Internet of Things: la hora de la seguridad en la era de la innovación

Internet of Things: la hora de la seguridad en la era de la innovación

Son las 6:18 h. de la mañana, el “despertador inteligente” levanta suavemente a su dueño para comenzar el día y la rutina mañanera con energía. El despertador está conectado a muchos otros dispositivos de la casa a través de Internet, la calefacción calienta el baño a las 6:20 h. a la temperatura deseada de 21 grados. El café está puntualmente listo a las 6:35 a.m. El camino al trabajo también está monitorizado por la aplicación del smartphone que informa de que un atasco está causando cierto retraso en el tráfico. Al salir de la casa, el consumo de energía se reduce apagándose automáticamente la calefacción y la luz.

Gracias a dispositivos equipados con conexión a Internet y que se pueden comunicar entre sí, es posible disfrutar de un hogar inteligente. El número de estos dispositivos aumenta de año en año: los investigadores de mercado del Instituto Estadounidense de consultoría de TI Gartner, estiman que en el 2020 se estarán utilizando en todo el mundo unos 20.000 millones de dispositivos conectados en red, tanto por parte de usuarios privados como de empresas. Conocidos como “Internet of Things” (IoT), estos dispositivos crean una especie de infraestructura global para tecnologías que conectan objetos físicos y virtuales.

Introducción a “Internet of Things” (IoT)

¿Qué significa realmente “Internet of Things” y cómo surgió?

“Internet of Things (IoT) es una red de objetos físicos que tienen una tecnología integrada para comunicar y capturar cosas o interactuar con sus estados internos o su entorno externo.” (Gartner)

Diez años después de la invención de “World Wide Web”, el pionero de la tecnología británica Kevin Ashton acuñó el término “Internet of Things (IoT). Ashton está considerado como el cofundador y desarrollador de la llamada tecnología de identificación por radiofrecuencia (RFID). Un dispositivo equipado con un transpondedor RFID recibe su propia «identidad» y es capaz de recibir y entregar información – para «comunicarse», por así decirlo. En 1999, Ashton utilizó el término “Internet of Things (IoT) por primera vez, en una presentación en la que demostró la tecnología RFID y su contexto y significado para la logística. Por lo tanto, la RFID se considera la base de «Internet of Things (IoT)”.

El objetivo final de “Internet of Things” es unir el mundo real con el mundo virtual para hacerlo más cómodo, eficiente, económico y seguro. Así, los dispositivos conectados a Internet se utilizan en una amplia variedad de campos: privados, económicos, científicos y políticos. La empresa americana de tecnología «Leverege«, especializada entre otras cosas en la IoT, divide a este mundo en tres categorías:

  • Objetos que recogen información y la envían (a un servidor)
  • Objetos que reciben información y actúan en consecuencia
  • Objetos que pueden pertenecer tanto a la categoría 1 como a la categoría 2

¿Cómo funciona un sistema de IoT?

“Internet of Things” puede utilizarse de muy diversas maneras y se extiende a una amplia gama de industrias, pero la estructura de un sistema de IoT siempre consta de los mismos cuatro componentes:

1. Sensores/dispositivos

Una parte importante de “Internet of Things” son los datos. Como consecuencia y en primera instancia, son necesarios sensores o dispositivos que recojan datos de su entorno. Estos pueden ser tan simples como una medición de temperatura o tan complejos como una transmisión completa de vídeo.

2. Conectividad

Para enviar o intercambiar los datos recogidos, se requiere una conexión de un sensor a un servidor o a la nube. Los dispositivos pueden conectarse a la nube, por ejemplo, a través de la radio, móvil, wifi, bluetooth o satélite.

3. Procesamiento de datos

Para transformar los datos enviados en información, se necesita un servidor que esté conectado al dispositivo y «se comunique». En la mayoría de los casos, el procesamiento se realiza a través de la nube.

4. Interfaz de usuario

La información recopilada debe ser útil, así como de fácil visualización y acceso al usuario. Por lo tanto, se requiere un interfaz de usuario para dar salida a la información, por ejemplo, mediante texto, voz o sonido. Dependiendo de la aplicación del IoT, el usuario también puede ejecutar una acción e influir en el sistema, o el sistema puede ejecutar acciones automáticamente utilizando reglas predefinidas.

¿Por qué es tan importante la nube para “Internet of Things”?

El progreso de la tecnología en la nube tiene un impacto significativo en la evolución de los sistemas de la IoT. Esto se debe a que los dispositivos no sólo se utilizan con fines privados, sino que también se están introduciendo cada vez más en la industria. Cientos de sensores y dispositivos pueden utilizarse rápidamente en estas aplicaciones. Sin embargo, esto resulta en una gran cantidad de datos que sólo pueden ser gestionados con la ayuda de una gran potencia informática.

