Estas son las principales vulnerabilidades del IoT, según el INCIBE
Contraseñas, interfaces o servicios de red no seguros, firmware y componentes desactualizados o una mala protección de la privacidad son algunos de los principales riesgos en el empleo de dispositivos conectados.
El IoT se está imponiendo como una de las tendencias tecnológicas dominantes, tanto a nivel de organizaciones empresariales, como activo para distintas industrias, como en consumo. Se espera que el número de dispositivos conectados se multiplique en los próximos años, impulsado por los nuevos estándares de red como el 5G o el Wi-Fi 6, que prometen mejorar las comunicaciones tanto a nivel M2M como entre máquinas y usuarios. Con una velocidad más alta y una latencia más baja, aplicaciones como el 'streaming', la realidad virtual o aumentada verán potenciado su uso. Para 2025 se calcula que habrá 21.500 millones de dispositivos conectados IoT.
Pero el Internet de las Cosas trae aparejados también una serie de problemas, como señala el INCIBE-CERT. A medida que se dispara su uso, crecen las posibilidades de sufrir un incidente que exponga la información que contienen los dispositivos o se comparte por la red, que es cada vez más sensible; y su aprovechamiento como posible puerta de entrada a ciberataques en la medida en que se emplean para el trabajo en las organizaciones. Desde el Instituto Nacional de Ciberseguridad indican las vulnerabilidades más comunes en relación a IoT que se han encontrado a lo largo de 2018 y proponen posibles soluciones.
Mal uso de contraseñas. El empleo de claves no seguras, embebidas o que vienen por defecto por igual para todos los dispositivos está muy arraigada y ha sido explotada para realizar ataques DDoS. El INCIBE recomienda anticiparse con una medida sencilla que, sin embargo, no siempre se cumple: emplear contraseñas únicas.
Servicios de red con baja cobertura o innecesarios, que se ejecutan en segundo plano y se pueden vulnerar fácilmente. Se deben deshabilitar todos los servicios no necesarios y proteger los que sí lo sean.
Herramientas externas con configuraciones no verificables implantadas en el dispositivo. Interfaces web, API en el 'back-end', accesos a la nube sin proteger pueden comprometer la seguridad, para lo que se debe filtrar y controlar el acceso y encriptar las comunicaciones.
Firmware y componentes desactualizados o con bajos niveles de protección en los procesos de actualización. Frecuentemente no se cuenta con mecanismos de validación o de vuelta a versiones previas, permitiendo que se trabaje con herramientas obsoletas o de terceros sin modernizar. Es conveniente revisar el origen y la integridad de los componentes y el firmware en todo el proceso, además del grado de actualización.
Mala gestión de la información personal. Se detecta, por un lado, un bajo nivel de garantía de privacidad en el manejo de datos, que frecuentemente se realiza sin el control o los permisos necesarios. Como posible remedio, el INCIBE plantea la posibilidad de establecer una política para la manipulación de información del usuario que limite e informe del acceso. Por otro, no se asegura ni el almacenamiento ni la transferencia de datos, ante lo que se incide en el control del acceso y se propone el empleo de algoritmos de cifrado.
Mala gestión de los dispositivos de producción. No siempre se realizan los procesos necesarios para mantener actualizados y monitorizados los elementos IoT empleados.
Uso de configuraciones por defecto, que acostumbran a ser inseguras. Ante esto, se incide en el cambio a configuraciones de protección y la aplicación de políticas estrictas de filtrado de las conexiones y la gestión de permisos.
Falta de bastionado físico, sin controles sobre el acceso al dispositivo. Para evitarlo se debe impedir que personas no autorizadas manipulen o accedan a la infraestructura con, por ejemplo, la implantación de medidas como videocámaras o vigilantes de seguridad.
