, son las encargadas de crear
ecosistemas donde poder llevar a cabo esta tarea pudiendo ser en la nube, en formas como
Software/Plataforma/Infraestructura como servicio (SaaS, PaaS o IaaS) (Floerecke &
Lehner, 2018). Entre estas las más populares tenemos a Google Cloud IoT que, a base de
servicios modulares en la nube, nos permite crear entornos personalizados. También, en
la línea tenemos Amazon Web Services IoT con opciones de escalabilidad, optimización
con inteligencia artificial y adaptable.
Opciones open source como Thingsboard, se ejecutan bajo Apache 2.0, compatible con
CoAP, MQTT y HTTP y que mediante un sistema de plugins, podemos moldear. De igual
modo, tenemos a Mozilla WebThings orientada al uso más domestico donde se pueden
centralizar desarrollos hacia dashboard web personalizables. No obstante, hay que
saber que existen múltiples proyectos open source y de pago actualmente en constante
evolución y creación (Jia, y otros, 2017).

2.4. Marco 5G
Con el aumento de los dispositivos conectados a Internet como portátiles, tablets,
smartphones, accesorios; aparecen nuevos problemas relacionados con la banda
ancha y con la necesidad de gestionar numerosos dispositivos eficazmente. Se tienen
aplicaciones del IoT, como por ejemplo el de los coches autónomos, que necesariamente
requieren una red con una latencia muy baja para poder interoperar eficazmente.
Actualmente, las redes que tenemos son las 4G que pueden llegar a dar 1Gb/s en zonas
con buena cobertura, pero la latencia sigue siendo insuficiente, de aproximadamente 200
milisegundos. Por ello, para una eficaz introducción a hacia las smart-cities, vehículos
autónomos, dispositivos domóticos, o cualquier dispositivo IoT, ha sido necesaria la
creación de un nuevo estándar como el 5G.
El 5G viene realmente a complementar el 4G, ya que opera en bandas de radio que van
des de los 30 a los 300Ghz, quedando las de 6Ghz reservada para el 4G y operando
a velocidades entorno a los 10GB/s. Además, la nueva tecnología conlleva un cambio
en la infraestructura a MIMO donde ahora, múltiples diminutas antenas operaran
directamente con el cliente. Este punto sugiere una inversión importante para las
telecomunicaciones de un país desarrollado, llegando en la actualidad a ser una autentica

RISTI, N.º E39, 01/2021 465

Ciberseguridad del IoT: Un Análisis en Países de la Unión Europea

arma geopolítica para ver quién consigue implementarlo eficientemente lo antes

posible. El impacto empresarial para quien consiga exprimir este tipo de tecnologías
será determinante para su competitividad. Ejemplos de ello sería la telemedicina, por
ejemplo, operar quirúrgicamente en remoto, computación en la nube o teletrabajo
colaborativo.
Recientes estudios de AT&T Cybersecurity (Meftah, 2020) afirman que un 75% de los
704 profesionales encuestados, creen que la incursión del 5G supone un riesgo para la
ciberseguridad y la ponen en entredicho. La comunidad europea ha puesto a servicio
común el observatorio europeo del 5G donde seguir las nuevas implementaciones,
prototipos y nuevas pruebas para implementar esta tecnología.
En cuanto la seguridad, al igual que la tecnología 4G, se utiliza una autenticación fuerte
mutua con una aplicación nombrada como USIM que viene soportada por una tarjeta
sim que conocemos o un chip UICC. Efectivamente, la seguridad es combinación en
el mismo dispositivo y en el núcleo, pudiéndose combinar con formas de protección
ya existentes e.g., SE, HSM, certificados (5g Observatory, 2020). Todo ello nos lleva
inequívocamente a la hipótesis de que, al verse la red incrementada exponencialmente,
también lo harán los flancos abiertos en ciberseguridad. Los ataques DDoS serán más
amplios y poderosos al igual que las botnets.

