Tres motivos para estar preocupado por el Internet de las Cosas

“Aunque Internet de las Cosas conectará y unificará muchos objetos y sistemas, también presenta un reto de seguridad significativo porque aumenta de forma importante la superficie de ataque”, comentó Mike Armistead, vicepresidente y director general de Fortify, productos de seguridad empresarial de HP, en respuesta a dicho informe.

Entonces, ¿qué retos relacionados con IoT deberían preocuparle? Resumimos las tres problemáticas principales y los pasos que debería dar para proteger los datos sensibles al utilizar dispositivos no tradicionales con acceso a Internet.

Primera preocupación: Invasión de la privacidad/vigilancia ilegal

“Los módulos conectados a Internet instalados en diversos dispositivos (como coches, juguetes, aplicaciones domésticas, etc.) pueden utilizarse para vigilarle de manera ilegal”, asegura Daniel Dimov, investigador de seguridad en el InfoSec Institute. “Por ejemplo, una puerta conectada a Internet puede utilizarse para monitorizar cuándo entra o sale alguien de su casa”. Y los Smart TV y sistemas de vigilancia para niños pueden verle.

"Estos tipos de amenazas no son meramente especulativas", añade. “Se han encontrado vulnerabilidades bien documentadas en diversos módulos conectados a Internet e instalados en coches, dispositivos médicos y juguetes para niños”. Y no olvidemos los Smart TVs de Samsung.

“Antes de comprar un dispositivo conectado, investigue”, aconseja Caroline Tien-Spalding, directora de marketing senior de ArcSoft, una empresa de desarrollo de software de vídeo de imagen. “¿Cómo se encriptan y protegen sus datos? ¿Dónde se almacenan? ¿Incluyen una opción

para una difusión pública?”

Una forma de “defenderse frente a los ataques IoT es segmentar la red, es decir, crear dos redes distintas en su casa que separen sus dispositivos IoT de la red que alberga su ordenador personal y sus dispositivos móviles”, aconseja Stephen Coty, director de investigación de amenazas en Alert Logic, empresa proveedora de soluciones de seguridad y cumplimiento normativo para la nube.

“Esto ayudará a limitar la exposición si se encuentra comprometido por culpa de un dispositivo IoT”, añade. “Personalmente, tengo tres redes distintas en mi casa. Una para mí dispositivos IoT, otra para que la use mi familia con sus dispositivos personales y otra que utilizo yo para mis servidores y ordenadores como parte de mi trabajo”.

También debe asegurarse de “cambiar la contraseña de su dispositivo conectado” tan pronto como lo instale, añade Kent McMullen, director senior de Internet of Things en Symantec.

“Puesto que la mayoría de los dispositivos conectados tienen direcciones IP, los hackers pueden encontrar una forma de acceder a ellos. Sin embargo, las empresas y los consumidores pueden protegerse cambiando los nombres de usuario y contraseñas por defecto nada más instalar y actualizar sus credenciales”.

“Asegúrese de que las contraseñas que defina para sus dispositivos IoT son únicas y complejas (muchos dispositivos IoT solo requieren contraseñas sencillas u otros métodos simples de autenticación para gestionarse, lo que permite a los atacantes espiar los datos que transmiten”, añade Aamir Lakha ni, estratega de seguridad de FortiGuard Threat Research y Response Labs en Fortinet, empresa de seguridad de redes.

Segunda preocupación: Amenazas para la seguridad de la red y los datos empresariales

“Las empresas deberían preocuparse por IoT en lo concerniente a los dispositivos

conectados y la seguridad de sus redes”, comenta Reggie Best, CPO de la empresa Lumeta. “Cualquier dispositivo que incluya conectividad de red supone un riesgo, una posibilidad de que exista una puerta trasera que pueda ser explotada para filtrar datos”, o un ataque DDoS. Como consecuencia, “los responsables de TI deben estar en constante alerta para saber cuándo se conectan nuevos dispositivos a la red, identificar su tipo y saber dónde se encuentran en la red”, añade.

