Seguridad
IoT
Conectividad

El reto de la seguridad en tiempos de IoT

El Internet de las cosas multiplica los riesgos al vincular los dispositivos en red sin suficientes mecanismos de protección, ante lo cual las empresas deben cambiar su enfoque en seguridad.

ciudad

El IoT es uno de los grandes impulsores de la digitalización. Con 20.400 millones de dispositivos conectados previstos para 2020, según los datos de la consultora Gartner, estos elementos no solo están ganando en adopción, sino que suponen una fuente fundamental de generación de datos que pueden ser empleados, a su vez, para generar valor añadido por empresas y organizaciones. El grado de integración que tiene el IoT en sociedad y entornos laborales y la cantidad de datos que generan y se manejan a través de estas redes constituyen un elemento clave a gestionar para poder sacarle el rendimiento adecuado, pero igualmente importante es su seguridad

O incluso más, en tanto los dispositivos conectados son elementos que pueden llevar a información crítica de usuarios o de empresas a través de una red que, en muchos casos, es fácilmente accesible. Y el historial de ataques cibernéticos que se han realizado aprovechando las vulnerabilidades de la red indican que, ni usuarios ni empresas, son del todo conscientes de la necesidad de proteger debidamente los elementos conectados en el internet de las cosas, que puede convertirse en un importante punto de entrada de cibercriminales. 

En los últimos años se han visto varios ejemplos de distintos ataques que han aprovechado las redes IoT para su entrada. Entre los más destacados está la botnet Mirai, identificada en 2016, que aprovecha dispositivos conectados como cámaras IP de vigilancia o routers domésticos para acceder a contraseñas y así realizar ataques de denegación de servicio o DoS. De esta cepa original derivaron otras botnets que seguían la misma estructura, incluyendo graduales complicaciones para usuarios e investigadores en seguridad.

Es el caso de Hajime, que se difundía seis meses después y que se valía de las debilidades del IoT para desplegar varias herramientas con las que se complicaba el ataque. Si Mirai tenía su punto fuerte en el acceso a contraseñas, Satori incluía un exploit que permitía que se difundiera entre otros dispositivos conectados pobremente protegidos, accediendo a credenciales de acceso y permitiendo introducir comandos.  

Para entender los riesgos que podría traer una red IoT débil basta analizar algunos de los estudios, pruebas y ataques detectados en los últimos tiempos. En 2015, por ejemplo, la revista Wired revelaba cómo se había hackeado un Jeep aprovechando la conexión a internet. Charlie Miller y Chris Valasek, dos investigadores de seguridad, consiguieron acceso a varios controles del modelo Cherokee de la compañía mediante el sistema de entretenimiento, que está conectado a internet. A través de él, pudieron hacerse con varias funciones del vehículo, hasta detenerlo. La prueba se saldó con la llamada a revisión de 1,4 millones de vehículos. Desde entonces y hasta ahora, a través de dispositivos conectados y redes IoT, se ha probado cómo se puede dejar a edificios enteros sin calefacción, desactivar luces y máquinas expendedoras en un campus universitario o aprovechar vulnerabilidades para acceder a dispositivos médicos de control de enfermedades cardíacas. La conferencia Black Hat de Las Vegas, uno de los grandes eventos en ciberseguridad, ponía el foco en su edición de 2017 en varios elementos a tener en cuenta en IoT, como los cierres de seguridad inteligentes, aparatos de monitorización y radiación o infraestructuras críticas. 

Analizando estos casos se visualiza una línea común: todo está conectado hoy en día, pero no todo está preparado para estar conectado. Según la empresa de ciberseguridad Fortinet, en el desarrollo de dispositivos IoT se emplean protocolos de comunicación no seguros, código basura o código común a la industria, con vulnerabilidades también comunes, que pueden ser aprovechadas de forma masiva. Además, al tratarse de elementos que no siempre funcionan en sistemas operativos normales, se dificulta su arreglo o el acceso a las actualizaciones constantes necesarias en seguridad. Las políticas para enfrentarse a fugas de datos no suelen contemplar los dispositivos conectados, con lo que estos se convierten en puntos de acceso especialmente sensibles, a través de los cuales resulta relativamente sencillo que se propague malware. Para la compañía de seguridad, la extensión del IoT y sus deficiencias dificultan plantear una estrategia de protección basada en soluciones de punto o de plataforma. Se debe partir de que se está trabajando con elementos no diseñados para la seguridad, en un entorno cada vez más abierto.

Esto obliga a adoptar un enfoque integrado, con tres patas básicas: conocimiento, segmentación y protección. Por la parte de conocimiento, la dificultad debe limitar un perímetro para los dispositivos IoT no debe ser impedimento para que la empresa cuente con una red que identifique y detecte los elementos conectados, permitiendo su análisis para realizar acciones predictivas que permita contenerlos en caso necesario hasta garantizar su empleo. Esto se completa con el trabajo de segmentación, que estructure la red en distintas áreas y permita aislar elementos críticos, dificultando que si hay una vulnerabilidad, toda la organización o sistema se vea en entredicho. El tercer eje sería la parte de protección, que sintetiza e integra las anteriores para adoptar un enfoque inteligente, en el que el trabajo de aseguramiento de cada dispositivo y de cada parte de la red se traduzca en una estrategia de inteligencia ante amenazas. 

El internet de las cosas supone una gran fuente de valor añadido para múltiples agentes de la sociedad, pero puede también convertirse en un riesgo importante si no se gestiona y se asegura convenientemente. Esto supone un importante reto a nivel tecnológico, tanto para las empresas de seguridad como para organizaciones y usuarios.