Con la expansión de los dispositivos IoT y el aumento
de los ciberataques a este tipo de dispositivos se
han buscado diferentes modelos para analizar el impacto
y crear estrategias de protección frente a estos
ataques. En este texto hablaremos de los modelos
epidemiológicos que se han utilizado para este fin
explicando el modelo básico SIS y mencionando otros
de los modelos que se están proponiendo para la seguridad
en redes de dispositivos IoT.
1. enero 2022, No 36
CyTe - Infosec Technology Newsletter
Con la expansión de los dispositivos IoT y el aumen-
to de los ciberataques a este tipo de dispositivos se
han buscado diferentes modelos para analizar el im-
pacto y crear estrategias de protección frente a estos
ataques. En este texto hablaremos de los modelos
epidemiológicos que se han utilizado para este fin
explicando el modelo básico SIS y mencionando otros
de los modelos que se están proponiendo para la se-
guridad en redes de dispositivos IoT.
Modelos epidemiológicos en seguridad para
dispositivos IoT
por José Darío Flórez
Los dispositivos de internet de las cosas (IoT) hacen refe-
rencia a todos los dispositivos que tengan sensores, software y
otro tipo de tecnologías con el objetivo de extraer información
y compartirla con otros dispositivos a través de internet. Año
tras año ha aumentado de manera considerable la cantidad de
dispositivos conectados a internet en todo el mundo; se esti-
mó que en 2020 habían aproximadamente 25 mil millones de
dispositivos IoT y se espera que esta cantidad siga en aumento
de acuerdo a [FWM+
15].
Los dispositivos IoT han sido uno de los principales objetivos
de los Hackers y los programadores de malware. Se estima que
el 25 % de los ciberataques han estado dirigidos a dispositivos
IoT y con la rápida adopción de estas nuevas tecnologías se
espera un continuo incremento en ellos [NNLN20]. Uno de
los casos mas reconocidos es el del malware Mirai, que entre
2016 y 2017 se utilizó para una gran cantidad de ataques de
DDoS (Ataque de denegación de servicios) al infectar a un
gran número de dispositivos de IoT. Se estima que este Malwa-
re logró infectar 65000 dispositivos en aproximadamente 20
horas y alcanzó un máximo de 600000 nodos infectados al
mismo tiempo [DRAM19]. Este malware usa una propagación
que se basa en escanear posibles dispositivos vulnerables para
luego infectar estos dispositivos con la información obtenida
del escaneo. Para lograr esto, Mirai mensajes a las direcciones
IP de los dispositivos sobre los puertos 23 y 2323 y utiliza un
diccionario de credenciales(usuario y contraseña) de login co-
munes.
Uno de los retos actuales que surge frente a la protección de re-
des IoT consiste en analizar el impacto de un malware sobre la
red, es decir cuantos dispositivos puede infectar, cuanto tiempo
tardará la red en recuperarse, entre otras cosas. Para resolver
estas incógnitas podemos dirigirnos al mundo de los modelos
epidemiológicos. Existen una gran variedad de modelos epide-
miológicos basados en redes, que varían dependiendo de los
supuestos iniciales desde los que empecemos y dependiendo
del comportamiento del virus que se esparce en la red. En este
artículo hablaremos de uno de los modelos epidemiológicos
mas conocidos que será el modelo SIS (Susceptible-Infected-
Susceptible) y cómo se puede utilizar para prevenir el impacto
de un ataque de malware a nuestra red.
Modelos epidemiológico SIS básico
El modelo epidemiológico SIS tiene los siguientes supues-
tos:
Un nodo(en nuestro caso un dispositivo IoT) solo puede
estar susceptible a la infección o infectado.
Un nodo susceptible puede infectar a otro con una tasa
de infección β.
Un nodo infectado se puede recuperar con cierta tasa de
recuperación γ.
Usualmente estas tasas se obtendrían estadísticamente al ana-
lizar que tan rápido un nodo infecta a otro o que tan rápido
CyTe - Infosec Technology Newsletter
m cyte.co T +57(1)745-0272 B Calle 24 No 7-43 Of 704. Edificio Siete 24. B info@cyte.co linked.in/miltonq Pág 1
2. se recupera un nodo. Estos supuestos del modelo se pueden
observar en el siguiente dibujo:
Figura 1: Suposiciones
Ahora, partiendo de estas suposiciones queremos descri-
bir el número de infectados en el tiempo t llamado I(t) y el
número de susceptibles en el tiempo t llamado S(t); llame-
mos a N = I(t) + S(t) el número total de nodos en la red.
Describimos el modelo con el siguiente sistema de ecuaciones
diferenciales:
dS
dt
= γI(t) − βI(t)
S(t)
N
(1)
dI
dt
= βI(t)
S(t)
N
− γI(t) (2)
Estas ecuaciones indican que la variación del numero de sus-
ceptibles en el tiempo t es el número de infectados por la tasa
de recuperación menos el porcentaje de susceptibles por el
número de infectados y su tasa de infección. La otra ecuación
para la variación de infectados es similar pero multiplicada
por −1.
Si solucionamos las ecuaciones 1 y 2 como una ecuación di-
ferencial lineal de primer orden para β ̸= γ obtenemos la
siguiente solución:
I(t) =
1
β
N
1
(β−γ) + ( 1
I(0) − β
N(β−γ) )e−(β−γ)t
(3)
Lo primero que vemos es que la solución nos permite saber
cuantos nodos infectados tendrá nuestra red en el tiempo t.
