En el primer artículo de esta serie comentamos los avances en la transformación digital que el mundo IoT está proporcionando, tanto en la industria como en las ciudades inteligentes (Smart Cities). Sobre la comunicación entre dispositivos IoT, destacamos la red LoRaWAN como una de las redes de área amplia de baja potencia (LPWAN) más extendidas y populares en el mundo, y mencionamos los dispositivos que conforman este tipo de redes. A continuación, en el capítulo anterior, profundizamos en conceptos sobre LoRaWAN donde explicamos qué es una trama LoRaWAN, qué es la carga útil o payload, que modos de configuración existen en los dispositivos (OTAA / ABP), cómo se unen los dispositivos a la red y qué mensajes/claves se intercambian entre los elementos que conforman la red.
Una vez tratados los conceptos fundamentales de estas redes de telecomunicación, vamos a mostrar en este capítulo una de las principales amenazas que pueden producirse en entornos reales LoRaWAN. Reflexionaremos a cerca de la importancia de blindar la ciberseguridad en este tipo de redes y comentaremos las consecuencias que estas amenazas pueden provocar sobre las Smart Cities.
Vamos a plantear un escenario donde tenemos una red LoRaWAN formada por un dispositivo integrado en un contenedor de residuos que cuenta con un sensor de temperatura, una antena (gateway) posicionada estratégicamente en la ciudad que captará los mensajes que mande el nodo (sensor de temperatura), un Network Server para que este dispositivo pueda unirse a nuestra red y un Application Server al que llegará periódicamente la información de la temperatura del contenedor de residuos.
El sensor mandará periódicamente el valor de la temperatura, que se monitorizará para llevar un control de posibles incendios del contenedor o del entorno.
Si se detecta un valor por encima del umbral establecido (e.g. 100 ºC) se disparará una alerta para avisar a los servicios de emergencia de la ciudad.
Gracias a estas tecnologías es posible que las ciudades tengan una mayor visibilidad y control sobre sus recursos, así como optimizar las labores de gestión de las ciudades y sus servicios. Pero, ¿es posible engañar a las ciudades enviando información falsa? ¿Se podría llegar a descifrar la información que el sensor transmite? Vamos a dar respuesta a estas cuestiones añadiendo un nuevo sensor a la red, pero en este caso será un sensor que un atacante sitúe en la ciudad y que se conecte a la red. Veamos:
En primer lugar, recordemos que cuando un nodo LoRaWAN se conecta a la red utiliza un identificador llamado APPKey. Esta clave se configura antes de que el dispositivo esté disponible en la ciudad para enviar información y es común que estas claves sean conocidas de un proveedor o hayan sido filtradas. Con esta clave, el dispositivo se une a la red intercambiando los mensajes JoinRequest y JoinAccept. Entonces, respondiendo a la pregunta sobre si es posible descifrar la información, si un atacante consigue recuperar ese par de mensajes, puede realizar el proceso inverso y descifrar los datos transmitidos (payload). Para ello puede utilizar la APPKey del dispositivo en cuestión porque la conoce previamente o puede hacer un ataque de fuerza bruta probando muchas posibles APPKey hasta dar con la correcta.
Sobre la otra cuestión que formulamos anteriormente, tenemos que partir del hecho de que el atacante ya conoce cual es la APPKey del sensor en cuestión que quiere suplantar y que cuente con un paquete que haya transmitido el nodo original. Esto sería suficiente para que un atacante pudiese recuperar las claves de sesión (NwkSKey y APPSKey). A partir de este momento, el único aspecto a tener en cuenta por parte del atacante a la hora de empezar a transmitir los falsos paquetes es que los valores del campo FCnt de los paquetes que mande el dispositivo malicioso tengan un valor superior al original. Es decir, si el último paquete que mandó el dispositivo legítimo fue el 123, el atacante tiene que establecer que el nodo malicioso transmita, al menos, el 124. Esto provocará que la información que será monitorizada sea la del nodo malicioso y no la del legítimo que quedará totalmente invisible para la red.
Después de haber repasado este tipo de redes y las amenazas que pueden darse, tenemos que hacer hincapié en la importancia que tiene blindar la ciberseguridad en estos entornos. Imaginemos que, de repente, los semáforos dejan de funcionar, las luminarias se apagan, el sensor de nivel de llenado de un contenedor dice estar vacío cuando no lo está, hay un incendio y el sensor de temperatura no alerta, etc.
Algunas recomendaciones oportunas para tratar de mitigar estas brechas de seguridad podrían ser:
- Elaborar un inventario de los dispositivos de la red.
- Monitorizar qué sensores están transmitiendo y cuáles no.
- Comprobar si el tiempo que lleva un dispositivo sin transmitir información es el esperado.
- Revisar físicamente los nodos de forma periódica. Pueden ser manipulados ya que están expuestos en las calles, contenedores, etc.
