IoT y ciberseguridad, la siguiente gran crisis llama a la puerta
La revolución del Internet of Things no está prestando atención a los insólitos agujeros de seguridad detectados en miles y miles de dispositivos conectados. La alianza entre IoT y ciberseguridad será indispensable para contener las amenazas que plantea la Red
IoT y ciberseguridad. No busquen más. La revolución desatada por el Internet of Things tiene todos los boletos para convertirse en la responsable de la siguiente gran crisis en materia de ciberseguridad. La era del smart puede que no lo sea tanto.
Y es que son tantas las señales recibidas a lo largo de los últimos años… Tantos los insólitos agujeros de seguridad localizados en dispositivos conectados…
Lo que debería ser un sólido matrimonio entre IoT y ciberseguridad no se acerca hoy ni siquiera a una relación entre amigos lejanos.
Cafeteras hackeadas, neveras parasitadas para llevar a cabo ataques de denegación de servicio (DDoS), cámaras pirateadas que violan la privacidad de las personas… Y esto es solo el comienzo.
La robotización de las fábricas, ese fenómeno bautizado como Industria 4.0, va a transformar el paisaje de la economía mundial a la vuelta de la esquina.
Cualquier agujero de seguridad en los millones y millones de dispositivos conectados que se van a instalar en plantas de medio mundo podría acabar impactando a escala global.
Pero es que además la capacidad de introducir ransomware en una empresa a través de una brecha de seguridad en un equipo ha sido ya sobradamente demostrada en los últimos años.
La Fundacion OWASP, desarrolladores como Avast o Kaspersky, organismos como el Incibe o investigadores como los de la Universidad de California han alertado insistentemente del problema.
Un problema que se enuncia de forma muy gráfica al acudir a las cifras. Según un estudio de Bank of America, la cifra de dispositivos conectados a nivel mundial pasará de los 30.000 millones actuales a más de 150.000 millones en unos 7 años.
Un caldo de cultivo perfecto para el cibercrimen.
En este contexto, dejar que la relación entre IoT y ciberseguridad se mantenga en el territorio de la equidistancia es una temeridad. O algo peor.
Lo explica con una expresión muy elocuente Gonzalo Carracedo, el director del departamento de Innovación de Tarlogic. «Es la sinergia de la catástrofe. Si tienes un dispositivo con una vulnerabilidad pero está aislado, esa vulnerabilidad se queda ahí. Pero si está conectado… El daño se va escalando hasta límites que en realidad no conocemos», subraya.
Sostiene Carracedo que, desde el punto de vista de la ciberseguridad, la revolución del Internet of Things representa un desafío al que no se puede dar la espalda.
El aviso de Mirai
Incidentes recientes como los de Mirai o Reaper han puesto negro sobre blanco los riesgos asociados a la era de los dispositivos Smart. A la capacidad que tienen los malos de tomar el control de cientos de miles de dispositivos para materializar sus objetivos.
Dispositivos de uso cotidiano como cámaras de vigilancia, cafeteras o neveras. Incluso Smart Tvs. Electrodomésticos que hoy forman parte del paisaje cotidiano de hogares y empresas.
«Cuando expones un gadget cualquiera a Internet, no puedes confiar en que estará seguro. Porque sabemos que no es así», argumenta Carracedo.
Llegados a este punto, aflora el verdadero quid de la cuestión. La necesidad de situar la ciberseguridad en el centro del universo IoT, un elemento este sobre el que llaman la atención desde hace tiempo numerosas voces autorizadas.
«La ciberseguridad no puede ser un topping. Un postre que se añade al final del proceso de diseño del dispositivo conectado. Tiene que estar en el corazón del proceso de ingeniería porque si no es así, ya vemos lo que pasa», advierte el director de Innovación de Tarlogic.
En el fondo, y a la vista de lo que está ocurriendo, plantea una suerte de cambio cultural que afecta a fabricantes y desarrolladores.
Pero incluso también a los propios usuarios, en su gran mayoría alienados de hechos extremadamente graves como los robos masivos de datos, las invasiones de la intimidad…
La estadística pone de nuevo en evidencia la gravedad del relato. En ocho de cada diez ataques de malware a dispositivos IoT, el origen se localiza en el abuso de credenciales Telnet o la utilización de contraseñas ultrautilizadas y sin modificar.
O dicho de otro modo. Obviando por completo los más elementales estándares de ciberseguridad.
Prisas y desconocimiento, el cóctel del desastre
Detrás de estos comportamientos de mercado se esconden en muchas ocasiones las prisas, la falta de conocimiento o la necesidad de ahorrar en costes.
«La falta de tiempo asociada al time to market es en muchas ocasiones el responsable de estos despropósitos», matiza Gonzalo.
Ciertamente, organismos como el Incibe han trabajado en el tema y apuntan principalmente en dos direcciones.
De un lado, los costes. La necesidad de ahorrar presupuesto, invirtiendo los recursos en la funcionalidad y usabilidad del gadget por encima de la seguridad.
Una imprevisión que más temprano o más tarde está llamada a salir muy cara. Y que seguramente empezará a traducirse en crisis de reputación para algunos fabricantes o desarrolladores a medida que la proliferación de los ataques vaya creciendo.
Del otro lado se situaría la falta de conocimiento. La falta de personal especializado en ciberseguridad que permita proyectar todo ese know-how que acumula al diseño del dispositivo conectado.
Gonzalo Carracedo pone el foco especialmente sobre este punto. Sobre la necesidad de contar con servicios de ciberseguridad avanzados. No basta solo con una auditoría de seguridad a posteriori.
Y advierte a las empresas sobre la responsabilidad que han de asumir en materia de manipulación de datos. «Cuando un cliente trastea con un dispositivo tuyo, eres responsable de los datos que recopilas y procesas. Y debes garantizar su seguridad», concluye.
Consagrar la situación actual no parece el camino adecuado ahora que la revolución del Internet of Things ha cogido velocidad de crucero.
Ha llegado, así pues, la hora de dar un paso adelante. Ya saben…
–IoT, ¿Quieres a ciberseguridad por esposo?
Descubre nuestro trabajo y nuestros servicios de ciberseguridad en www.tarlogic.com/es/
En TarlogicTeo y en TarlogicMadrid.