rnetEl concepto de IoT (Internet of Things / Internet de las Cosas) ha estado entre nosotros desde hace ya varios años. Los expertos aseguran que ésta es la era en la que los electrodomésticos, dispositivos móviles y autos cuentan con una capacidad de conectarse a Internet como nunca antes. Teniendo en cuenta esta realidad, resulta lógico que muchas empresas vean grandes oportunidades de negocio en este nicho. Al mismo tiempo, surge una pregunta necesaria: ¿Son estos dispositivos electrónicos realmente seguros frente a las amenazas online?
Eugene Kaspersky, en una entrevista que realizó en noviembre de 2014 con USA TODAY, renombró la IoT como “Internet of Threats”, la Internet de las Amenazas. En esta misma línea, la presidenta de la Comisión Federal de Comunicaciones de la CES 2015, Edith Ramirez, afirmó que no hay una solución definitiva en términos de ciberseguridad en esta área.
A nivel mundial, IoT se ha establecido como un nuevo mercado con un gran potencial. Según un artículo de FORBES de agosto del año pasado, Cisco vaticinó que el valor económico de la Internet de las Cosas crecerá a u$s 19 billones en 2020. Por su parte, Gartner Inc. estimó que los proveedores de servicios y productos IoT alcanzarán cifras cercanas a los 300 mil millones de dólares de ganancia en ese mismo año.
Los dispositivos que almacenan información biométrica, geográfica y de salud –tales como los populares wearables- también pertenecen a la categoría IoT. Ahora bien, en términos de intensidad, debemos decir que el grado de riesgo que estos aparatos poseen no es abrumador.
Estos dispositivos son personales, pero no representan (aún) una infraestructura central de nuestra sociedad y nuestras vidas. En otras palabras, tú mismo puedes reducir el riesgo de perder tus datos personales simplemente dejando de utilizar un wearable cuando haces ejercicio. Depende de ti.
going out to do an errand
— Biz Stone (@biz) March 21, 2006
El sector de IoT de real importancia involucra los sistemas y servicios M2M (Máquinas para Máquinas, por sus siglas en inglés). Es decir, aquellos que están estrechamente integrados con una infraestructura crítica social.
Por ejemplo, algunos de ustedes probablemente hayan escuchado hablar de las Redes Eléctricas Inteligentes o Smart Grids. Se trata de sistemas que controlan el consumo regional de energía, comparando el consumo eléctrico hogareño y la generación de la energía. En este sentido, los medidores inteligentes son instalados en las casas con el propósito de monitorear el consumo. Según se informó, la compañía Tokyo Electric Power ya instaló miles de medidores inteligentes en varios hogares de Japón. Este es, posiblemente, el primer paso serio en pos de desplegar la tecnología Smart Grid en el futuro cercano.
Entonces, ¿qué pueden lograr los cibercriminales al abusar de estos mecanismos? En primer lugar, reducir o incrementar los costos, a través de la generación de datos falsos sobre el consumo de energía registrado en los medidores inteligentes.
De hecho, no es difícil imaginar otros escenarios de ataque en las infraestructuras críticas. Por ejemplo, si alguien pudiera manipular los sistemas de control del tránsito podría, incluso, generar accidentes automovilísticos o colapsar el sistema de transporte público. Esto sí podría afectar directamente nuestras vidas diarias y la economía en general.
En el pasado, los problemas en los servicios podían explicarse por fallas en los sistemas o desastres naturales. Hoy, debemos agregar una tercera posible causa a la lista: ciberataques.
Cómo lidiar con la #ciberseguridad de la infraestructura crítica de #IoT
Tweet
Tenemos que aprender de los incidentes, y aplicar mecanismos mucho más seguros a los sistemas de IoT que anteriormente solían operar como parte de la vida cotidiana. Para ser más precisos, los desarrolladores de sistemas de IoT deberían hacerse las siguientes preguntas a sí mismos:
- ¿Debo privilegiar la facilidad del uso antes que la seguridad?
Es importante disminuir la facilidad de uso de los atacantes con el objetivo de aumentar la seguridad del sistema. Importante: dicha facilidad para los usuarios es la misma que para los atacantes. El año pasado, se supo que algunas webcams con la configuración predeterminada habían violado la privacidad. Son incidentes que deberían hacer reflexionar a los fabricantes. Por favor, no te olvides de cifrar los datos y la comunicación.
- ¿Considero que la “sólo-lectura” es segura?
No es segura. Sin embargo, las aplicaciones se ejecutan en la memoria, por lo cual, un atacante puede encontrar la forma entrometerse. Los dispositivos de red suelen ser desarrollados bajo la plataforma Linux, y no es un secreto que este sistema operativo es susceptible a vulnerabilidades. Una vez que un intruso toma control del dispositivo, puede hackear todo lo asociado a IoT.
- ¿Creo que mis dispositivos jamás serán secuestrados?
Cualquier dispositivo es susceptible de serlo, con lo cual es vital monitorear la salud del sistema, incluyendo los nodos conectados. También, tomar medidas que detecten anomalías en cada uno de ellos. Recuerda cómo Stuxnet penetró en las instalaciones iraníes.
- ¿Prescindí del costo de pruebas?
Las pruebas de penetración son muy importantes. Deben ser cuidadosamente organizadas en conformidad con los requisitos de seguridad de tu sistema. Nuestra recomendación: ¡llévalas a cabo!
- ¿Pienso que la seguridad no es un requisito?
La seguridad es un requisito (y fundamental). Pensemos en él desde el inicio de la planificación y desarrollo del sistema. Sin suficientes medidas de seguridad, la IoT no puede ser parte de la infraestructura social.
Si la respuesta a alguna de estas preguntas es positiva, el problema no sólo es de la empresa implicada, sino también de un montón de personas más.
Traducido por: Guillermo Vidal Quinteiro y Maximiliano De Benedetto