Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Ángel Victoria, Director comercial de G Data

El Internet de las Cosas exige seguridad 'by design'

El pasado 21 de octubre se produjo uno de los mayores ciberataques de la última década y, sin duda, uno de los más “ambiciosos”, ya que consiguió tumbar Internet (sobre todo en Estados Unidos, pero también en algunas zonas de Europa) durante buena parte de ese día.

El ciberataque, que afectó a gigantes como Twitter, Amazon, PayPal, Netflix o Spotify, puso en evidencia el caos y los problemas de seguridad que afectan al Internet de las Cosas (IoT, por sus siglas en inglés), así como la fragilidad de las infraestructuras que sostienen Internet. 

Se trató de un ataque masivo y coordinado de denegación de servicio (DDoS) que afectó a más de mil millones de usuarios, con la peculiaridad de que, en vez de involucrar a las botnets de ordenadores zombis habituales en este tipo de ataques, se valió de la fuerza bruta de ese omnipresente IoT (en este caso, cámaras de seguridad, impresoras, routers domésticos o grabadoras de vídeo). O mejor dicho, de sus vulnerabilidades. 

¿Por qué fue posible? Porque la seguridad inherente a los millones de dispositivos conectados a Internet es prácticamente inexistente, como venimos advirtiendo desde hace tiempo. En este caso concreto, el malware usó los nombres de usuario y las contraseñas establecidas por defecto por sus respectivos fabricantes para hacerse con el control de los dispositivos atacados. Tan sencillo como eso. Es curioso saber que un hecho tan simple como cambiar el password original puede evitar un ataque tan devastador. 

Lo peor del asunto es que parece que más pronto que tarde puede repetirse, pues los pronósticos que aluden a la ubicuidad del IoT son asombrosos. Cada día hay más y más dispositivos que se conectan a Internet. Todo es conectable, desde los electrodomésticos más sencillos a los equipos médicos más complejos, sin olvidarnos de los televisores omnipresentes, los automóviles del futuro más inmediato y de un sinfín de gadgets a cada cuál más variopinto… Sin duda avanzamos hacia ese momento en que los seres humanos nos convertiremos en víctimas de sofisticados virus informáticos. Para el año 2020 habrá más de 210.000 millones de dispositivos conectados, según IDC, y el riesgo de que puedan ser infectados o manipulados es mucho mayor que el que corran nuestros ordenadores personales. 

Las industrias relacionadas con el IoT, hogares inteligentes (smart homes), ciudades inteligentes (smart cities), coches inteligentes (smart cars), la propia industria inteligente (conocida como industria 4.0) y la sanidad inteligente (smart health) no pueden cometer el error de minusvalorar el papel de la seguridad o de no conceder a la seguridad su verdadera dimensión. 

Seguridad 'by design'

Se necesitan implementaciones que cumplan con rigurosos y elevados estándares de seguridad, que debe ser parte esencial de cualquier “cosa” que sea capaz de conectarse a Internet y comunicarse con otros dispositivos, tan importante como la propia función que realiza y por la que ha sido diseñado. Es la seguridad by design, es decir, esa seguridad que forma parte de la esencia del dispositivo. Ese es el único camino posible para el Internet de las Cosas. Sin embargo, para las primeras generaciones de dispositivos conectados ya es demasiado tarde, como se ha podido comprobar. Muchos de ellos probablemente no ofrezcan siquiera la posibilidad de recibir una actualización, sea de seguridad o no, y están condenados a vivir para siempre con una brecha de seguridad que llevan desde nacimiento. 

Pero tampoco es necesario reinventar la rueda. La industria de la seguridad tiene a sus espaldas un camino muy largo (G Data presentó el primer antivirus comercial del mundo en 1987, hace ya casi 30 años). Una vez más, la colaboración entre los fabricantes de estos dispositivos inteligentes y los que hacemos soluciones de seguridad podemos resolver muchos problemas. Al mismo tiempo, los usuarios deberían tomarse más en serio la seguridad de estos gadgets híper conectados y exigirla by design. En ocasiones, puede ser tan sencillo como establecer la posibilidad de introducir una contraseña (robusta, por supuesto), como ya hemos mencionado. Las empresas, por su parte, podrán implementar filtros entre el universo IoT y su red corporativa.

Otra medida importante sería la creación de unas líneas maestras que afectaran a las diferentes industrias relacionadas con el IoT. Es lo que se intenta llevar a cabo desde organismos como la OTA (Online Trust Alliance) o el Consorcio Industrial de Internet (IIC) que trabajan en establecer unas guías para fabricantes y desarrolladores que ayuden a reducir la superficie de exposición a los ataques, minimizar vulnerabilidades y obligar a la adopción de responsabilidades reales cuando hablamos de la privacidad de los datos. Sin embargo, hasta que estos primeros pasos se concreten en hechos tangibles me temo que desafortunadamente volveremos a asistir a ciberataques que involucren al Internet de las Cosas.  

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual