Logotipo de Parnet, soluciones globales en Internet

icono linkedin  icono twitter

¿Estamos creando una Internet de las cosas (IoT) insegura? Desafíos y preocupaciones de seguridad

¿Estamos creando un Internet de las cosas (IoT) inseguro? Desafíos y preocupaciones de seguridad

IoT es una palabra de moda en los medios desde hace años, pero su lento desarrollo y su comercialización limitada habían llevado a algunos a comenzar a llamarla Internet of NoThings. Aunque la ventaja de generar más atención es clara: más inversión, más financiación de capital riesgo, y más interés por parte del consumidor. Tras estos años de pronósticos alcistas y grandes promesas, la seguridad en IoT parece ser la mayor preocupación.

La empresa de seguridad Kaspersky publicó en 2015 una crítica condenatoria de los desafíos de seguridad de IoT, con un titular poco halagüeño, "Internet of Crappy Things", donde exponía con ejemplos reales sus defectos de seguridad.

Wind River publicó un documento sobre la seguridad de la IoT titulado Searching for the silver bullet, donde abordaba el problema en sólo tres párrafos, que se resumen en:

  • La seguridad debe ser el principio fundamental de la IoT.
  • Actualmente no hay consenso sobre cómo implementar la seguridad en estos dispositivos.
  • No se pueden transferir 25 años de evolución de la ciberseguridad en nuevos dispositivos IoT con facilidad.
  • No existe panacea que pueda mitigar las amenazas con efectividad.

¿Tan mal están las cosas? Las buenas noticias son que tenemos los conocimientos y la experiencia, pero hay que adaptarlos a las características propias de los dispositivos IoT. Y la única forma de hacerlo correcta y honestamente es que un buen consultor de proyectos se encargue de gestionar y organizar todos los procesos. [Quizá quiera leer: Tu negocio necesita un consultor de proyectos].

El problema del hardware

La presidenta de la Comisión Federal de Comercio de Estados Unidos, Edith Ramírez esbozó tres retos clave para el futuro de la IoT :

  • Recolección de datos ubicuos.
  • Potencial para usos inesperados de los datos de los consumidores.
  • Aumento de los riesgos de seguridad.

Instó a las empresas a mejorar la privacidad y construir dispositivos IoT seguros adoptando un enfoque centrado en la seguridad, reduciendo la cantidad de datos recopilados por los dispositivos IoT, aumentando la transparencia, y ofreciendo a los consumidores la opción de optar por no recibir datos.

El pequeño tamaño y poder de procesamiento limitado de muchos dispositivos podrían inhibir el cifrado y otras medidas de seguridad robustas, dijo Ramírez. Además, algunos dispositivos son de bajo costo y, esencialmente, desechables. Si se descubre una vulnerabilidad en ese tipo de dispositivo, puede ser difícil actualizar el software o aplicar un parche, o incluso recabar noticias sobre la disponibilidad de una solución.

Si Internet todavía no es seguro, no podemos esperar que la IoT sea segura tampoco. Sin embargo, la ciberseguridad evoluciona constantemente para afrontar los nuevos retos.

El hardware IoT es y seguirá siendo un problema

A medida que el mercado de IoT crezca, veremos más inversión y, a medida que el hardware madure, conseguiremos mayor seguridad. Los fabricantes estarán dispuestos a ofrecer mejor seguridad a cada nueva generación, ya que la seguridad podría ser un valor diferenciador del mercado. 

Los avances en procesos de fabricación de grandes empresas generalmente desembocan en procesadores más rápidos y eficientes, y tarde o temprano, proporcionan a los desarrolladores suficiente potencia de procesamiento para implementar mejores características de seguridad.

Pero la mayoría de los procesadores de IoT vienen de pequeñas empresas y, por lo general, se basan en arquitecturas obsoletas. Y, además, cuanto más complejos sean, necesitarán consumir más potencia. Por tanto, los consumidores pueden terminar con procesadores potentes en algunos productos inteligentes (como frigoríficos o lavadoras), pero no serán prácticos para dispositivos desechables o con capacidad de batería limitada.