2.5. Blockchain
En estos momentos todo el mundo ha oído hablar del bitcoin y que este se basa en la
tecnología blockchain. Esta tecnología hace hincapié principalmente en la seguridad y la
descentralización. Podemos hacer transacciones de información entre entidades sin la
necesidad de una autoridad intermediaria que verifique que la información es correcta,
porque esa autoridad es la propia red y el conjunto de cada uno de sus clientes. Este
concepto tan bien implementado por el bitcoin supone una gran oportunidad para la
IoT. Conociendo las enormes oportunidades que ofrecerá el 5G, el blockchain se plantea
como una solución efectiva para mantener la seguridad de los numerosos dispositivos.
Por ejemplo, en un entorno IoT se podrían distribuir versiones de firmwares de forma
segura a través de esta tecnología.
EL funcionamiento de blockchain es básicamente que a través de una base de datos
publica que es un sistema de bloques, los usuarios se identifican en la red blockchain
haciendo uso de dichas claves. La información a los bloques se añade solo si la mayoría o
en ocasiones todos los bloques estén de acuerdo. Esta creación de los nuevos bloques se
hace mediante los llamados mineros que realizan las operaciones matemáticas concretas
a cambio de una recompensa. Por tanto, cada bloque, es un eslabón de la cadena que
además guarda la información del anterior y posterior bloque. En cada operación se la
aplica una operación de hash reiteradamente para acabar creando el bloque de cifrado en
la cadena. Dicho bloque este compuesto de cuatro componentes de información básica,
en los cuales se incluyen el hash del bloque anterior y posterior, una marca de tiempo
y la propia información acabada de introducir. Vulnerar una transacción de la cadena
significaría vulnerar la cadena entera hecho por ahora imposible dada la naturaleza de
autoverificación de las cadenas (Dolader Retmal, Bel Roig, & Muñoz Tapia, 2017). Los

466 RISTI, N.º E39, 01/2021

RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação

beneficios de aplicar blockchain al IoT, debe ser analizado en detalle, dado todos los
desafíos de seguridad que estas dos tecnologías implican principalmente debido a la
heterogeneidad de los dispositivos (Reyna, Martín, Chen, Soler, & Díaz, 2018).

3. Problemas de Seguridad en IoT

En cuanto las amenazas del IoT, realmente casi cualquier ataque común es susceptible
de actuar en este campo con su debida adaptación. La Tabla 2, presenta un resumen de
las vulnerabilidades más importantes de acuerdo con OWASP (Johnston, 2019). Donde
destaca el malware como uno de los principales vectores de ataque (Rivera-Guevara, 2018).

Fallo de seguridad Descripción Vectores de ataque

Contraseñas débiles Uso de contraseñas predecibles, cortas o Ataques de fuerza bruta,
incluso están dentro del mismo código accesos no autorizados,
keyloggers
Servicios de red Comunicaciones (servicios como telnet, ssh, SQLi, fuerza bruta, RCE, Shell
inseguros ftp) entre dispositivos permanecen inseguros, reversas, MITM.
expuestos y desfasados
Ecosistemas IoT Interfaces web, APIs, móviles y otros pueden XSS, CSRF, malware.
inseguros ser comprometidos a través de la red
Mecanismos de Carencias de mecanismos de control de Firmware con malware,
actualizaciones firmwares y en su envió sin cifrar, así como de bloqueo de update.
inseguros mecanismos de downgrades controlados
Componentes Librerías obsoletas y software de terceros Fuerza bruta, RCE, MITM,
desfasados desfasado. También componentes de SQLi, inyección de malware.
hardware desfasados.
Deficiencias en la Se detecta información personal guardada en Phishing y sus variantes, robo
protección de la los propios dispositivos inseguros, que ponen de credenciales.
privacidad en riesgo la privacidad
Transferencia y Sin cifrar la información suele fluir por la red Robo de datos, SQLi, MITM,
guardado de datos de manera insegura hasta llegar a su destino inyección de malware.
insegura
Gestión Controles de gestión de la seguridad y falta de Ransomware
descontrolada planes de monitoreo y planes de contingencia
y respuesta
Configuraciones por Algunos dispositivos se dejan con Acceso no autorizado, robo de
defecto inseguras configuraciones por defecto o no permiten su datos, inyección de malware.
incremento de la seguridad de ningún modo
Protección física El acceso físico a los dispositivos no está Manipulación de configuración
deficiente controlado, pudiendo ser manipulado lo que conlleva a cualquier
ataque.

