Opini贸n | La necesidad de seguridad en los dispositivos IoT

Opini贸n: En pleno auge de Internet de las Cosas, los fabricantes de estos dispositivos deber铆an hacer una pausa para sentar las bases de una estandarizaci贸n de su propia seguridad.

El concepto de Internet de las Cosas (IoT) conlleva infinitas posibilidades y un gran potencial para las soluciones que lo rodean. Durante los 煤ltimos a帽os, la tecnolog铆a se encuentra en un punto de inflexi贸n (en t茅rminos de adopci贸n) y m谩s cuando nos enfrentamos a este a帽o, 2018.

Si entendemos el concepto IoT como la capacidad de los dispositivos para conectar y transferir datos entre s铆, observamos que actualmente se est谩 convirtiendo en una realidad en el propio mercado de consumo. La posibilidad de controlar la iluminaci贸n de tu hogar o disponer de cerraduras dom茅sticas inteligentes son claros ejemplos de esta nueva tecnolog铆a.

Las 煤ltimas investigaciones llevadas a cabo se帽alan que el 29% de las empresas ya han implementado alg煤n tipo de soluci贸n de IoT y se espera que este porcentaje aumente hasta un 48% en 2018 (Voice of IT 鈥 Spiceworks). Los factores claves que impulsan este crecimiento se entienden si pensamos en el ahorro en costes y el incremento en la productividad de los trabajadores.

Sin embargo, a煤n son pocos los fabricantes o clientes que se detienen a considerar los enormes riesgos de seguridad que vienen asociados a estos dispositivos. El aumento de las transferencias de datos y la falta actual de est谩ndares de seguridad, remarcan el gran vac铆o existente en el per铆metro de cualquier hogar o empresa que tenga dispositivos IoT.

Pensemos un momento, 驴c贸mo se actualiza un sistema operativo de un aire acondicionado?, 驴y de una bombilla inteligente? 鈥laramente, si no podemos actualizar sus sistemas operativos, 驴c贸mo podemos corregir sus posibles vulnerabilidades?

Entonces cuando te 鈥減iratean鈥 (y es cuando, no si鈥), 驴en qu茅 situaci贸n te quedas? Ciertamente, una parte de tu red ha sido atacada y se convertir谩 en una puerta de entrada para otros ciberdelincuentes. Un claro caso de vulnerabilidad despu茅s de otra vulnerabilidad.

Como dato importante, se帽alar que para 2020 se estima que el 25% de los ciberataques se dirijan a dispositivos IoT (Trustlook). Ahora bien, en una reciente encuesta realizada por Money Supermarket, un gran n煤mero de los entrevistados se帽alaron que son conscientes de los peligros asociados a estos dispositivos IoT, pero que sus aparentes beneficios (conveniencia, productividad y ahorro) parecen superar cualquier riesgo asociado.

La investigaci贸n llevada a cabo tambi茅n muestra que, m谩s de las tres cuartas partes de la muestra objeto de estudio tienen cierto temor a los dispositivos IoT en sus propios hogares. Las razones que justifican esta preocupaci贸n vienen fundamentadas por los ciberatques y por la obtenci贸n de cualquier informaci贸n personal sin consentimiento. Asimismo, la misma encuesta pronostica que habr谩 entre 25 y 30 mil millones de dispositivos conectados en todo el mundo para 2020.

Otro estudio (Trustlook) revela que el 54% de los usuarios no disponen de ninguna soluci贸n de seguridad que proteja sus propios dispositivos de amenazas externas e incluso, m谩s de un tercio de ellos, ni si quiera cambian la contrase帽a que viene predeterminada de f谩brica鈥βn fracaso asombroso y a la vez, preocupante! Claro ejemplo en relaci贸n con este aspecto fue el pasado ciberataque Mirai, un malware que mediante ataques de denegaci贸n de servicios distribuidos (DDoS) a trav茅s de los dispositivos IoT interrumpieron el servicio de internet de m谩s de 900.000 clientes de Deutsche Telekom en Alemania e incluso, afectaron a casi 2.400 routers TalkTalk en el Reino Unido.

El actual panorama IoT se puede comparar con los primeros d铆as de internet, cuando virus, gusanos y spam plagaban los dispositivos de los usuarios. Muchas empresas en su momento corrieron para unirse a esta 鈥渇iebre del oro鈥 de Internet sin tener ninguna consideraci贸n sobre la importancia de su seguridad. No ser谩 un error decir que lo mismo est谩 pasando ahora. Obviamente, la prioridad de los fabricantes de estos dispositivos IoT es llevar cuanto antes sus productos al mercado para obtener beneficios, pero en pleno 2018, hablamos de dispositivos que podr铆an causar un gran da帽o a cualquier tipo de empresa y organizaci贸n e incluso, representar una clara amenaza para los propios seres humanos.

