De acuerdo con un informe titulado Internet of Things Research Study, el 70% de los dispositivos relacionados con Internet de las Cosas (IoT, en sus siglas en inglés) más comúnmente usados, contienen vulnerabilidades relacionadas con el cifrado, los permisos y la seguridad de sus contraseñas.
“Aunque Internet de las Cosas conectará y unificará muchos objetos y sistemas, también presenta un reto de seguridad significativo, porque aumenta de forma importante la superficie de ataqueâ€, comentó Mike Armistead, vicepresidente y director general de Fortify, productos de seguridad empresarial de HP, en respuesta a dicho estudio.
Entonces, ¿qué retos relacionados con IoT deberÃan preocuparle? Resumimos las tres problemáticas principales y los pasos que deberÃa dar para proteger los datos sensibles al utilizar dispositivos no tradicionales con acceso a Internet.
Primera preocupación: Invasión de la privacidad/vigilancia ilegal
“Los módulos conectados a Internet instalados en diversos dispositivos (como autos, juguetes, aplicaciones domésticas, etc.) pueden utilizarse para vigilarle de manera ilegalâ€, aseguró Daniel Dimov, investigador de seguridad en el InfoSec Institute. “Por ejemplo, una puerta conectada a Internet puede utilizarse para monitorizar cuándo entra o sale alguien de su casaâ€. Y los Smart TV y sistemas de vigilancia para niños pueden verle.
“Estos tipos de amenazas no son meramente especulativas”, añadió. “Se han encontrado vulnerabilidades bien documentadas en diversos módulos conectados a Internet e instalados en autos, dispositivos médicos y juguetes para niñosâ€. Y no olvidemos los Smart TVs de Samsung.
“Antes de comprar un dispositivo conectado, investigueâ€, aconsejó Caroline Tien-Spalding, directora de marketing senior de ArcSoft, una empresa de desarrollo de software de video de imagen. “¿Cómo se encriptan y protegen sus datos? ¿Dónde se almacenan? ¿Incluyen una opción para una difusión pública?â€
Una forma de “defenderse frente a los ataques IoT es segmentar la red; es decir, crear dos redes distintas en su casa que separen sus dispositivos IoT de la red que alberga su computadora personal y sus dispositivos móvilesâ€, recomendó Stephen Coty, director de investigación de amenazas en Alert Logic, empresa proveedora de soluciones de seguridad y cumplimiento normativo para la nube.
“Esto ayudará a limitar la exposición si se encuentra comprometido por culpa de un dispositivo IoTâ€, añadió. “Personalmente, tengo tres redes distintas en mi casa. Una para mis dispositivos IoT, otra para que la use mi familia con sus dispositivos personales, y otra que utilizo yo para mis servidores y computadoras como parte de mi trabajoâ€.
También debe asegurarse de “cambiar la contraseña de su dispositivo conectado†tan pronto como lo instale, agregó Kent McMullen, director senior de Internet of Things en Symantec.
“Puesto que la mayorÃa de los dispositivos conectados tienen direcciones IP, los hackers pueden encontrar una forma de acceder a ellos. Sin embargo, las empresas y los consumidores pueden protegerse cambiando los nombres de usuario y contraseñas por defecto, nada más instalar y actualizar sus credencialesâ€.
“Asegúrese de que las contraseñas que defina para sus dispositivos IoT son únicas y complejas (muchos dispositivos IoT solo requieren contraseñas sencillas u otros métodos simples de autenticación para gestionarse, lo que permite a los atacantes espiar los datos que transmitenâ€, indicó Aamir Lakha ni, estratega de seguridad de FortiGuard Threat Research y Response Labs en Fortinet, empresa de seguridad de redes.
Segunda preocupación: Amenazas para la seguridad de la red y los datos empresariales
“Las empresas deberÃan preocuparse por IoT en lo concerniente a los dispositivos conectados y la seguridad de sus redesâ€, comentó Reggie Best, CPO de la empresa Lumeta. “Cualquier dispositivo que incluya conectividad de red supone un riesgo, una posibilidad de que exista una puerta trasera que pueda ser explotada para filtrar datosâ€, o un ataque DDoS. Como consecuencia, “los responsables de TI deben estar en constante alerta para saber cuándo se conectan nuevos dispositivos a la red, identificar su tipo y saber dónde se encuentran en la redâ€, dijo.