Tabla 2 – Vulnerabilidades comunes en el IoT

3.1. Directivas europeas

En el marco europeo, se destacan diferentes normativas que engloban a la protección de
los datos (EUR-Lex, 2020). A continuación, se describen las tres normativas principales:

RISTI, N.º E39, 01/2021 467

Ciberseguridad del IoT: Un Análisis en Países de la Unión Europea

• Directiva 2014/53/UE donde los estados miembros ponen de manifiesto

la necesidad de armonizar la legislación y la convergencia del sector de las
telecomunicaciones, audiovisuales, y de las tecnologías de la información.
• Reglamento general de la protección de datos (GDPR) donde se regula de
manera concreta la manipulación y el tratado de los datos privados y personales.
• Directiva 2013/40/UE y directiva de seguridad en redes y sistemas (NIS) donde
ese estable un marco común de cómo abordar la ciberseguridad en toda la UE,
así como la cibercriminalidad. Se indican pautas para actuar coordinadamente
en todos los estados miembros.

4. Métodos
Para realizar búsquedas especializadas utilizamos Shodan, este es un buscador
que se focaliza en rastrear direcciones IP y puertos abiertos para así identificar los
servicios y otros datos relativos a cualquier dispositivo. En general encontraremos
principalmente cámaras web, dispositivos industriales SCADA, y aparatos diversos
conectados a Internet. Las razones principales por la que estos dispositivos están
expuestos son las deficiencias en implementaciones de seguridad o simplemente
dispositivos mal gestionados u olvidados, el resto son servicios expuestos debido al uso
o directamente honeypots. Una vez tengamos suficientes datos clasificados, se podrán
analizar las vulnerabilidades. Hay que reseñar que, aunque el protocolo en cuestión no
sea vulnerable puede tener servicios asociados que sí lo sean, por lo que el dispositivo
y la red siguen expuestas.
Aplicando los filtros específicos de Shodan, podremos cribar las búsquedas. La
metodología la diferenciamos en dos fases, la recogida de información y la de análisis. En
la fase de recogida de información se realizarán búsquedas que estarán filtradas por país
en un primer ámbito y por protocolo en segundo lugar. De los resultados obtenidos se
guardarán como máximo los 5 servicios más usados, las 5 ciudades con más resultados,
y los 5 productos más usados, los 5 sistemas operativos más comunes, así como las
cantidades de todos ellos. También se guardará la primera IP de los resultados de cada
búsqueda. Los resultados se guardarán en una base de datos de manera ordenada.
Esto dará unos resultados de mínimo 21 búsquedas por país, de un total de 10 países,
datos que han sido usados para presentar la información más relevante y analizar la
seguridad IoT. Una vez en este punto pasamos a la segunda fase donde usaremos un
analizador de vulnerabilidades contra 196 direcciones IP. Para llevar a cabo la búsqueda
de vulnerabilidades usaremos el software open-source OpenVAS (Haneen Al-Alami &
Al-Bahadili, 2017).

4.1. Recolección de información

Shodan ofrece varios filtros para las búsquedas desde su servicio web. Las que nosotros
utilizaremos son las que filtran países y protocolo usado. Para ello, la estructura será de
la siguiente forma [protocolo] country: “[iniciales país]”. Por ejemplo, para el protocolo
mqtt y España se utiliza: mqtt country: “ES”.

