El ciberataque que sufrió la compañía Dyn por parte de un grupo de hackers ha supuesto el fin del mundo para mucha gente que hacía uso de las webs que se cayeron, así como Netflix, Twitter o Spotify. Sin embargo, los profesionales de seguridad aseguran que esta interrupción del servicio no era más que un “ataque molestia” en comparación con el daño potencial que pueden desencadenar miles de millones de dispositivos del Internet de las Cosas que no sean seguros. Aun así, la preocupación por el peligro que conlleva tener miles de millones de dispositivos conectados a Internet con poca o ninguna protección de seguridad cibernética es evidente.
“Esto es solo la punta del iceberg”, comentó Nicholas Evans, vicepresidente y gerente general dentro de la oficina del CTO en Unisys, donde dirige su programa de innovación aplicada en todo el mundo. “Se puede graduar la intensidad de la amenaza a medida que los dispositivos IoT se vuelven más autónomos, como los coches de autoconducción, o más controlables, al igual que algunos de los dispositivos de tipo fábrica que manipulan el entorno físico. Ahí es donde está la verdadera amenaza”.
Según Gartner, 20.8 mil millones de cosas podrían estar conectadas para el año 2020. Eso significa que aparecerían alrededor de 5.5 millones cada día y más de la mitad de los principales procesos de negocio y sistemas nuevos incorporaría algún elemento de IoT.
El consultor de seguridad Gigamon Justin Harvey culpa a los fabricantes de estos dispositivos por el ataque DDoS de Dyn pero también cree que los profesionales de ISP podrían hacer un mejor trabajo con la seguridad. “Soy crítico con que los comerciantes estén lanzando apresuradamente sus productos al mercado simplemente por la fiebre de oro que hay en el mundo IoT”, afirmó el consultor. “Ellos envían sus productos inseguros sin ningún tipo de supervisión o consecuencia –en el caso de que vaya mal- pensando que son los propios consumidores los que tienen que asegurar sus aparatos o cambiar las contraseñas”.
Claramente, uno de los principales problemas es que la seguridad a menudo es una idea de último momento. Algunos profesionales de seguridad creen que el congreso debe involucrarse para desarrollar regulaciones y supervisión de la fabricación de dispositivos. “El congreso tiene que poner hacia fuera las reglas y directrices para estos fabricantes “, dijo Harvey, ya que alguien tiene que ser responsable si algo sale mal, ya sea el proveedor o el fabricante.
Para las empresas que utilizan soluciones IoT, el rompecabezas de la seguridad es complejo, ya que pueden estar conectados a un ecosistema que implica a más gente. Incluso el sector público está tomando nota a pesar de que la mayoría de las agencias gubernamentales no utilicen dispositivos IoT comerciales dentro de sus propios muros. Y es que, los recientes secuestros de estos aparatos se han dirigido a los que son comerciales, en lugar de los industriales. En septiembre un grupo formado por algunos de los principales actores del mundo de IoT lanzó su Marco de Seguridad de Internet Industrial, un conjunto de las mejores prácticas para ayudar a los desarrolladores y los usuarios a evaluar los riesgos y a ser capaces de defenderse contra ellos.
El Industrial Internet Consortium cree que los equipos industriales no deben ser los responsables de la implementación de seguridad sino más bien los integradores de sistemas. En cambio, algunos proveedores de dispositivos IoT piensan que la seguridad es una responsabilidad compartida.
Se puede concluir que, mientras que el ataque DDoS vivido la semana antepasada puede ser una apertura de futuras ciberamenazas, también puede marcar el inicio de la movilización de la industria de seguridad para introducir más normas a este tipo de dispositivos.
-IDG.es