De acuerdo con un informe titulado Internet of Things Research Study, el 70% de los dispositivos relacionados con Internet de las Cosas (IoT, en sus siglas en inglés) más comúnmente usados, contienen vulnerabilidades relacionadas con el cifrado, los permisos y la seguridad de sus contraseñas.
“Aunque Internet de las Cosas conectará y unificará muchos objetos y sistemas, también presenta un reto de seguridad significativo, porque aumenta de forma importante la superficie de ataque”, comentó Mike Armistead, vicepresidente y director general de Fortify, productos de seguridad empresarial de HP, en respuesta a dicho estudio.
Entonces, ¿qué retos relacionados con IoT deberían preocuparle? Resumimos las tres problemáticas principales y los pasos que debería dar para proteger los datos sensibles al utilizar dispositivos no tradicionales con acceso a Internet.
Primera preocupación: Invasión de la privacidad/vigilancia ilegal
“Los módulos conectados a Internet instalados en diversos dispositivos (como autos, juguetes, aplicaciones domésticas, etc.) pueden utilizarse para vigilarle de manera ilegal”, aseguró Daniel Dimov, investigador de seguridad en el InfoSec Institute. “Por ejemplo, una puerta conectada a Internet puede utilizarse para monitorizar cuándo entra o sale alguien de su casa”. Y los Smart TV y sistemas de vigilancia para niños pueden verle.
“Estos tipos de amenazas no son meramente especulativas”, añadió. “Se han encontrado vulnerabilidades bien documentadas en diversos módulos conectados a Internet e instalados en autos, dispositivos médicos y juguetes para niños”. Y no olvidemos los Smart TVs de Samsung.
“Antes de comprar un dispositivo conectado, investigue”, aconsejó Caroline Tien-Spalding, directora de marketing senior de ArcSoft, una empresa de desarrollo de software de video de imagen. “¿Cómo se encriptan y protegen sus datos? ¿Dónde se almacenan? ¿Incluyen una opción para una difusión pública?”
Una forma de “defenderse frente a los ataques IoT es segmentar la red; es decir, crear dos redes distintas en su casa que separen sus dispositivos IoT de la red que alberga su computadora personal y sus dispositivos móviles”, recomendó Stephen Coty, director de investigación de amenazas en Alert Logic, empresa proveedora de soluciones de seguridad y cumplimiento normativo para la nube.
“Esto ayudará a limitar la exposición si se encuentra comprometido por culpa de un dispositivo IoT”, añadió. “Personalmente, tengo tres redes distintas en mi casa. Una para mis dispositivos IoT, otra para que la use mi familia con sus dispositivos personales, y otra que utilizo yo para mis servidores y computadoras como parte de mi trabajo”.
También debe asegurarse de “cambiar la contraseña de su dispositivo conectado” tan pronto como lo instale, agregó Kent McMullen, director senior de Internet of Things en Symantec.
“Puesto que la mayoría de los dispositivos conectados tienen direcciones IP, los hackers pueden encontrar una forma de acceder a ellos. Sin embargo, las empresas y los consumidores pueden protegerse cambiando los nombres de usuario y contraseñas por defecto, nada más instalar y actualizar sus credenciales”.
“Asegúrese de que las contraseñas que defina para sus dispositivos IoT son únicas y complejas (muchos dispositivos IoT solo requieren contraseñas sencillas u otros métodos simples de autenticación para gestionarse, lo que permite a los atacantes espiar los datos que transmiten”, indicó Aamir Lakha ni, estratega de seguridad de FortiGuard Threat Research y Response Labs en Fortinet, empresa de seguridad de redes.
Segunda preocupación: Amenazas para la seguridad de la red y los datos empresariales
“Las empresas deberían preocuparse por IoT en lo concerniente a los dispositivos conectados y la seguridad de sus redes”, comentó Reggie Best, CPO de la empresa Lumeta. “Cualquier dispositivo que incluya conectividad de red supone un riesgo, una posibilidad de que exista una puerta trasera que pueda ser explotada para filtrar datos”, o un ataque DDoS. Como consecuencia, “los responsables de TI deben estar en constante alerta para saber cuándo se conectan nuevos dispositivos a la red, identificar su tipo y saber dónde se encuentran en la red”, dijo.
