Los riesgos de seguridad y las buenas prácticas de la Internet de las cosas

¿Qué es la seguridad de IoT?

La seguridad de la Internet de las cosas (IoT, por sus siglas en inglés) implica proteger los dispositivos de Internet y las redes a las que están conectados de las amenazas en línea y las filtraciones de datos. Esto se logra al identificar, monitorear y abordar posibles vulnerabilidades de seguridad en todos los dispositivos. Lisa y llanamente, la seguridad de IoT es la práctica que mantiene seguros los sistemas de IoT.

¿Por qué es importante la seguridad de IoT?

La IoT no abarca solo las computadoras o los teléfonos inteligentes: casi cualquier cosa que tenga un interruptor de encendido y apagado puede potencialmente conectarse a Internet y formar parte de la Internet de las cosas. El enorme volumen y la gran diversidad de “cosas” que componen la IoT implican que allí se albergue una cantidad considerable de datos de usuario. Todos estos datos están propensos a ser robados o pirateados por cibercriminales. Mientras más dispositivos conectados haya, más oportunidades tienen los cibercriminales de poner en riesgo la seguridad de esos datos. Más información sobre cómo funciona la Internet de las cosas aquí.

Las consecuencias de las brechas de seguridad de la IoT pueden ser muy dañinas. Esto es porque la Internet de las cosas afecta a sistemas tanto virtuales como físicos. Por ejemplo, en el caso de un auto inteligente conectado a Internet, los cibercriminales podrían piratearlo para desactivar ciertas funciones de seguridad. A medida que la IoT se va imponiendo en la industria (de ahí el término Internet industrial de las cosas o IIoT, por sus siglas en inglés) los delitos cibernéticos pueden desencadenar una serie de consecuencias potencialmente devastadoras. De igual manera, en el ámbito del cuidado de la salud (donde se utiliza el término Internet de las cosas médicas o IoMT, por sus siglas en inglés), los dispositivos pueden dejar a la luz datos confidenciales de un paciente o incluso comprometer su seguridad. En los hogares inteligentes, los dispositivos vulnerados podrían permitir a los criminales controlar las viviendas de las personas.

Riesgos para la seguridad de IoT

Los riesgos de la IoT y los principales problemas de seguridad de IoT incluyen los siguientes:

Falta de pruebas y desarrollo

Algunos fabricantes de IoT han dejado de lado la seguridad en su prisa por lanzar sus productos al mercado. Si los riesgos de seguridad relacionados con los dispositivos se pasaron por alto en el proceso de desarrollo, una vez puestos en marcha, puede haber una falta de actualizaciones de seguridad. Sin embargo, así como ha aumentado la conciencia sobre la seguridad de IoT, lo mismo sucede con la seguridad de los dispositivos.

Contraseñas por defecto que propician los ataques de fuerza bruta

Muchos dispositivos de IoT vienen con contraseñas por defecto que no suelen ser seguras. Los clientes que los compran quizás no saben que pueden (y deberían) cambiarlas. Las contraseñas y las credenciales de inicio de sesión no seguras exponen a los dispositivos de IoT a la piratería de las contraseñas y los ataques de fuerza bruta.

Malware y ransomware de IoT

Debido al importante aumento de dispositivos de IoT conectados en los últimos años, que se espera que continúe, ha aumentado el riesgo de que el malware y el ransomware se aprovechen de ellos. El malware botnet de IoT ha estado entre las variantes más comunes.

Inquietudes sobre la privacidad de los datos

Los dispositivos de IoT recopilan, transmiten, almacenan y procesan una enorme cantidad de datos de usuarios. Con frecuencia, estos datos pueden ser compartidos con o vendidos a un tercero. Si bien los usuarios suelen aceptar las condiciones de servicio antes de utilizar los dispositivos de IoT, muchos no las leen, por lo cual no siempre tienen en claro cómo se pueden llegar a utilizar sus datos.

Aumento de ciberataques

Los dispositivos de IoT infectados pueden utilizarse para realizar ataques de denegación de servicio distribuido (DDoS, por sus siglas en inglés). Es entonces cuando los dispositivos secuestrados se utilizan como una base de ataque para infectar más aparatos o esconder actividad maliciosa. Si bien los ataques DDoS en los dispositivos de IoT suelen afectar más a las organizaciones, también pueden estar dirigidos a los hogares inteligentes.