468 RISTI, N.º E39, 01/2021

RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação

De los protocolos utilizados, algunos de ellos son detectados introduciendo su nombre

directamente en las búsquedas de Shodan, pero otros como bluetooth o wi-fi no son
evidenciados directamente. También tenemos algunas búsquedas especializadas en
Shodan para la detección de cámaras web o cámaras de videovigilancia con los prefijos
‘webcam’ o ‘cctv’. Existen más protocolos que exceden el abasto de este artículo. La Tabla
3 presenta un resumen que empareja los protocolos de las secciones 2.2 y 2.3 con sus
términos de búsqueda en Shodan

Protocolo Filtro Shodan

IoTivity, CoAP ‘coap’
MFi ‘rtsp’, ‘qtss’ y protocolos de *propósito general
Thread, ZigBee / Z-wave, Bluetooth, usan protocolos de propósito general
BLE, LPWA
XMPP-IoT ‘soap’
Wi-Fi ‘cctv’, ‘webcam’, ‘camera’, ‘netcam’
NFC / RFID ‘rfid’ y protocolos de *propósito general
AMQP ‘amqp’
MQTT ‘mqtt’
DDS ‘dds’
Protocolos de propósito general ‘database’, ‘upnp’, ‘telnet’, ‘ssh’, ‘ftp’, ‘nntp’, ‘ics’, ‘vsat’,
‘scada’

Tabla 3 – Protocolos y términos de búsqueda en Shodan.

5. Análisis y proceso de los resultados

En esta sección, expondremos los resultados más relevantes concernientes a las
búsquedas y a las vulnerabilidades halladas en los dispositivos IoT en los países de la
Unión Europea analizados.

5.1. Análisis de resultados según ciudades

La Figura 1, indica que existe correlación entre las ciudades capitales y donde han aparecido
más resultados excepto en un único caso, el de Alemania donde la ciudad predominante
es Frankfurt. También, vemos que las capitales se distancian desproporcionadamente
en resultados de las otras ciudades de sus respectivos países. En países pequeños como
Bélgica o Países Bajos vemos como la desproporción es mayor en contraposición a otros
más grandes como Francia o Alemania. Exceptuando sus capitales, en Italia y Polinia
se observa un grado más equitativo de reparto de las infraestructuras. También vemos
como la desproporción sigue existiendo, siendo Frankfurt la ciudad que claramente
tiene más dispositivos indexados, seguido de lejos de Ámsterdam y París. Que haya más
resultados puede significar que hay más dispositivos o bien que hay más dispositivos con
protocolos expuestos.

RISTI, N.º E39, 01/2021 469

Ciberseguridad del IoT: Un Análisis en Países de la Unión Europea

Figura 1 – Resultados de la búsqueda en Shodan por ciudades.

5.2. Análisis de los datos según servicios y puertos

La Figura 2 muestra los resultados de los dispositivos encontrados en relación con el
país y a los servicios expuestos. En todos los países el protocolo SSH (puerto 22) es
desproporcionadamente el servicio más usado menos en Italia, que es algo menos
incisivo, aunque claramente superior. Los segundos y terceros puestos se lo suelen
compartir el FTP (puerto 21) y el puerto 554 que habitualmente es el usado por el
protocolo RTSP usado para redes de videovigilancia ya que es su puerto por defecto,
aunque podría no serlo si se ha cambiado manualmente.

Figura 2 – Gráficas resultantes según servicios

Esta tendencia solo cambia en dos casos, en Polonia donde el tercer servicio es el usado
por el puerto 22222, usado para la administración remota en servidores Nginx con
Wordpress u otros alternativos como algún malware (e.g., DonaldDick, Ruler, etc.)
(Guevara, 2018) o servidores proxys. El otro caso es en Suecia, donde vemos el dato
quizás más curioso, el segundo servicio más usado es Metasploit con puerto 55554. Son
instancias de uno de los softwares más conocidos para realizar pentesting, auditorias

470 RISTI, N.º E39, 01/2021

RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação

de seguridad en general y por los cibercriminales. En Austria, Francia, Países Bajos y

Alemania también lo vemos menos diferenciado, pero igualmente llamativo. Por último,
vemos que existe más diversidad de puertos y protocolos usados en Italia que en otros
países. En el grafico global vemos el 2222 comúnmente usado por servicios TCP/UDP de
red y también por malware indirectamente (Michael & Andrew, 2012).

