Seguridad en dispositivos IoT: ¿Cómo garantizarla?
ESET revela que el 70% de los usuarios considera que este tipo de dispositivos no son seguros. A pesar de ello, el 62% no dejaría de comprarlos.
La (in)seguridad del Internet de las Cosas está a la orden del día. Con mayor frecuencia se producen ataques que afectan a dispositivos IoT o se detectan fallas que las compañías tecnológicas rápidamente intentan solucionar con un parche. Al estar centrados en incorporar nuevas funcionalidades y hacer a los dispositivos más fáciles de usar y conectables, muchas veces los fabricantes descuidan casi por completo un punto crucial como es la seguridad de sus dispositivos.
Los usuarios son conscientes de los problemas de seguridad que afectan a los dispositivos IoT. La encuesta realizada por ESET, compañía líder en detección proactiva de amenazas, indica que el 70% de los participantes considera que este tipo de dispositivos no son seguros, fundamentalmente en términos de privacidad; que es donde radica la principal preocupación. Sin embargo, el 62% considera que no dejaría de comprar este tipo de tecnología por esta razón.
“Desde que los ataques al IoT empezaron a hacerse cada vez más comunes, las preguntas sobre su seguridad comenzaron a centrarse en cuándo sucedería el próximo ataque y con cuántos dispositivos contarían los atacantes, en lugar de qué medidas de seguridad se implementarían para evitarlos.”, mencionó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica. Las pocas garantías en materia de seguridad que presenta IoT permite noticias acerca de un aumento de la inversión en soluciones de seguridad, tal como reveló Juniper en un estudio reciente donde afirmó que el gasto en seguridad para Internet de las Cosas crecerá en un 300% entre 2018 y 2023.
Los dispositivos conectados de forma insegura representan un serio problema, precisamente porque las vulnerabilidades existentes pueden aprovecharse de forma sencilla por parte de los delincuentes para crear botnets y usarlos en beneficio propio. Desde ataques de denegación de servicio, como los realizados con la Botnet Mirai, al minado de criptomonedas, las posibilidades para los atacantes son numerosas y, actualmente, son cada vez más los dispositivos con vulnerabilidades que pueden aprovecharse como pare de un ataque. Hace pocos meses se conoció el caso del robo de datos a un casino que fue vulnerado a través de un termostato inteligente en un acuario, donde los cibercriminales lograron infiltrarse en la red y acceder a la base de datos del casino, robando información como los nombres de grandes apostadores, y luego extraerla fuera de la red para finalmente subirla a la nube.
Desde Smart TVs a juguetes conectados, cámaras IP, dispositivos de grabación y todo tipo de dispositivos podrían ser víctima de algún ataque que se aproveche de vulnerabilidades existentes sin parchear o de a una mala política de gestión. A principios de este año Tony Anscombe, experto en seguridad de ESET, realizó una investigación (que derivó en la elaboración de un whitepaper) donde se analizan en profundidad doce productos IoT pensados para la creación de un hogar inteligente. Su análisis confirmó que cada uno de los dispositivos evaluados presentó algún problema en materia de privacidad.
Regulaciones y normativas podrían forzar a los fabricantes a destinar más recursos a hacer sus dispositivos más seguros, en lugar de centrarse en lanzar revisiones de sus productos cada poco tiempo. “Este camino es mucho más largo y costoso puesto que no solo se trata de determinar cuáles serían las medidas mínimas que deberían aplicar en un mundo tan cambiante como es el de la seguridad informática, sino que también tendría que adecuarse a la legislación de cada país. Sea cual sea el método seleccionado para tratar de solucionar esta problemática, lo cierto es que en su solución debemos participar todos los implicados. Desde los fabricantes a los usuarios, pasando por los legisladores y los investigadores que descubren las vulnerabilidades. Además los procesos de revisión deben de ser constantes para estar al día con respecto a las amenazas y ataques existentes.”, concluyó Gutierrez.