Interfaces no seguras

Entre los problemas comunes de interfaz que afectan los dispositivos de IoT encontramos el cifrado frágil o nulo o la autenticación de datos insuficiente.

El aumento del trabajo remoto

Tras la pandemia de COVID-19, el trabajo remoto aumentó en todo el mundo; y si bien los dispositivos de IoT contribuyeron a que muchos usuarios puedan trabajar desde sus hogares, las redes domésticas no suelen brindar la seguridad que brindan las redes corporativas. El aumento en el uso ha sacado a la luz las vulnerabilidades en la seguridad de la IoT.

Entornos complejos

Un estudio revela que, en 2020, un hogar promedio en Estados Unidos tenía acceso a 10 dispositivos conectados. Basta con pasar por alto una mala configuración de seguridad en un solo dispositivo para poner en peligro toda la red doméstica.

Ejemplos de vulneraciones de seguridad de la IoT

En los últimos años, ha habido casos muy relevantes de dispositivos de IoT vulnerados por cibercriminales. Por ejemplo:

2016: ataque de la botnet Mirai

En 2016, cientos de miles de dispositivos conectados comprometidos fueron infectados por una botnet denominada Mirai. Una botnet es una red de computadoras que fueron intencionalmente infectadas por malware para que realicen tareas automatizadas en Internet sin el permiso o el conocimiento de los propietarios de las computadoras. Como resultado del ataque Mirai, los principales servicios y sitios web, como Spotify, Netflix y PayPal dejaron de funcionar temporalmente.

2018: malware VPNFilter

En 2018, el malware VPNFilter infectó más de medio millón de enrutadores en más de 50 países. El malware VPNFilter puede instalar malware en dispositivos conectados a su enrutador y recopilar la información que pasa, bloquear el tráfico de red y robar contraseñas.

2020: pirateo del Tesla Model X

Un experto en ciberseguridad pirateó un Tesla Model X en menos de dos minutos aprovechando una vulnerabilidad del Bluetooth. Ha habido ataques similares a vehículos que utilizan llaves inalámbricas para abrirse y arrancar.

2021: pirateo de las cámaras de Verkada

Verkada es una empresa de cámaras de seguridad. En 2021, hackers suizos vulneraron 150 000 transmisiones en directo de las cámaras. Estas cámaras monitoreaban la actividad dentro de edificios públicos (como escuelas, hospitales, prisiones) y organizaciones corporativas privadas.

Buenas prácticas de seguridad de la IoT

Para asegurar la seguridad de los dispositivos y de la red de IoT, presentamos algunas buenas prácticas para tener en cuenta:

Mantener el dispositivo y el software actualizados

Cuando compre un dispositivo de IoT, asegúrese de que el vendedor le proporcione las actualizaciones y aplíquelas de manera consistente cada vez que estén disponibles. Las actualizaciones de software son una parte fundamental para la seguridad de los dispositivos de IoT. Para los hackers, es más fácil vulnerar dispositivos con software antiguo. Puede que su dispositivo de IoT le envíe actualizaciones automáticas o quizás usted deba ingresar al sitio web del fabricante para consultar si hay disponibles.

Cambiar las contraseñas por defecto en los dispositivos de IoT

Muchas personas utilizan el mismo nombre de usuario y contraseña en todos sus dispositivos. Si bien es más fácil de recordar, también es más fácil para los cibercriminales vulnerar esos datos. Asegúrese de que cada credencial de inicio de sesión sea única y cambie siempre las contraseñas predeterminadas en los dispositivos nuevos. Evite utilizar la misma contraseña en varios dispositivos.

Utilizar contraseñas seguras en todos los dispositivos y en la red de Wi-Fi

Una contraseña segura es larga (tiene al menos 12 caracteres e idealmente más) y contiene una combinación de letras mayúsculas y minúsculas, además de símbolos y números. Evite lo obvio, como números en secuencia (“1234”) o información personal que alguien que lo conozca pueda adivinar, como su fecha de nacimiento o el nombre de una mascota. Un administrador de contraseñas puede servirle para llevar un registro de sus credenciales de inicio de sesión.