5.3. Análisis de los resultados según el sistema operativo

En sistemas operativos se detecta el kernel, no el nombre comercial que pueda tener.
Eso explica el hecho de no tener declarado Windows 10 o Linux 4.xx y 5.xx, en el caso de
Linux, este conserva en sus dos últimas versiones muchos cambios menos significativos
que de la versión 3.xx atrás. En la figura 4 observamos como en todos los países predomina
en los dos primeros puestos Linux tanto en su versión de kernel 2.6.x como en adelante.
Le sigue Windows server 2008 en menor medida y pocas versiones más de Windows.
Esto último tiene todo el sentido, dado que Windows no tiene apenas versiones de sus
sistemas operativos para IoT en contra de los sistemas GNU/Linux. En el grafico global,
tenemos la misma tendencia.

Figura 3 – Resultados según sistemas operativos más detectados

5.4. Análisis de los datos según los productos más detectados

En la Figura 4, se presentan los resultados por producto, ordenados por productos
o softwares específicos y países. En primer lugar, tenemos una dominación absoluta
de OpenSSH, cosa que concuerda perfectamente con la dominación del protocolo
SSH visto antes. En segundo lugar, se debaten softwares como Dropbear sshd y
Microsoft ftpd alternativamente salvo dos casos sin mucha relevancia cuantitativa.
Dropbear sshd es una alternativa de código abierto a OpenSSH y Microsoft ftpd es
un software para administración de conexiones FTP, también en concordancia con
los resultados anteriores.

RISTI, N.º E39, 01/2021 471

Ciberseguridad del IoT: Un Análisis en Países de la Unión Europea

Figura 4 – Resultados según los productos más detectados.

Con todos estos datos y con los siguientes referentes a las vulnerabilidades, podremos
elaborar unas conclusiones sobre el estado de los dispositivos IoT detectados por Shodan
en estos Países de la UE.

5.5. Análisis del compendio de vulnerabilidades halladas

Del total de 196 IP recopiladas (una IP por cada búsqueda particular de cada protocolo,
aunque 14 de las búsquedas no arrojaron resultados), se les han pasado el escáner de
vulnerabilidades OpenVas. Por medidas de seguridad las direcciones IP no se revelarán.
Como se muestra en la Figura 5, el escáner ha arrojado 553 vulnerabilidades, dando 2.82
vulnerabilidades de media por cada IP/dispositivo escaneado. De dichos resultados, el
90% son categorizadas de grado medio, 7% de grado alto y 3% de grado bajo de acuerdo
con el método de puntuación CVSS (Common Vulnerability Scoring System).

Puntuaciónes CVSS sobre la Soluciones a las

gravedad de la vulnerabilidad vulnerabilidades
3% 7% No será 2%
arreglado 20%
Alta 10.0-7-5
(11) 6%
(37)
Media 6.8-4.0 Mitigación
(501) 2%
(351)
70%
90%

Figura5.5A
Figura – la
A la izquierda,gravedad
izquierda, gravedad en
en las
lasvulnerabilidades,
vulnerabilidades,la derecha, soluciones
la derecha, a las a
soluciones
las vulnerabilidades vulnerabilidades

En cuanto a las vulnerabilidades encontradas, no existe una concordancia reiterada

entre los resultados dada su gran variedad. En la Tabla 4 se muestran algunos de los
casos de severidad alta.
472 Tabla 4. Vulnerabilidades más severas encontradas.
RISTI, N.º E39, 01/2021
CVSS Tipo de NVT Name Algunos CVEs
solución
RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação

En cuanto a las vulnerabilidades encontradas, no existe una concordancia reiterada

entre los resultados dada su gran variedad. En la Tabla 4 se muestran algunos de los
casos de severidad alta.

