Inicio / Protege tu empresa / Blog / Internet of things (IoT). El lado “Inseguro” de las Cosas

Internet of things (IoT). El lado “Inseguro” de las Cosas

Publicado el 17/03/2014, por Carmen Alberca Jaquero
Internet of things (IoT). El lado “Inseguro” de las Cosas

Imaginemos que unos padres acaban de comprar una cámara “cloud” para monitorizar a su hijo. Ilusionados con la nueva cámara, que permite entre otras funciones, la conexión remota desde un PC, Tablet o Smartphone, la sacan de su envoltorio, “ojean” las breves pero concisas instrucciones, la colocan en la mesita de noche, la encienden y siguen el asistente de configuración que tanto se menciona en las esquemáticas instrucciones. Comprobando que pueden ver a su hijo a través de la cámara, tal y como les garantiza el fabricante, desde su hogar, el siguiente paso es verificar el acceso a la cámara desde su Smartphone personal y PC de su puesto de trabajo. Pero, ¿el fabricante les garantiza que su intimidad y privacidad está asegurada?

Dicho fabricante, en las instrucciones, insta al comprador a realizar una rápida y fácil instalación de la cámara, con una frase directa: “Siga al asistente y configure su cámara cloud con tan solo unos clics”. Esta sencilla instrucción pone de manifiesto que algunos proveedores, de ciertos dispositivos con conexión a Internet, se preocupan más por una interacción fácil y rápida del comprador con el producto que por garantizar la seguridad de éste.

Según Cisco, el número de dispositivos conectados a Internet en 2020 será de 50 billones frente a 7,6 billones de personas en el mundo. Este dato urge a fabricantes y compañías tecnológicas a prever e introducir en la cadena de fabricación una metodología de diseño y pruebas que garantice tanto la funcionalidad de los dispositivos como la protección de los usuarios ante ciberamenazas que puedan provocar un daño a la privacidad, intimidad o seguridad de los ciudadanos.

Es hora de hacer una pequeña introducción del nuevo término de moda, el “Internet de las Cosas”. El “Internet de las Cosas” o “IoT, Internet of Things” es una red de objetos cotidianos interconectados con acceso a Internet. Dispositivos como routers wifi, impresoras, electrodomésticos, sistemas de calefacción y alumbrado, coches inteligentes y una infinidad de dispositivos que pueden encontrarse en cualquier hogar y al alcance de cualquier ciudadano, son objetos que, con una dirección IP o URI, son capaces de recoger información, procesarla y compartirla en las redes de comunicación.

Light bulb

En una sociedad donde se está incrementando el número de dispositivos interconectados es necesario considerar la necesidad de establecer acciones de seguridad que prevengan las intrusiones no autorizadas y el uso de éstos como origen de ataques distribuidos en Internet.

A lo largo del año 2013 se han conocido varios ataques relacionados con IoT. Entre éstos cabe destacar la vulneración de cientos de cámaras de seguridad para el hogar, del fabricante TrendNet, que tuvo como consecuencia el acceso no autorizado y la publicación en Internet de imágenes de personas en sus vidas cotidianas; la red de bots llamada “Carna” que infectó 420.000 dispositivos embebidos no seguros escaneando direcciones IPv4 o la botnet descubierta por Proofpoint que lanzó 750.000 ataques de phishing y spam a través de dispositivos como frigoríficos y televisiones conectadas. De este último ataque, se desprende un dato muy inquietante: más del 25% del volumen de ataques se produjo a través de elementos convencionales como routers de hogares, centros multimedia, televisiones o incluso de un frigorífico.

Estos hechos ponen de manifiesto la urgente necesidad de preguntarnos cuáles son las vulnerabilidades de estos objetos y qué riesgos de seguridad pueden conllevar, tanto en el mundo digital como en el mundo civil.

Volviendo a nuestra familia, que acaba de adquirir una cámara con el fin de poder estar atentos a los movimientos de su hijo, no son conscientes de los riesgos a los que están expuestos con ese, en apariencia, inocente dispositivo. Seguramente, las instrucciones no digan que por seguridad tienen que cambiar la contraseña de acceso a la configuración del aparato, ya que tiene asignada una por defecto que es fácilmente localizable en Internet. De la misma forma, tampoco dirá cuáles son las posibles consecuencias de no seguir unas buenas prácticas de seguridad como el cambio de contraseña. Los riesgos más comunes de estos dispositivos que pueden exponernos a un ciberataque son: passwords por defecto, inadecuadas configuraciones de seguridad y software no actualizado o actualizable, entre otros.