“Si un smartphone se une a una red inalámbrica para invitados de la red, es probable que su comportamiento sea el esperado. Pero si una nevera ‘inteligente’ se conecta a la zona de pagos con tarjeta, estaríamos hablando de algo muy distinto”.

“Los dispositivos IoT representan un tremendo punto ciego para las empresas”, afirma Rehan Jalil, CEO de Elastica, empresa proveedora de aplicaciones de seguridad para la nube. “Además de las cuestiones relacionadas con los datos almacenados en estos dispositivos, está la problemática de qué datos se transmiten desde ellos y cuál es su destino final”, añade.

“Las preguntas sobre la gobernanza de datos siempre han sido cruciales para la seguridad e Internet de las Cosas no es una excepción. No sirve de mucho gastarse millones en firewalls e IPS cuando los empleados pueden copiar fácilmente datos a la nube”.

Y desafortunadamente, “la mayoría de las políticas BYOD de las empresas no cubren IoT”, apunta Rob Clyde, vicepresidente de ISACA International, asociación global de 115.000 profesionales que ayuda a las empresas a maximizar el valor de su información y tecnología.

“El reciente estudio IT Risk/Reward Barometer de ISACA muestra que solo un 11% de las empresas tiene una política BYOD que también incluya BYOW (bring your own wearables), incluso aunque el 81% de los encuestados afirmen que el riesgo de que sus empleados lleven dispositivos “wearables” es igual o mayor que el de llevar al trabajo sus smartphones o tablets”, afirma Clyde.

Para limitar las brechas potenciales y proteger los datos sensibles, “las políticas de la empresa deberían dictar qué productos se pueden llevar al trabajo, qué tipos están permitidos y qué seguridad requieren”, aconseja. “Por ejemplo, restrinja a sus empleados para que sus dispositivos solo se conecten a Internet a través de un teléfono o una red para invitados”.

Tercera preocupación: No existe una manera perfecta de gestionar todos estos dispositivos IoT

“Cuando se mira al estado actual de Internet de las Cosas, la industria carece de un factor de éxito claro: un conjunto de estándares para aplicar en las APIS, que estén acreditados para construir bloques de IoT, algo esencial para manejar todos esos dispositivos dispares”, explica Lee Odess, director general de Brivo Labs.

“Para que IoT se comunique de manera segura y eficiente, y pueda gestionarse de manera adecuada, las APIs deben hablar esencialmente el mismo lenguaje. Por tanto crear una API esandarizada supondrá una diferencia abismal”, añade.

“IoT está creando un aumento en el número de dispositivos móviles, con unas cifras que se estima que sobrepasarán los 40.000 millones de dispositivos M2M en 2020”, comenta Frank

Yue, director senior de marketing técnico en F5 Networks. “Y eso son cinco veces más dispositivos M2M que dispositivos inalámbricos de consumo”.

“El problema del tamaño no es el volumen de tráfico, sino su tipo, frecuencia y cadencia”, añade Yue. “Los dispositivos M2M no se comportan de igual manera que los dispositivos de consumo. Estos dispositivos son normalmente de baja energía y tienen cortos intervalos de actualización”. Y aunque “el tamaño de las comunicaciones es pequeño, el problema es que envían actualizaciones regulares de forma consistente durante todo el día, lo que puede causar un tsunami de conexiones y datos a intervalos periódicos”, afirma. “¿Cómo deberían los proveedores de servicios construir una infraestructura que tenga ese incremento regular de tráfico que podría sobrepasar la media de tráfico típico en un múltiplo significativo de los patrones de tráfico existentes?”.

“La complejidad de crear y mantener un sistema IoT que incluya sensores, activadores, protocolos de comunicación y procesos de aprovisionamiento de dispositivos, entre otros, supone retos únicos”, afirma Annie Hsu, directora asociada de estrategia de Frog, una firma de diseño y estrategia de productos. Y “encontrar una solución tipo-navegador para IoT no será algo tan sencillo”.