Por tanto, no ser谩 dif铆cil imaginarnos en poco tiempo como las organizaciones se ver谩n obligadas a asumir grandes gastos para realizar modificaciones en la configuraci贸n de la seguridad de su red. Las empresas tender谩n pues, a duplicar y hasta triplicar su presupuesto de seguridad IT, s贸lo con objeto de protegerse de amenazas que provengan de simples bombillas inal谩mbricas y/o termostatos.

Si bien estos son algunos ejemplos clich茅, habr谩 aplicaciones tan esenciales para las empresas que el uso de dispositivos IoT ser谩 una imperante necesidad, como aquellas que gestionen la temperatura de las instalaciones o, por ejemplo, para llevar a cabo transacciones financieras. Tal como vamos observando d铆a a d铆a, la tecnolog铆a IoT tambi茅n est谩 siendo utilizada en los procesos de fabricaci贸n, donde los dispositivos que operan en un entorno m谩quina a m谩quina (M2M), sin seguridad, tienen una mayor posibilidad de ser atacados y, por tanto, de provocar un incidente en la propia organizaci贸n.

Entonces, 驴c贸mo podemos solucionar estos problemas de seguridad antes de que estos dispositivos causen alg煤n tipo de da帽o?

En primer lugar, los fabricantes de estos dispositivos deber铆an unirse para defender los est谩ndares de seguridad a implementar en los dispositivos IoT. Estos est谩ndares pueden incluir una certificaci贸n mediante la cual, los propios usuarios puedan tener garant铆as que dichos dispositivos ofrecen unas garant铆as. Si un dispositivo no cumple con estos est谩ndares, puede ser reconocido como un dispositivo inseguro y como resultado, se le retirar铆a este certificado.

Actualmente, la 煤nica opci贸n parar retirar estos dispositivos que no son de confianza, que no puedan ser actualizados y/o no dispongan de la posibilidad de ser asegurados mediante soluciones adicionales, ser铆a eliminarlos de la empresa. Pero a medida que estos se integran cada vez m谩s en la red y los sistemas, el coste de extraerlos ascender铆a hasta 100 veces m谩s de su coste inicial.

Los fabricantes de estos dispositivos deber铆an ser conscientes de las consecuencias de sus acciones en la actualidad.

En 2017, Estados Unidos propuso un nuevo proyecto de ley que introdujo ciertos requisitos que deber铆an disponer los dispositivos IoT que fuesen comprados por el propio gobierno de EE. UU. Dicha Ley, 鈥淭he Internet of Things (IoT) Cybersecurity Improvement Act鈥, requer铆a que los fabricantes pudieran establecer mecanismos para la implementaci贸n de parches de seguridad cuando las actualizaciones as铆 se dispongan, que los dispositivos no usaran contrase帽as codificadas (inmutables) y que, estos mismos se encuentren libres de vulnerabilidades conocidas en el momento de su compra.

Este es un gran paso para obligar a los desarrolladores a tomar m谩s conciencia sobre la seguridad en los dispositivos IoT en el futuro. En Europa, la Agencia Europea de Seguridad de las Redes y de la Informaci贸n 鈥 ENISA, ha pedido a proveedores, desarrolladores, asociaciones industriales, funcionarios y acad茅micos que se re煤nan para intercambiar puntos de vista e ideas sobre las amenazas, desaf铆os y soluciones de ciberseguridad.

En un documento de posici贸n sobre esta cuesti贸n, el grupo declar贸 que actualmente 鈥渘o hay ning煤n nivel definido para la seguridad y la privacidad de los dispositivos conectados e inteligentes鈥, no hay pautas legales para establecer mecanismos que atribuyan un grado de confianza en los dispositivos IoT y no hay 鈥渞equisitos de precauci贸n vigentes鈥.

Existen datos recientes de que el Gobierno de Reino Unido, mediante su Programa Nacional en Ciberseguridad 鈥 National Cyber Security Programme (NCSP), est谩 trabajando con la industria TI para impulsar el desarrollo de sistemas de seguridad en los dispositivos IoT mediante la iniciativa 鈥淪ecure by Default鈥. A principios de este a帽o, se estableci贸 un equipo de trabajo dentro del Departamento Digital, Cultura, Medios y Deportes – Department for Digital, Culture, Media and Sport (DCMS) con el objetivo de abordar el problema en el punto de fabricaci贸n del software y hardware.

En 2018, la estandarizaci贸n en los dispositivos IoT es imprescindible. Es esencial que los dispositivos sean seguros desde su fabricaci贸n, no a posteriori. El fracaso de cualquier empresa ser谩 el de no establecer cualquier plan conjunto para protegerse. En el caso de que no lo hagan, mostrar谩n sus debilidades en una crisis de seguridad.

Por Ian Kilpatrick, EVP Cyber Security de Nuvias Group


M谩s informaci贸n sobre IoT en Diario TI



Destacamos

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.