Seguridad por defecto y diseño, primer paso en la protección IoT

Con más de 20.000 millones de dispositivos relacionados con el internet de las cosas previstos para 2020, según gartner, cada vez son más las empresas que muestran su preocupación por establecer una estrategia adecuada de protección. Sin embargo, todavía queda camino por recorrer.

Protección IoT.
David Marchal

El 21 de octubre de 2016 se produjo en Estados Unidos el mayor ataque de denegación de servicio (DDoS) de la historia, que forzó la desconexión de más de un centenar de sitios web durante varias horas. Sin embargo, este «ciberincidente» fue distinto a los habituales, que suelen ser lanzados desde ordenadores o servidores. En esta ocasión, fue generado por cámaras IP, routers domésticos, grabadoras digitales de vídeo y otros dispositivos inteligentes, todos los cuales fueron infectados por el malware Mirai y causaron graves problemas.

Fue, por tanto, el primer ataque serio a dispositivos relacionados con el Internet de las Cosas (IoT). En palabras de Francisco Sancho, product partner manager consumer and mobile de McAfee España, según datos de la compañía, «en torno a 2,5 millones de dispositivos IoT fueron infectados por este malware». «Estos ataques ponen de manifiesto la facilidad con la que los cibercriminales pueden vulnerar los sistemas de defensa de las compañías, comprometer su privacidad y sustraer sus datos».

Y es que, según confirma Josep Albors, responsable de concienciación e investigación de Eset España, se está produciendo «un aumento en la utilización de estos dispositivos como integrantes de una botnet, no solo para lanzar ataques de denegación de servicio, sino también, cada vez más, para realizar minado no autorizado de criptodivisas».

A todo ello contribuye el auge actual de los aparatos IoT, hasta el punto de que la consultora Gartner estima que, en 2020, habrá unos 20.800 millones de dispositivos conectados, con una tasa de crecimiento anual compuesto del 34 por ciento.

En este sentido, se pronuncia Miguel Hormigo, director de la Delegación Sur de GMV Secure eSolutions: «El número de dispositivos conectados a la Red ha crecido exponencialmente año tras año junto con su uso, características y funciones, lo que hace que las vulnerabilidades aumenten y el riesgo de explotar las ciberamenazas se incremente sustancialmente».

Ahora bien, este tipo de dispositivos tienen una particularidad, señala Hormigo: «El entorno IoT es totalmente distinto al que estamos acostumbrados habitualmente, por lo que hay que hacer frente a un incremento aún mayor del riesgo; es decir, nos enfrentamos a lo desconocido, a ataques no habituales, a un número muy grande de objetivos y a una falta de estandarización debido a la evolución de la tecnología».

¿Seguridad por defecto?

Todo ello se debe a un problema inherente a la mayor parte de esta clase de dispositivos y que citan todos los expertos consultados, el cual resume Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN): «La mayoría de los dispositivos IoT no se diseñan ni construyen teniendo en cuenta la seguridad propia y la de otros, sino que son desarrollados en pro de la funcionalidad, su facilidad de uso y su rápido lanzamiento al mercado. Estos equipos son generalmente baratos, útiles y, si es necesario, sencillos de configurar, lo que suele llevar aparejado un coste para la seguridad», afirma Candau.

Así también se expresa Francisco Lázaro, director del Centro de Estudios de Movilidad e IoT del ISMS Forum: «La media de fabricantes se inclina hacia los adjetivos ‘rápido’, ‘simple’, ‘barato’ y ‘funcional’, frente a ‘incluir seguridad’, a la hora de producir productos y servicios. La seguridad es un tema secundario, e incluso en aspectos o áreas TI en las que ya no se cuestiona, la entrada de IoT en esos mismos espacios produce un retroceso en avances conseguidos en esa materia», manifiesta.

Desde el punto de vista de los desarrolladores de soluciones de seguridad, la opinión es similar. «Los fabricantes siguen sin aplicar en su gran mayoría políticas de seguridad efectivas. El número de dispositivos vulnerables no para de crecer, al tiempo que se descubren nuevas vulnerabilidades, y eso nos lleva a tener que plantearnos un panorama bastante preocupante», opina Albors, de Eset España.

Protección IoT.

A tenor de lo manifestado, no resulta extraño calificar a este como el principal problema en términos de seguridad que tiene el Internet de las Cosas, el cual, a su vez, se traduce en una serie de inconvenientes para los usuarios. El primero de ellos es la falta de privacidad, tal y como menciona Marcos Gómez, subdirector de Servicios de Ciberseguridad del Instituto Nacional de Ciberseguridad (Incibe): «No debemos olvidar que muchos de estos dispositivos se conectan a Internet y dejan datos que pueden ser sensibles sobre nosotros o nuestro entorno, por lo que los riesgos en privacidad son importantes si no están bien protegidos o no se toman las medidas adecuadas». Sin embargo, esto no se tiene muy en cuenta, porque, según añade este profesional, «es frecuente el uso de contraseñas débiles o fijadas por defecto, la transmisión de datos sin cifrar, la protección insuficiente tanto del sistema como de los datos que se manejan, etc.».

Esta cuestión también es importante para Candau, del CCN. «Las preocupaciones más obvias relacionadas con el IoT tienen que ver con la privacidad. La recolección masiva de nuestros datos y metadatos puede que sea lo mismo que instalar cámaras de vigilancia, pero es una forma de vigilancia digital, incluso más peligrosa para nuestra intimidad y libertad que la mera observación visual», alerta.

Ligado a este aspecto, también se está produciendo otro problema que dificulta la demanda de seguridad en el entorno IoT. Se trata de la concienciación, tal como expone Hormigo, de GMV: «Desde el punto de vista doméstico, es necesario que el usuario se conciencie de que los dispositivos que se utilizan habitualmente son igualmente accesibles que inseguros». Y desde el ámbito de la industria, continúa, aunque existe un grado de concienciación muy superior, «hay que incidir en que el equipamiento IoT no se utiliza habitualmente como elemento final, sino como intermedio que permite acceder o actuar sobre un equipamiento que en el pasado estaba aislado o accesible en una red aislada».

De la misma opinión es Sancho, de McAfee España, quien considera que «es importante que tanto organizaciones como individuos aumenten su concienciación y participación respecto a estos problemas de seguridad».

Afortunadamente, las organizaciones, en general, están priorizando en sus hojas de ruta la protección de todo lo relativo a su entorno IoT, según el directivo. «Estamos viendo cómo la inversión en seguridad del Internet de las Cosas ha aumentado en los últimos años, superando los 348 millones de dólares en 2016. Además, las previsiones indican que esta tendencia continuará creciendo en los próximos ejercicios, alcanzando los 547 millones de dólares para 2018″, desvela Sancho.

¡Sigue Leyendo!

Aquí te hemos mostrado tan solo un resumen de este reportaje.

¿Quieres leer el reportaje completo?

Leer Completo
Contenido seleccionado de la revista digital