“Si un smartphone se une a una red inalámbrica para invitados de la red, es probable que su comportamiento sea el esperado. Pero si un refrigerador ‘inteligente’ se conecta a la zona de pagos con tarjeta, estaríamos hablando de algo muy distinto”.
“Los dispositivos IoT representan un tremendo punto ciego para las empresas”, afirmó Rehan Jalil, CEO de Elastica, empresa proveedora de aplicaciones de seguridad para la nube. “Además de las cuestiones relacionadas con los datos almacenados en estos dispositivos, está la problemática de qué datos se transmiten desde ellos y cuál es su destino final”, añadió.
“Las preguntas sobre la gobernanza de datos siempre han sido cruciales para la seguridad e Internet de las Cosas no es una excepción. No sirve de mucho gastarse millones en firewalls e IPS cuando los empleados pueden copiar fácilmente datos a la nube”.
Y desafortunadamente, “la mayoría de las políticas BYOD de las empresas no cubren IoT”, apuntó Rob Clyde, vicepresidente de ISACA International, asociación global de 115 mil profesionales que ayuda a las empresas a maximizar el valor de su información y tecnología.
“El reciente estudio IT Risk/Reward Barometer de ISACA muestra que solo un 11% de las empresas tiene una política BYOD que también incluya BYOW (bring your own wearables), incluso aunque el 81% de los encuestados afirmaron que el riesgo de que sus empleados lleven dispositivos “wearables” es igual o mayor que el de llevar al trabajo sus smartphones o tabletas”, indicó Clyde.
Para limitar las brechas potenciales y proteger los datos sensibles, “las políticas de la empresa deberían dictar qué productos se pueden llevar al trabajo, qué tipos están permitidos y qué seguridad requieren”, aconsejó. “Por ejemplo, restrinja a sus empleados para que sus dispositivos solo se conecten a Internet a través de un teléfono o una red para invitados”.
Tercera preocupación: No existe una manera perfecta de gestionar todos estos dispositivos IoT
“Cuando se mira al estado actual de Internet de las Cosas, la industria carece de un factor de éxito claro: un conjunto de estándares para aplicar en las APIS, que estén acreditados para construir bloques de IoT, algo esencial para manejar todos esos dispositivos dispares”, explicó Lee Odess, director general de Brivo Labs.
“Para que IoT se comunique de manera segura y eficiente, y pueda gestionarse de manera adecuada, las APIs deben hablar esencialmente el mismo lenguaje. Por tanto crear una API estandarizada supondrá una diferencia abismal”, expresó.
“IoT está creando un aumento en el número de dispositivos móviles, con unas cifras que se estima que sobrepasarán los 40 mil millones de dispositivos M2M en el 2020”, comentó Frank Yue, director senior de marketing técnico en F5 Networks. “Y eso son cinco veces más dispositivos M2M que dispositivos inalámbricos de consumo”.
“El problema del tamaño no es el volumen de tráfico, sino su tipo, frecuencia y cadencia”, añadió Yue. “Los dispositivos M2M no se comportan de igual manera que los dispositivos de consumo. Estos dispositivos son normalmente de baja energía y tienen cortos intervalos de actualización”. Y aunque “el tamaño de las comunicaciones es pequeño, el problema es que envían actualizaciones regulares de forma consistente durante todo el día, lo que puede causar un tsunami de conexiones y datos a intervalos periódicos”, afirmó. “¿Cómo deberían los proveedores de servicios construir una infraestructura que tenga ese incremento regular de tráfico que podría sobrepasar la media de tráfico típico en un múltiplo significativo de los patrones de tráfico existentes?”.
“La complejidad de crear y mantener un sistema IoT que incluya sensores, activadores, protocolos de comunicación y procesos de aprovisionamiento de dispositivos, entre otros, supone retos únicos”, afirmó Annie Hsu, directora asociada de estrategia de Frog, una firma de diseño y estrategia de productos. Y “encontrar una solución tipo-navegador para IoT no será algo tan sencillo”.
– Jennifer Lonoff Schiff, CIO EE.UU.