Por otro lado, nos ayuda ver qué pasará con la infección en el
largo plazo, es decir, si la infección se mantendrá infinitamente
en la red o si tenderá a desaparecer. Para esto calculamos el
límite al infinito de I(t) lo que nos da:
lı́m
t→∞
I(t) =
(
0 si β/γ < 1
N(1 − γ
β ) si β/γ > 1
Un factor importante aquí es el número básico de reproduc-
ción R0 = γ
β . Este número es una de las contribuciones mas
grandes de las matemáticas al mundo de los modelos epidemio-
lógicos y en este modelo podemos ver su importancia. Vemos
que si R0 < 1, entonces la infección tenderá a desaparecer en
el largo plazo, mientras que si R0 > 1 la infección se estabili-
zará en un número fijo en el largo plazo como vemos en las
siguientes gráficas.
Figura 2: Comportamiento de SIS en el tiempo cuando β > γ
En esta imagen vemos que cuando β > γ, el número básico
de reproducción es mayor a 1 y la infección tiende a estabili-
zarse en un número fijo de dispositivos infectados.
Figura 3: Comportamiento de SIS en el tiempo cuando β < γ
En esta otra imagen vemos que cuando β < γ, el número
básico de reproducción es menor a 1 y el número de infectados
tiende a 0, por lo que la infección desaparecerá.
Otros modelos epidemiológicos
El modelo epidemiológico que vimos antes nos permite
analizar el comportamiento del sistema, calcular un numero
esperado de infecciones en el tiempo t y entender el estado del
sistema a largo plazo dependiendo de las tasas de infección y
de recuperación de nuestros dispositivos. Después de entender
este modelo epidemiológico mas básico, hay otros acercamien-
CyTe - Infosec Technology Newsletter
m cyte.co T +57(1)745-0272 B Calle 24 No 7-43 Of 704. Edificio Siete 24. B info@cyte.co linked.in/miltonq Pág 2
3. REFERENCIAS REFERENCIAS
tos mas complejos que nos permiten realizar análisis diferentes
sobre el sistema. Entre estos otros modelos encontramos:
Un modelo SIS estocástico en redes, que a partir de la
matriz de adyacencia de la red y tomando todo como pro-
cesos aleatorios que siguen una distribución exponen-
cial, nos permite crear un modelo de cadenas de Markov
y realizar un análisis mas específico de la red dando mé-
tricas como evolución del sistema, nodo crítico o tiempo
esperado hasta que termine la infección.[IZK17]
Una simulación del modelo SIS con el algorítmo de Gilles-
pie, lo que nos permite simular la expansión del Malware
en una red muchas veces y proponer estrategias de pro-
tección para los nodos mas vulnerables.[CF17]
Variaciones al modelo epidemiológico SIS como el mode-
lo IoT-SiS [DRAM19] donde se adicionan componentes
más específicos de cierto tipo de Malware sobre modelo
tales como diferentes tipos de tasas de infección y de
recuperación basadas en comunicaciones P2P, varias cla-
ses de infectados dentro de la red, para el que se realiza
un análisis similar al de este texto.
Estos modelos mencionados anteriormente nos permiten en-
tender qué nodos afectan de forma mas significativa el esparci-
miento del virus y ayudan a generar estrategias de disminuir el
numero de conexiones entre los nodos de la red o aumentar los
mecanismos preventivos sobre los nodos mas vulnerables. El
uso de los modelos epidemiológicos en las redes de dispositivos
IoT aún es muy nuevo, pero ya encontramos varias estrategias
para analizar el impacto de varios tipos de Malware. Sin em-
bargo, la seguridad en IoT es un campo no muy desarrollado
en materia de seguridad y aún queda mucho por investigar en
cuanto a mecanismos para analizar y proteger los dispositivos
IoT de todo tipo de atacantes.
Referencias
[CF17] Wesley Cota and Silvio C. Ferreira. Optimized gillespie algorithms for the simulation of markovian epidemic
processes on large and heterogeneous networks. Computer Physics Communications, 219:303 – 312, 2017.
[DRAM19] Rajarajan Muttukrishnan Komninos Nikos Zarpelão B. B. Del Rey Angel M., Acarali Dilara. Modelling the spread
of botnet malware in iot-based wireless sensor networks. Security and Communication Networks, 2019.
[FWM+
15] Muhammad Farooq, Muhammad Waseem, Sadia Mazhar, Anjum Khairi, and Talha Kamal. A review on internet of
things (iot). International Journal of Computer Applications, 113:1–7, 03 2015.
[IZK17] Péter L. Simon István Z. Kiss, Joel C. Miller. Mathematics of Epidemics on Networks. From Exact to Approximate
Models. Springer, 2017.
[NNLN20] Quoc-Dung Ngo, Huy-Trung Nguyen, Van-Hoang Le, and Doan-Hieu Nguyen. A survey of iot malware and
detection methods based on static features. ICT Express, 6(4):280 – 286, 2020.
Consúltenos en B info@cyte.co acerca de las preguntas que pueda tener acerca de cómo puede adquirir la herramienta
Crypto-Vault® para cifrado y descifrado de documentos sensibles de su organización. Para más artículos similares síganos en
nuestro blog en https://www.cyte.co/blog
La imagen inicial usada en esta nota fue tomada de tomada de https://cio.com.mx/como-preparar-su-red-para-iot/.
CyTe - Infosec Technology Newsletter
m cyte.co T +57(1)745-0272 B Calle 24 No 7-43 Of 704. Edificio Siete 24. B info@cyte.co linked.in/miltonq Pág 3