“Si un smartphone se une a una red inalámbrica para invitados de la red, es probable que su comportamiento sea el esperado. Pero si un refrigerador ‘inteligente’ se conecta a la zona de pagos con tarjeta, estarÃamos hablando de algo muy distintoâ€.
“Los dispositivos IoT representan un tremendo punto ciego para las empresasâ€, afirmó Rehan Jalil, CEO de Elastica, empresa proveedora de aplicaciones de seguridad para la nube. “Además de las cuestiones relacionadas con los datos almacenados en estos dispositivos, está la problemática de qué datos se transmiten desde ellos y cuál es su destino finalâ€, añadió.
“Las preguntas sobre la gobernanza de datos siempre han sido cruciales para la seguridad e Internet de las Cosas no es una excepción. No sirve de mucho gastarse millones en firewalls e IPS cuando los empleados pueden copiar fácilmente datos a la nubeâ€.
Y desafortunadamente, “la mayorÃa de las polÃticas BYOD de las empresas no cubren IoTâ€, apuntó Rob Clyde, vicepresidente de ISACA International, asociación global de 115 mil profesionales que ayuda a las empresas a maximizar el valor de su información y tecnologÃa.
“El reciente estudio IT Risk/Reward Barometer de ISACA muestra que solo un 11% de las empresas tiene una polÃtica BYOD que también incluya BYOW (bring your own wearables), incluso aunque el 81% de los encuestados afirmaron que el riesgo de que sus empleados lleven dispositivos “wearables†es igual o mayor que el de llevar al trabajo sus smartphones o tabletasâ€, indicó Clyde.
Para limitar las brechas potenciales y proteger los datos sensibles, “las polÃticas de la empresa deberÃan dictar qué productos se pueden llevar al trabajo, qué tipos están permitidos y qué seguridad requierenâ€, aconsejó. “Por ejemplo, restrinja a sus empleados para que sus dispositivos solo se conecten a Internet a través de un teléfono o una red para invitadosâ€.
Tercera preocupación: No existe una manera perfecta de gestionar todos estos dispositivos IoT
“Cuando se mira al estado actual de Internet de las Cosas, la industria carece de un factor de éxito claro: un conjunto de estándares para aplicar en las APIS, que estén acreditados para construir bloques de IoT, algo esencial para manejar todos esos dispositivos disparesâ€, explicó Lee Odess, director general de Brivo Labs.
“Para que IoT se comunique de manera segura y eficiente, y pueda gestionarse de manera adecuada, las APIs deben hablar esencialmente el mismo lenguaje. Por tanto crear una API estandarizada supondrá una diferencia abismalâ€, expresó.
“IoT está creando un aumento en el número de dispositivos móviles, con unas cifras que se estima que sobrepasarán los 40 mil millones de dispositivos M2M en el 2020â€, comentó Frank Yue, director senior de marketing técnico en F5 Networks. “Y eso son cinco veces más dispositivos M2M que dispositivos inalámbricos de consumoâ€.
“El problema del tamaño no es el volumen de tráfico, sino su tipo, frecuencia y cadenciaâ€, añadió Yue. “Los dispositivos M2M no se comportan de igual manera que los dispositivos de consumo. Estos dispositivos son normalmente de baja energÃa y tienen cortos intervalos de actualizaciónâ€. Y aunque “el tamaño de las comunicaciones es pequeño, el problema es que envÃan actualizaciones regulares de forma consistente durante todo el dÃa, lo que puede causar un tsunami de conexiones y datos a intervalos periódicosâ€, afirmó. “¿Cómo deberÃan los proveedores de servicios construir una infraestructura que tenga ese incremento regular de tráfico que podrÃa sobrepasar la media de tráfico tÃpico en un múltiplo significativo de los patrones de tráfico existentes?â€.
“La complejidad de crear y mantener un sistema IoT que incluya sensores, activadores, protocolos de comunicación y procesos de aprovisionamiento de dispositivos, entre otros, supone retos únicosâ€, afirmó Annie Hsu, directora asociada de estrategia de Frog, una firma de diseño y estrategia de productos. Y “encontrar una solución tipo-navegador para IoT no será algo tan sencilloâ€.
– Jennifer Lonoff Schiff, CIO EE.UU.