CVSS Tipo de NVT Name Algunos CVEs

solución
10.0 No será Vulnerabilidad de dispositivo: bypass de CVE-2017-6343, CVE-2017-7253
arreglado autenticación y otras
10.0 Parche QNAP QTS Múltiples vulnerabilidades CVE-2019-7192, CVE-2019-7193 y
otras
9.3 Parche Microsoft Win. SMB Server Múltiples CVE-2017-0143, CVE-2017-0144
Vulnerabilidades y otras
9.0 Mitigación PostgreSQL sin contraseña NOCVE
9.0 Nada Vulnerabilidad RCE CVE-2019-12840
disponible
9.0 Mitigación Credenciales por defecto NOCVE
9.0 Mitigación Ataque de fuerza bruta de login vía NOCVE
HTTP
7.5 Arreglo no Redis Server sin contraseña NOCVE
oficial
7.5 Mitigación Ataque de fuerza bruta de login vía SSH NOCVE
7.5 Parche Múltiples vulnerabilidades en Lighttpd CVE-2014-2323, CVE-2014-2324

Tabla 4 – Vulnerabilidades más severas encontradas.

También, en la Figura 5 a la derecha, referente a las soluciones posibles de dichas

vulnerabilidades, tenemos que el 70% de los casos no hay solución totalmente eficaz,
sino una mitigación. Este dato traslada a los expertos en TI la responsabilidad de aplicar
buenas prácticas a la hora de implantar soluciones. El 2% representan vulnerabilidades
que no se van a corregir, por ejemplo, cuando el software o hardware deja de recibir
soporte y otro 2% representa que no hay constancia de solución. Aunque puede parecer
que no es un dato alto, hay que tener en cuenta los millones de dispositivos que existen
conectados, y el incremento exponencial de estos cuando se implante el 5G.
Solo el 6% representan los dispositivos vulnerables que tienen soluciones aportadas por
el fabricante y no se han aplicado, mientras que el resto 20% son soluciones que pasan a
ser catalogadas como soluciones temporales o parches improvisados. Por tanto, sólo el
6% son soluciones definitivas provenientes de fabricantes, junto con otro 70% que recae
directamente en las buenas prácticas de los profesionales.
Hay que añadir que el total de resultados de todas las búsquedas, es decir el total de
dispositivos detectados, ha sido de 6.011.448 por lo que las 196 direcciones IP del análisis
solo representan un pequeño porcentaje del total, concretamente un 0.003% aunque es
probable también que algunos dispositivos hayan aparecido repetidamente en varias
búsquedas. Debemos tener en cuenta todos los dispositivos que han quedado fuera del
análisis con versiones anticuadas de sistemas operativos y de protocolos (Windows XP y

RISTI, N.º E39, 01/2021 473

Ciberseguridad del IoT: Un Análisis en Países de la Unión Europea

7, Linux con kernel <4.xx o servicios HTTP sin certificado). Se puede también deducir la
ubicación de algunos centros de datos importantes, como el de Amazon, solo sabiendo
la ciudad y los servicios ofertados. También Shodan ofrece la posibilidad de explorar
servicios con geolocalización e incluso prepara las búsquedas por puertos, protocolos y
categorías más usadas.

5.6. Discusión
Después de todo el análisis de este estudio, se proponen estrategias y buenas prácticas
para la implantación, configuración y control de sistemas IoT (Johnston, 2019),
(Mahmoud, Yousuf,, Aloul, & Zualkernan, 2015). El CCN-CERT recomienda hacer
auditorias de seguridad periódicamente, como mínimo una vez al año (CCN-CERT,
2017). Establecer el uso exclusivo de software de fuentes oficiales y evitar a toda costa
parches o modificaciones que no provengan de los proveedores autorizados. Hacer uso
de dispositivos de calidad contrastada y tener un plan de contingencia ante desastres de
seguridad, una política de copias de seguridad y un buen diseño de red.
Cifrar todas las conexiones que sean posibles, de archivos u otros convenientes para
asegurar las redes (Cifrado punto a punto PPP por ejemplo). Si una conexión no se
puede cifrar, buscar una alternativa o evitar/anular su uso. Cambiar las contraseñas
y usuarios por defecto en todos los dispositivos utilizando siempre diferentes usuarios
no predecibles, y contraseñas seguras. Además, se debe usar la autenticación en dos/
tres factores (2FA/3FA) y de biometría. Usar EPP’s (Endpoint Protection Platform) y
EDR (Endpoint Detection and Response), estos últimos centralizándolos en un punto
común, ya sea en la nube o bajo demanda. Uso de servidores de control de versiones
para comprobar y actualizar toda la infraestructura controladamente. Implementar un
SOC propio o en un modelo SaaS para monitorizar la infraestructura 365/24.
Por último, limitar la salida a Internet solo si es estrictamente necesaria de aquellos
dispositivos que lo necesiten, y usar seguridad perimetral mediante cortafuegos, NIDS,
honeypots, en toda la infraestructura. Controlar la seguridad física, es decir, el acceso
físico a los dispositivos debe ser estrictamente controlado.