La tecnología de la nube está diseñada precisamente para estos fines, porque consiste en una gran red con potentes servidores. La gran potencia de la nube y las posibilidades resultantes, como la Inteligencia Artificial (IA) y el Aprendizaje Automático (ML), permiten un uso inteligente de la masa de datos generada por los sistemas de la IoT. El sistema toma decisiones «inteligentes» y es totalmente escalable. En lugar de un servidor instalado permanentemente que alcanza un rendimiento limitado, un sistema en nube puede liberar fácil y rápidamente más potencia informática para la «comunicación» de “Internet of Things”.

¿Cuál es la diferencia entre la IoT y la IIoT?

Mientras conectamos la IoT con aspiradoras, lámparas inteligentes y calentadores digitales en la vida cotidiana, “Internet of Things” también se utiliza en el sector de fabricación: “Industrial Internet of things” o Internet industrial de los objetos (IIoT) es, por así decirlo, la extensión industrial de “Internet of Things”. La industria 4.0 es posible gracias a la IIoT. En una nave industrial no hay dos o tres sensores, sino cien, doscientos o incluso miles. La evaluación de estos datos permite, por ejemplo, detectar irregularidades en tiempo real y resolver problemas de forma automática y directa.

Sin embargo, IIoT no sólo se utiliza en la producción, ya que los procesos de pedido y envío también pueden ser optimizados por dispositivos inteligentes. ¿Te has quedado sin inventario? Un sensor registra la mercancía actual e informa al departamento de compras. ¿Se ha quedado el mensajero atascado en un atasco? Gracias al GPS, el destinatario recibe directamente el mensaje de que su paquete llegará un poco más tarde. Una instalación de producción inteligente es particularmente interesante si se puede optimizar el mantenimiento. Las comprobaciones rutinarias ya no son necesarias si todo el sistema está supervisado por dispositivos inteligentes. Una solución eficiente y económica para las empresas, pero ¿qué pasa con la seguridad de estas redes?

¿Supone IoT un riesgo de ciberseguridad para las empresas?

Cualquier dispositivo que tenga un chip de ordenador y una conexión de red es potencialmente vulnerable a la piratería informática. Esto comienza con una bombilla y termina con la adquisición de una central nuclear. En agosto de 2019, el FBI escribió sobre el tema: «Enrutadores, enlaces de radio inalámbricos, relojes, dispositivos de transmisión de audio/vídeo, Raspberry Pis, cámaras IP, DVRs, equipos de antenas de satélite, puertas de garaje inteligentes y dispositivos de almacenamiento conectados a la red, podrían ser secuestrados debido a su potencia informática».

Debido a sus conexiones insuficientemente protegidas, los dispositivos de IoT son cada vez más utilizados por los ciberdelincuentes, que usan la potencia de los sensores, por ejemplo, para crear enormes redes de bots. El malware Mirai 2016 infectó a más de 600.000 dispositivos de la IoT y agredió a varias empresas mediante ataques DDoS. Entre las empresas que sufrieron este ataque se encontraban las compañías globales norteamericanas Netflix y Amazon, cuyos servicios no pudieron ser usados durante algún tiempo. Además de la pérdida del servicio, estos ataques suelen dar lugar a grandes pérdidas de ingresos y daños en la imagen de marca de las empresas. El envío de correos electrónicos no solicitados, la ocultación del tráfico de red o la generación de fraudes de clics publicitarios, también es posible a través de la intromisión no autorizada de redes de la IoT. Sin embargo, sobre todo, los ciberdelincuentes se centran en los datos: La base es el intercambio y la recopilación de información y sobre sus usuarios. Las contraseñas y los datos de acceso a la cuenta, incluida la información sobre el comportamiento diario de los usuarios, son datos interesantes para los hackers que pueden utilizar para sus propios fines y a los que pueden acceder fácil y rápidamente si la red no está adecuadamente protegida.

¿Por qué los hackeos de la IoT son ahora un peligro real?

Actualmente, el número de dispositivos conectados en red se estima entre 7.500 y 15.000 millones. En los próximos 5 a 10 años, se espera que el número aumente a alrededor de 75.000 a 125.000 millones. Alexa y Google Home pueden encontrarse en uno de cada cuatro hogares estadounidenses.

Las grandes empresas de tecnología como Google y Amazon están naturalmente ansiosas por proteger sus dispositivos de ataques. Por ello, invierten enormes presupuestos en su seguridad de TI. Sin embargo, la mayoría de las empresas prestan poca atención a la ciberseguridad, ya que, debido a la alta presión por innovar, el enfoque se centra en el desarrollo de nuevos dispositivos que amplíen la cartera de productos y aumenten las ventas. Según una reciente encuesta sobre seguridad, de las aproximadamente 950 empresas encuestadas, sólo alrededor del 13% de ellas invirtió su presupuesto de IoT en seguridad para el desarrollo de sus productos o servicios. Menos de tres de cada cinco (59%) empresas encriptan todos los datos que recogen o almacenan en dispositivos de IoT.