Cambiar el nombre del enrutador

Conservar el nombre del enrutador que viene de fábrica puede ayudarles a los intrusos a identificar la marca o el modelo. Por lo tanto, ponga un nombre nuevo al enrutador, pero asegúrese de que no devele ningún dato personal, como su nombre o su dirección.

Utilizar un método de cifrado de Wi-Fi seguro

Utilizar un método de cifrado seguro para la configuración del enrutador (por ejemplo, WPA2 o versiones posteriores), lo ayudará a mantener su red y sus comunicaciones seguras. Las versiones antiguas de WEP y WPA son vulnerables a ataques de fuerza bruta. Puede obtener más información sobre las versiones de WPA aquí.

Configurar una red de invitados

Si su enrutador permite esta opción, considere crear una red inalámbrica de invitados que también utilice WPA2 o posterior, y que esté protegida por una contraseña segura. Utilice esta red de invitados para las visitas: sus amigos y familia pueden estar utilizando dispositivos que fueron vulnerados o infectados con malware antes de utilizar su red. Una red de invitados sirve para mejorar la seguridad general de la red doméstica.

Controlar los ajustes de privacidad de sus dispositivos de IoT

Sus dispositivos de IoT seguramente vengan con ajustes de privacidad y de seguridad por defecto. Siempre es buena idea revisarlos y cambiar lo que sea necesario para asegurarse de que queden configurados de una forma que le resulte cómoda. De manera similar, es recomendable revisar las políticas de privacidad para comprender cómo el proveedor almacena y utiliza sus datos personales.

Llevar un registro de las funciones disponibles del dispositivo y desactivar las que no se utilicen

Vea las funciones disponibles en sus dispositivos y desactive las que no utiliza para disminuir las posibilidades de un potencial ataque. Por ejemplo, pensemos en un reloj inteligente: su finalidad principal es marcar la hora, pero probablemente también utilice Bluetooth, comunicación de campo cercano (NFC, por sus siglas en inglés) o activación por voz. Estas funciones le brindan más posibilidad a un hacker para vulnerar el dispositivo y, si usted no las está utilizando, no se beneficia en nada con ellas. Desactivarlas disminuye el riesgo de ataques cibernéticos.

Activar la autenticación de varios factores cuando sea posible

La autenticación de varios factores (MFA, por sus siglas en inglés) es un método de autenticación que solicita a los usuarios que proporcionen dos o más métodos de verificación para acceder a una cuenta en línea. Por ejemplo, en lugar de solo pedir un nombre de usuario o una contraseña, la autenticación de varios factores va más allá y solicita más información, como una contraseña de uso único que los servidores de autenticación del sitio web envían al teléfono o a la dirección de correo electrónico del usuario. Si su dispositivo inteligente tiene MFA, úsela.

Conocer qué dispositivos de IoT hay en su red doméstica

Revise todos los dispositivos que se comunican con su red y conozca su función. Algunos de ellos tal vez ya sean modelos viejos: piense si renovarlos podría ofrecerle más opciones de seguridad de la IoT.

Prestar atención al utilizar una red pública de Wi-Fi

Es posible que quiera manejar sus dispositivos de IoT a través de su dispositivo móvil cuando está fuera de casa; por ejemplo, en una cafetería, un centro comercial o un aeropuerto. Es fundamental que sea consciente de los riesgos de seguridad que implica utilizar una red pública de Wi-Fi. Una forma de mitigar estos riesgos puede ser utilizando una VPN.

Si se presta atención a la ciberseguridad de la IoT y se siguen las buenas prácticas de seguridad de la IoT, es posible minimizar los riesgos.

Productos recomendados

• Kaspersky Anti-Virus
• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Password Manager
• Kaspersky Secure Connection

Más información

• Cómo proteger su red doméstica
• Proteja sus dispositivos IoT en un hogar inteligente
• Protección contra el ransomware: cómo mantener a salvo sus datos en 2024
• Ataques y tipos de ransomware