6. Conclusiones
Los resultados arrojados por Shodan tanto en las gráficas de resultados de dispositivos
como en vulnerabilidades sugieren una gran diversidad y cantidad de dispositivos en la
Unión Europa expuestos y vulnerables. La cadena se rompe por el eslabón más débil, por lo
que un simple dispositivo vulnerable puede comprometer toda una infraestructura. Esto
es atractivo para las botnets que proliferan cada año con mayor criticidad y complejidad.
Vemos que el 90% de las vulnerabilidades son catalogadas como de criticidad media en
CVSS y el 70% de las soluciones viene por una mitigación, es decir, está en manos de los
responsables TI.
También hemos visto que el 20% de los parches son no oficiales y que siguen
existiendo dispositivos con sistemas operativos desfasados o software anticuado,
aunque en minoría. La diversidad se ha visto también en los protocolos IoT, los
expuestos aquí solo son un pequeño porcentaje de todos los utilizados en la industria.

474 RISTI, N.º E39, 01/2021

RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação

Urge la necesidad de estandarizar los dispositivos y las redes IoT, colaborar en un

plan general de buenas prácticas de control, implementación y mantenimiento.
Esto debe venir no solo a nivel gubernamental y legislativo sino de del compromiso
de las empresas tecnológicas de mayor alcance. La inminente intrusión de 5G sólo
hará que empeorar la situación al incrementarse exponencialmente los dispositivos
conectados a internet e incrementándose un descontrol preocupante a corto y medio
plazo. La clave puede pasar por implementar también soluciones innovadoras como el
blockchain, implementar estrictas medidas de seguridad, potenciar a los profesionales
en ciberseguridad y mantenerse en la delgada línea que separa la exposición vulnerable
de la conectividad eficiente.

Referencias
5g Observatory. (2020). 5g Infraestructure. Obtenido de https://5gobservatory.eu/
info-deployments/5g-infrastructure/
Ammar, M., Russello, G., & Crispo, B. (2018). Internet of Things: A survey on the security
of IoT frameworks. Journal of Information Security and Applications, 8-27.
AMQP. (2020). AMQP is the Internet Protocol for Business Messaging. Obtenido de
https://www.amqp.org/about/what
Borman, C. (2014). Specification RFC7252. Obtenido de https://tools.ietf.org/html/
rfc7252
CCN-CERT. (2017). Principios y recomendaciones básicas en Ciberseguridad. Obtenido
de Centro Criptológico Nacional: https://www.ucm.es/data/cont/media/www/
pag-114974/CCN-CERT_BP_01.pdf
Cui, P. (2017). Comparison of IoT Application Layer Protocols. Auburn: (Master thesis)
Auburn University.
DDS Fundation. (4 de 2020). What is DDS? Obtenido de https://www.dds-foundation.
org/what-is-dds-3/
Dolader Retmal, C., Bel Roig, J., & Muñoz Tapia, J. L. (2017). La blockchain: fundamentos,
aplicaciones y relación con otras tecnologías disruptivas. . Economía industrial, 33-
40.
EUR-Lex. (2020). EUR-Lex: Acces to European Union Law. Obtenido de https://eur-
lex.europa.eu/legal-content
Floerecke, S., & Lehner, F. (2018). Success-driving business model characteristics of
IaaS and PaaS providers. Int. J. Cloud Comput.: Serv. Arch.(IJCCSA), 1-22.
Guevara, R. P. (2018). Tools for the detection and analysis of potentially unwanted
programs. Doctoral dissertation, Universidad Politécnica de Madrid.
Haneen Al-Alami, A. H., & Al-Bahadili, H. (2017). Vulnerability scanning of IoT devices
in Jordan using Shodan. 2nd International Conference on the Applications of
Information Technology in Developing Renewable Energy Processes & Systems.
IEEE.