Falta de interés en materia de seguridad por parte de las empresas y los usuarios

El 87% de todos los ataques exitosos a dispositivos de IoT se deben a programas informáticos no actualizados, contraseñas débiles o una combinación de ambos (Jason Sattler, 01.04.19). La responsabilidad recae, por un lado, en las empresas y, por otro, en los propios usuarios. Por ejemplo, muchas empresas entregan sus dispositivos con una contraseña predeterminada (por ejemplo: Usuario: administrador / Contraseña: contraseña). Si el usuario no puede cambiar los datos de acceso, es fácil para los ciberdelincuentes piratear una variedad de dispositivos con un simple script.

Ocurre lo mismo con el software, ya que, por un lado, el usuario está obligado a instalar actualizaciones periódicas con el fin de cerrar las brechas de seguridad. Por otro lado, hay empresas que, en el peor de los casos, desarrollan dispositivos que no se pueden actualizar. A menudo, los dispositivos más antiguos simplemente ya no funcionan con actualizaciones. La víctima es el usuario. Otras áreas de ataque incluyen puertos abiertos y puertos USB, inyección SQL, interfaces web inseguras, desbordamiento de búfer, confusión de dispositivos de red y secuencias de comandos entre sitios (XSS). La atención se centra en el desarrollo de dispositivos nuevos e innovadores, pero no en su seguridad. Muchas tecnologías son simplemente demasiado baratas para soportar los costes de seguridad TI.

“Internet of Things” sin normas de seguridad obligatorias

El sistema detrás de un «dispositivo inteligente» difiere mucho del de un ordenador: la estructura y la funcionalidad son mucho más complejas que, por ejemplo, los de una bombilla. Además, un ordenador tiene una capacidad informática mucho mayor. Por ello, hay muchas maneras de proteger el sistema de un ordenador contra el acceso no autorizado. Pero ¿cómo proteger una bombilla inteligente? Los electrodomésticos inteligentes o las máquinas en red tienen poca capacidad informática, ya que a menudo son sólo pequeños sensores conectados a servidores externos. Esta es la razón por la que un script de sólo unos pocos KB se ejecuta en los dispositivos. Por lo tanto, las posibilidades de realizar una copia de seguridad son limitadas.

El mercado de “Internet of Things” es todavía bastante nuevo, la demanda crece constantemente y, por lo tanto, la industria se está moviendo rápidamente. Muchos fabricantes carecen a menudo de la experiencia necesaria para proteger los dispositivos de posibles ciberataques, pero el tiempo también es un factor que sacrifica la seguridad: las empresas se encuentran bajo una gran presión para llevar al mercado productos nuevos e innovadores más rápido que la competencia. Como resultado, los ciberdelincuentes están desarrollando nuevas formas de acceder a un dispositivo más rápido de lo que es seguro. Otro reto para el creciente mercado de “Industrial Internet of Things”, es que no existe una normativa legal de producción para las empresas. Los hackers son conscientes de la falta de tales normas y consideran los dispositivos de la IoT como fáciles puntos de ataque. Además, el creciente número de dispositivos inteligentes significa que los hackers pueden construir un amplio alcance con el mínimo esfuerzo.

Pero donde no hay demandante, no hay juez: actualmente no hay leyes ni normas de seguridad establecidas en las que se deba garantizar IoT y IIoT. Esto hace que tanto el fabricante como el comprador estén desorientados, porque ambos se hacen las mismas preguntas: ¿Está el dispositivo lo suficientemente protegido? ¿Y qué tan bien está protegido este dispositivo en comparación con otros?

Conceptos básicos para “Internet of Things”

La medida más importante para aumentar la seguridad en los ámbitos de  IoT y IIoT es responsabilizar a los fabricantes de dispositivos inteligentes. En vista del creciente riesgo, el gobierno británico, en cooperación con el Comité Europeo de Normalización, el Instituto Europeo de Normas de Telecomunicaciones y el Cybersecurity Tech Accord, publicó un documento llamado ETSI TS 103 645 en febrero de este año. Trece párrafos o precauciones dirigidas a las empresas que forman parte integral de este documento de 16 páginas, que pretende servir como una especie de guía de seguridad para el consumidor de la IoT, aclarando cómo debe ser la fabricación de «dispositivos inteligentes». Se consideran los siguientes puntos:

  1. No usar contraseñas estándares universales
  2. Implementación de una herramienta para la detección de vulnerabilidades
  3. Actualizaciones periódicas del software
  4. Almacenamiento seguro de los datos de acceso y de información confidencial
  5. Permitir una comunicación segura (encriptación)
  6. Reducir la exposición de superficies de ataque
  7. Garantizar la integridad del software
  8. Garantizar la protección de los datos personales
  9. Diseño de sistemas de seguridad infalibles
  10. Monitoreo de los datos de telemetría del sistema
  11. Fácil supresión de datos personales por parte de los usuarios
  12. Fácil instalación y mantenimiento de los dispositivos
  13. Validación de la entrada de datos

Sin embargo, aunque estos párrafos son sólo «propuestas» y todavía no son obligatorios; al menos podrían servir de base para un procedimiento de certificación de  IoT.

