Opinión | La necesidad de seguridad en los dispositivos IoT

Opinión: En pleno auge de Internet de las Cosas, los fabricantes de estos dispositivos deberían hacer una pausa para sentar las bases de una estandarización de su propia seguridad.

El concepto de Internet de las Cosas (IoT) conlleva infinitas posibilidades y un gran potencial para las soluciones que lo rodean. Durante los últimos años, la tecnología se encuentra en un punto de inflexión (en términos de adopción) y más cuando nos enfrentamos a este año, 2018.

Si entendemos el concepto IoT como la capacidad de los dispositivos para conectar y transferir datos entre sí, observamos que actualmente se está convirtiendo en una realidad en el propio mercado de consumo. La posibilidad de controlar la iluminación de tu hogar o disponer de cerraduras domésticas inteligentes son claros ejemplos de esta nueva tecnología.

Las últimas investigaciones llevadas a cabo señalan que el 29% de las empresas ya han implementado algún tipo de solución de IoT y se espera que este porcentaje aumente hasta un 48% en 2018 (Voice of IT – Spiceworks). Los factores claves que impulsan este crecimiento se entienden si pensamos en el ahorro en costes y el incremento en la productividad de los trabajadores.

Sin embargo, aún son pocos los fabricantes o clientes que se detienen a considerar los enormes riesgos de seguridad que vienen asociados a estos dispositivos. El aumento de las transferencias de datos y la falta actual de estándares de seguridad, remarcan el gran vacío existente en el perímetro de cualquier hogar o empresa que tenga dispositivos IoT.

Pensemos un momento, ¿cómo se actualiza un sistema operativo de un aire acondicionado?, ¿y de una bombilla inteligente? …Claramente, si no podemos actualizar sus sistemas operativos, ¿cómo podemos corregir sus posibles vulnerabilidades?

Entonces cuando te “piratean” (y es cuando, no si…), ¿en qué situación te quedas? Ciertamente, una parte de tu red ha sido atacada y se convertirá en una puerta de entrada para otros ciberdelincuentes. Un claro caso de vulnerabilidad después de otra vulnerabilidad.

Como dato importante, señalar que para 2020 se estima que el 25% de los ciberataques se dirijan a dispositivos IoT (Trustlook). Ahora bien, en una reciente encuesta realizada por Money Supermarket, un gran número de los entrevistados señalaron que son conscientes de los peligros asociados a estos dispositivos IoT, pero que sus aparentes beneficios (conveniencia, productividad y ahorro) parecen superar cualquier riesgo asociado.

La investigación llevada a cabo también muestra que, más de las tres cuartas partes de la muestra objeto de estudio tienen cierto temor a los dispositivos IoT en sus propios hogares. Las razones que justifican esta preocupación vienen fundamentadas por los ciberatques y por la obtención de cualquier información personal sin consentimiento. Asimismo, la misma encuesta pronostica que habrá entre 25 y 30 mil millones de dispositivos conectados en todo el mundo para 2020.

Otro estudio (Trustlook) revela que el 54% de los usuarios no disponen de ninguna solución de seguridad que proteja sus propios dispositivos de amenazas externas e incluso, más de un tercio de ellos, ni si quiera cambian la contraseña que viene predeterminada de fábrica…¡un fracaso asombroso y a la vez, preocupante! Claro ejemplo en relación con este aspecto fue el pasado ciberataque Mirai, un malware que mediante ataques de denegación de servicios distribuidos (DDoS) a través de los dispositivos IoT interrumpieron el servicio de internet de más de 900.000 clientes de Deutsche Telekom en Alemania e incluso, afectaron a casi 2.400 routers TalkTalk en el Reino Unido.

El actual panorama IoT se puede comparar con los primeros días de internet, cuando virus, gusanos y spam plagaban los dispositivos de los usuarios. Muchas empresas en su momento corrieron para unirse a esta “fiebre del oro” de Internet sin tener ninguna consideración sobre la importancia de su seguridad. No será un error decir que lo mismo está pasando ahora. Obviamente, la prioridad de los fabricantes de estos dispositivos IoT es llevar cuanto antes sus productos al mercado para obtener beneficios, pero en pleno 2018, hablamos de dispositivos que podrían causar un gran daño a cualquier tipo de empresa y organización e incluso, representar una clara amenaza para los propios seres humanos.