Junto con los riesgos de seguridad anteriormente comentados, debemos ser conscientes de los escasos e incluso inexistentes mecanismos de protección disponibles en estos entornos, como podrían sistemas antivirus, antispam, sistemas de monitorización y detección de vulnerabilidades, mecanismos de actualización de software, etc. Los fabricantes, que hasta el momento no veían necesario aplicar una metodología de diseño seguro en el proceso de fabricación, no tienen en cuenta la explosión de dispositivos conectados a Internet y los riesgos de seguridad y privacidad que éstos implican para el ciudadano.

¿Cómo protegerse?

Ante esta situación, que aunque parece lejana en el tiempo y algo intangible, ya que actualmente sólo el 1% de los dispositivos estén conectados a Internet, es imperativo considerar los siguientes puntos:

  • Todo dispositivo que esté conectado a Internet es susceptible de ser accedido, y por tanto, deberá ser protegido.
  • Deberían desarrollarse estándares de seguridad de fabricación de dispositivos con conexión a internet para que todos los fabricantes puedan seguirlos.
  • Cualquier dispositivo que venga configurado con una password por defecto deberá ser cambiada siguiendo unas reglas de complejidad mínimas.
  • El fabricante puede diseñar un dispositivo para ser seguro, pero en última instancia dependerá del usuario protegerlo y asegurarse de que es inaccesible; por ejemplo, accediendo a la web del fabricante para descargarse las actualizaciones del dispositivo que cubran vulnerabilidades detectadas.
  • Conocer nuestros derechos y obligaciones en relación a la privacidad y protección de nuestros datos personales.

Riesgos de IoT

Los principales riesgos tecnológicos, como los regulatorios y legales, que se derivan de los avances tecnológicos y el ecosistema de interconexión son:

  • Interferencia en la privacidad cuando estos dispositivos recogen información acerca de nuestros gustos y preferencias para ser procesada y usada no siempre con la finalidad con la que se recaba. Esto reabre el debate entre seguridad y privacidad en la interconexión de sistemas y dispositivos. Recapitulando, si un día el padre de la familia, desde su trabajo, al navegar por Internet, descubriera un sitio web donde se puede ver en directo a su mujer en casa. ¿De quién sería la responsabilidad del tratamiento de las imágenes recogidas a través de un producto de un fabricante? Esta cuestión es un tema que daría para otro artículo.
  • Proliferación de tecnologías supondrá incrementar el número de fallos al interconectar dispositivos con tecnologías incompatibles, y en consecuencia, un incremento de costes para el fabricante y las organizaciones que se sirvan de estos dispositivos para prestar servicios bien internos a la compañía bien externos.
  • Inexistencia de estándares bajo los que los fabricantes sigan las mismas directrices de fabricación segura, cumpliendo regulaciones y legislación.
  • Recogida de datos no autorizada. La recopilación y almacenamiento de una cantidad ingente de datos o, lo que se conoce como, “Big Data” supone otro reto más a afrontar. La información recogida y tratada por los objetos del IoT, tanto por el sector público como por las compañías, en busca de mejorar la eficiencia de los servicios prestados y productos desarrollados, pone en riesgo los derechos de los ciudadanos en cuanto al acceso y uso de sus datos, ya que no siempre éstos se usan de forma autorizada y consentida.

CONCLUSIÓN

Para finalizar señalar que el incremento del número de dispositivos interconectados además de los riesgos anteriormente mencionados, trae consigo multitud de beneficios.

El hecho de conocer los riesgos que entraña IoT no debe llevarnos a una paranoia generalizada, sino más bien, debe servir de base para construir los cimientos que aseguren que, ante este avance socio-tecnológico, los esfuerzos se encaminan a garantizar los derechos y la seguridad ciudadana.

 ---

Carmen Alberca Jaquero (@CarmenAlberca), Consultora del Área de Governance, Risks & Compliance en ECIX GROUP.