Además, nuevas herramientas como «AutoSploit» permiten encontrar posibles lagunas de seguridad durante el proceso de fabricación. Gracias a la inteligencia artificial, la herramienta busca de forma totalmente automática los errores de código que podrían dar lugar a un ciberataque (Dan Mosca, 2018). Aquí se aplica como siempre en la industria de la TI: la seguridad por diseño.

¿Cómo puedo proteger a mi empresa de los ataques de la IIoT?

Según la situación actual, los usuarios, ya sean privados o corporativos, no pueden asumir que los dispositivos en red son seguros. En el campo de la digitalización, muchas empresas están utilizando “Internet of Things” como parte de su transformación digital. Están conectando un número y una variedad cada vez mayores de dispositivos de IoT a la red corporativa. Éstos interactúan o se comunican con otros valiosos recursos de TI y a menudo procesan información confidencial. Esta es precisamente la razón por la que las empresas deben tomar precauciones para garantizar la seguridad de TI y proteger el acceso y los datos sin perder el contacto con el futuro digital.

Análisis de riesgos cibernéticos

Antes de implementar un sistema de IoT, debe analizarse el ciber riesgo que esto supone e integrarse en la gestión de riesgos de la empresa. Es esencial realizar una evaluación preventiva de seguridad de todos los servicios y productos de IoT que se planeen incorporar. Las revisiones y certificados periódicos de los servicios de IoT también proporcionan a los clientes una clara evidencia de que las empresas y los proveedores protegen los datos personales y los tratan de forma transparente para los usuarios.

Seguimiento por parte de un responsable

La seguridad de los dispositivos conectados a la red también debe ser comprobada regularmente durante el funcionamiento. Por esta razón, es importante designar a una persona responsable que pueda garantizar la seguridad de forma permanente. El responsable debe comprobar regularmente si todas las actualizaciones están instaladas, cuándo se hizo disponible la última actualización y qué hacks aparecieron en Internet, lo que podría suponer una amenaza para el sistema de la empresa. Herramientas como Shodan comprueban si los dispositivos de la propia red de la empresa son visibles en Internet de manera «gratuita«.

¿Como particular, cómo protejo a mi hogar inteligente de un hacker?

Incluso para los usuarios finales, no existe actualmente ningún sello de calidad que permita comparar la seguridad informática de los dispositivos IoT. Por lo tanto, el comprador debe tomar las precauciones de seguridad por sí mismo. Deben seguirse los siguientes consejos para aumentar la seguridad de sus sistemas de IoT:

  • Comprar sólo dispositivos que se puedan actualizar
  • Instalar regularmente actualizaciones de software
  • Cambiar la contraseña predeterminada de un dispositivo, inmediatamente después de la puesta en marcha del mismo
  • Las contraseñas de todos los dispositivos de IoT de la casa deben ser diferentes
  • Si es posible, analice todos los dispositivos y la red con regularidad, en busca de virus
  • Limitar al mínimo el acceso a las aplicaciones asociadas
  • Obtener informes actualizados de ataques cibernéticos
  • Cerrar puertos no utilizados en la red
  • Evitar los sistemas de IoT con una interfaz web técnicamente anticuado
  • Los datos deben ser encriptados a través de SSL/TLS

Algunos de estos consejos requieren conocimientos técnicos. Sin embargo, puede aumentar la seguridad con poco esfuerzo: software actualizado y credenciales seguras son las recomendaciones más básicas para proteger su sistema de IoT de un hacker.

Conclusión: Preservar el progreso y garantizar la seguridad

Las posibilidades que ofrece “Internet of Things” son increíbles. Aunque los dispositivos de IoT ya han llegado a la vida cotidiana, estamos sólo al principio de un enorme progreso técnico. Aunque la innovación es primordial entre los participantes en el mercado, la protección de las tecnologías IoT nunca debería pasarse por alto, ya que los incidentes notificados lo dejan muy claro. En tiempos de ciberdelincuencia – inevitablemente en aumento – la seguridad puede ser el factor que nos diferencie de la competencia y atraiga a los clientes.