Lo que necesita la industria son dispositivos más normalizados y más estandares. Esto puede sonar como un acercamiento lógico: los desarrolladores trabajarán con menos plataformas y se podrán asignar más recursos a la seguridad; sin embargo, las vulnerabilidades de seguridad también podrían afectar a un número mayor de dispositivos.

El último pronóstico global de IoT de Gartner se publicó en mayo de 2014, y también incluye una lista de desafíos potenciales:

  • Seguridad : El aumento de la automatización y la digitalización creará nuevas preocupaciones en ciberseguridad.
  • Empresa: Los problemas de ciberseguridad podrían plantear riesgos para la integridad de las personas.
  • Datos: Se generarán muchos datos, tanto Big Data como personales.
  • Privacidad del consumidor: Alto potencial de violaciones de privacidad.
  • Gestión del almacenamiento: La industria necesita averiguar qué hacer con los datos de manera rentable.
  • Tecnologías de servidor: Se necesitará más inversión en servidores.
  • Red de centros de datos: Los enlaces WAN se han optimizado para aplicaciones de interfaz humana, pero se espera que IoT cambie drásticamente los patrones al transmitir datos automáticamente.

Ya no hablamos solo de diminutos circuitos de IoT y juguetes baratos: se trata de una gran cantidad de procesamiento y almacenaje de datos, alojados en servidores caros, en enormes centros de datos. La industria debería abordar estos costosos problemas de ancho de banda, gestión de datos, y políticas de privacidad y seguridad.

La conclusión es que no se puede esperar que los dispositivos IoT se ajusten a los mismos estándares de seguridad que las computadoras de pleno derecho.

Pero... no se ven demasiados fallos de IoT

Cierto: los consumidores 'de a pie' no tenemos (¿aún?) demasiados dispositivos IoT.

El enorme boom viene de la mano de las empresas: se espera que para 2020 haya 5.400 millones de conexiones IoT en entornos empresariales. Los mayores crecimientos se esperan en conexiones máquina-a-máquina, seguidos por finacieros y seguros, medios y ocio, salud, venta al por menor, y transporte.

Por ello, sin ser alarmantes (¿aún?), hay que tomarse en serio las preocupaciones en seguridad: las repercusiones por brechas en la industria de la energía serían 'impensables', en la manufacturación serían 'preocupantes', y no queremos ni hablar de los riesgos potenciales en salud y transporte.

Y ¿cómo y cuándo conseguiremos una Internet de las Cosas segura?

Estudios recientes indican que la mayoría de los dispositivos para IoT tienen vulnerabilidades de seguridad: HP encontró que el 70% de los dispositivos eran vulnerables a ataques.

El crecimiento exponencial de dispositivos, servicios, y líneas de código, a la carrera, con el objetivo de copar el mercado, nos está llevando a una situación sin parangón en cuanto a retos de seguridad.

Nos queda mucho, casi todo, por hacer. Y todos, desde los gigantes del sector hasta los desarrolladores autónomos, tenemos que concienciarnos y desempeñar nuestro papel.

Para empezar. podemos destacar algunos puntos:

  • Enfatizar la seguridad desde el primer día.
  • Vigilar el ciclo de vida, las actualizaciones y realizar prospectiva.
  • Obligar a la autenticación de dispositivos y controles de acceso.
  • Estudiar y conocer al enemigo.
  • Prepararse para afrontar las brechas de seguridad.

 

Los ataques se producen siempre al eslabón más débil de la cadena. Y en el mundo de las TIC, la IoT acumula las más preocupantes.

Basado en el artículo Are We Creating An Insecure Internet of Things (IoT)? Security Challenges and Concerns de Nermin Hajdarbegovic @ Toptal