Por tanto, no será difícil imaginarnos en poco tiempo como las organizaciones se verán obligadas a asumir grandes gastos para realizar modificaciones en la configuración de la seguridad de su red. Las empresas tenderán pues, a duplicar y hasta triplicar su presupuesto de seguridad IT, sólo con objeto de protegerse de amenazas que provengan de simples bombillas inalámbricas y/o termostatos.

Si bien estos son algunos ejemplos cliché, habrá aplicaciones tan esenciales para las empresas que el uso de dispositivos IoT será una imperante necesidad, como aquellas que gestionen la temperatura de las instalaciones o, por ejemplo, para llevar a cabo transacciones financieras. Tal como vamos observando día a día, la tecnología IoT también está siendo utilizada en los procesos de fabricación, donde los dispositivos que operan en un entorno máquina a máquina (M2M), sin seguridad, tienen una mayor posibilidad de ser atacados y, por tanto, de provocar un incidente en la propia organización.

Entonces, ¿cómo podemos solucionar estos problemas de seguridad antes de que estos dispositivos causen algún tipo de daño?

En primer lugar, los fabricantes de estos dispositivos deberían unirse para defender los estándares de seguridad a implementar en los dispositivos IoT. Estos estándares pueden incluir una certificación mediante la cual, los propios usuarios puedan tener garantías que dichos dispositivos ofrecen unas garantías. Si un dispositivo no cumple con estos estándares, puede ser reconocido como un dispositivo inseguro y como resultado, se le retiraría este certificado.

Actualmente, la única opción parar retirar estos dispositivos que no son de confianza, que no puedan ser actualizados y/o no dispongan de la posibilidad de ser asegurados mediante soluciones adicionales, sería eliminarlos de la empresa. Pero a medida que estos se integran cada vez más en la red y los sistemas, el coste de extraerlos ascendería hasta 100 veces más de su coste inicial.

Los fabricantes de estos dispositivos deberían ser conscientes de las consecuencias de sus acciones en la actualidad.

En 2017, Estados Unidos propuso un nuevo proyecto de ley que introdujo ciertos requisitos que deberían disponer los dispositivos IoT que fuesen comprados por el propio gobierno de EE. UU. Dicha Ley, “The Internet of Things (IoT) Cybersecurity Improvement Act”, requería que los fabricantes pudieran establecer mecanismos para la implementación de parches de seguridad cuando las actualizaciones así se dispongan, que los dispositivos no usaran contraseñas codificadas (inmutables) y que, estos mismos se encuentren libres de vulnerabilidades conocidas en el momento de su compra.

Este es un gran paso para obligar a los desarrolladores a tomar más conciencia sobre la seguridad en los dispositivos IoT en el futuro. En Europa, la Agencia Europea de Seguridad de las Redes y de la Información – ENISA, ha pedido a proveedores, desarrolladores, asociaciones industriales, funcionarios y académicos que se reúnan para intercambiar puntos de vista e ideas sobre las amenazas, desafíos y soluciones de ciberseguridad.

En un documento de posición sobre esta cuestión, el grupo declaró que actualmente “no hay ningún nivel definido para la seguridad y la privacidad de los dispositivos conectados e inteligentes”, no hay pautas legales para establecer mecanismos que atribuyan un grado de confianza en los dispositivos IoT y no hay “requisitos de precaución vigentes”.

Existen datos recientes de que el Gobierno de Reino Unido, mediante su Programa Nacional en Ciberseguridad – National Cyber Security Programme (NCSP), está trabajando con la industria TI para impulsar el desarrollo de sistemas de seguridad en los dispositivos IoT mediante la iniciativa “Secure by Default”. A principios de este año, se estableció un equipo de trabajo dentro del Departamento Digital, Cultura, Medios y Deportes – Department for Digital, Culture, Media and Sport (DCMS) con el objetivo de abordar el problema en el punto de fabricación del software y hardware.

En 2018, la estandarización en los dispositivos IoT es imprescindible. Es esencial que los dispositivos sean seguros desde su fabricación, no a posteriori. El fracaso de cualquier empresa será el de no establecer cualquier plan conjunto para protegerse. En el caso de que no lo hagan, mostrarán sus debilidades en una crisis de seguridad.

Por Ian Kilpatrick, EVP Cyber Security de Nuvias Group


Más información sobre IoT en Diario TI



Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022