RISTI, N.º E39, 01/2021 475

 Ciberseguridad del IoT: Un Análisis en Países de la Unión Europea

Hernández, B., & & Ortiz, D. (2019). Análisis general del enfoque IOT en redes. Editorial
Universitaria San Mateo.
INCIBE. (25 de Abril de 2019). La importancia de la seguridad en IoT. Principales
amenazas. Obtenido de www.incibe-cert.es.
Ionos 1&1. (3 de 5 de 2019). AMQP: conoce el Advanced Message Queuing Protocol.
Obtenido de www.ionos.es/digitalguide/paginas-web/desarrollo-web/advanced-
message-queuing-protocol-amqp/
Jia, Y., Chen, Q., Wang, S., Rahmati, A., Fernandes, E., Mao, Z., . . . Unviersity, S. (2017).
ContexIoT: Towards Providing Contextual Integrity to Appified IoT Platforms.
NDSS.
Johnston, N. (11 de 12 de 2019). OWASP IoT Top 10. Obtenido de www.owasp.org.
https://owasp.org/www-chapter-toronto/assets/slides/2019-12-11-OWASP-IoT-
Top-10---Introduction-and-Root-Causes.pdf
Mahmoud, R., Y. T., Aloul, F., & Zualkernan, I. (2015). Internet of things (IoT) security:
Current status, challenges and prospective measures. In 2015 10th International
Conference for Internet Technology and Secured Transactions (ICITST) (págs.
336-341). IEEE.
Meftah, B. (2020). AT&T cibersecurity Insights Report: Security at the speed of 5G.
Obtenido de https://cdn5.alienvault.com/docs/analyst-reports/Cybersecurity-
Insights-Report-Ninth-Edition.pdf
Michael, S., & Andrew, H. (2012). Practical Malware análisis: the hands-on guide to
dissecting malicious software. No starch Press.
Microsoft. (2020). IoT tecnology protocols. Obtenido de www.azure.microsoft.com
Mqtt. (7 de 3 de 2020). Oasis Mqtt v5.0. Obtenido de https://docs.oasis-open.org/mqtt/
mqtt/v5.0/mqtt-v5.0.pdf
Pazmiño, L., Flores, F., Ponce, L., Zaldumbide, J., Parraga, V., Loarte, B., . . . Rivera,
R. (2019). Challenges and Opportunities of IoT Deployment in Ecuador. 2019
International Conference on Information Systems and Software Technologies
(ICI2ST) (pp. 108-115). Quito: IEEE.
Reyna, A., Martín, C., Chen, J., Soler, E., & Díaz, M. (2018). On blockchain and its
integration with IoT. Challenges and opportunities. Future Generation Computer
Systems, 173-190.
Rivera-Guevara, R. P. (2018). Deteccion y Clasificacion de Malware con el Sistema de
Análisis de Malware Cuckoo. UNIR.
Sinha, R., Wei, Y., & Hwang, S. (2017). A survey on LPWA technology: LoRa and NB-
IoT. Ict Express, 14-21.
Unwala, I., Taqvi, Z., & Lu, J. (2018). Thread: An IoT Protocol. In 2018 IEEE Green
Technologies Conference (GreenTech) (págs. 161-167). IEEE.

476 RISTI, N.º E39, 01/2021

View publication stats