La seguridad en Internet de las Cosas (IoT)

La denominada Internet de las Cosas (IoT) nos está trayendo todo tipo de dispositivos interconectados a la red global. Hablamos desde sensores, bombillas o dispositivos médicos a cámaras de seguridad, beacons o etiquetas inteligentes para el control de stocks, paquetería o procesos industriales. La consultora Gartner calculó que en un par de años habrá entre 20 y 30.000 millones de estas «cosas conectadas» en el mundo, muchas de las cuales serán increíblemente pequeñas, como los nodos sensores.

Consigue tu guía de ciberseguridad para PYMEs

Uno de los retos a los que se enfrentan todos esos dispositivos con gran grado de autonomía que están conectados a la red es el de su seguridad frente a problemas técnicos, fallos de la red pero también a los ataques malintencionados. Si normalmente debemos cuidar la seguridad de nuestros ordenadores, teléfonos móviles y tabletas, la situación se complica cuando además tengamos que asegurarnos de que nadie manipula el termostato, las bombillas de la casa o la nevera de la cocina – dispositivos sobre los que muchas veces tenemos poco control más allá de unos pocos mandos.
 

El reto de proteger todo lo conectado a Internet

 
El hecho es que nos encontraremos pronto con dispositivos cada vez más sofisticados que –de un modo u otro– serán más rentables de atacar para «los malos». Y los estándares de seguridad de esos aparatos son en ocasiones todavía demasiado variados e inmaduros como para ser considerados altamente seguros. Además pueden pertenecer a un sector competitivo –como el de los electrodomésticos– en el que pagar un «extra» por la seguridad no entre por desgracia en los cálculos de quienes los adquieren – que acaban asumiendo el riesgo muchas veces por precio o simplemente por desconocimiento.

Los ejemplos de potenciales problemas que ya se han dado en estos dispositivos son muchos, desde lo fácil que ha resultado tradicionalmente interceptar y controlar las cámaras de seguridad conectadas a Internet (webcams y cámaras IP) a los problemas que supone que dispositivos como cerraduras de puertas, vehículos o incluso partes de una cadena de montaje fallen en el momento menos adecuado. Quienes se dedican a atacar dispositivos han encontrado fácil entrar en televisores, neveras o dispositivos de streaming multimedia. En muchas ocasiones quienes los instalan ni siquiera cambian las contraseñas por defecto para el acceso externo; en otras aunque se detectan vulnerabilidades no es rentable ni cómodo actualizar esos viejos equipos con un nuevo software o firmware.

El problema algunas veces no es tanto que un dispositivo sea vulnerable de por sí (¿qué mal podría hacer una bombilla hackeada?) como la información que su vulnerabilidad proporciona. Una cámara de seguridad (incluyendo los monitores wi-fi de bebés) facilita audio y vídeo en directo de una vivienda; los registros de uso del termostato o la nevera son un horario preciso de cuándo hay gente en la casa o sus ocupantes se han ido de vacaciones. Los dispositivos como las tabletas –también las infantiles– quizá no contengan mucha información, pero también tienen micrófonos y cámaras que se pueden utilizar para espiar.

En los aparatos más potentes como dispositivos de streaming multimedia y televisores inteligentes –pequeños ordenadores con su sistema operativo, sistema de almacenamiento, etcétera– se han dado casos de ataques para convertirlos en «zombies» de redes botnets, que luego se utilizan para enviar spam y otras actividades fraudulentas. Los dispositivos electrónicos Arduino, muy utilizados en todo tipo de proyectos de Internet de las Cosas (IoT) por su pequeño tamaño, bajo coste y gran efectividad, también son un objetivo habitual. La última moda es usar la potencia de cualquier CPU cuyo acceso se pueda vulnerar para minar criptodivisas – consumiendo energía y disminuyendo su rendimiento y vida útil.
 

Internet de las Cosas (IoT) en las empresas

 
A nivel corporativo, una instalación que depende de dispositivos Internet de las Cosas (IoT) ha de ser resistente tanto a los ataques que intenten burlar las medidas de acceso como a los que pretendan «tumbarla» – otro problema a considerar. Una primera medida es establecer medidas de defensa perimetral contra ataques de denegación de servicio (DoS). Este tipo de ataques es relativamente habitual y consiste en saturar los dispositivos con continuas peticiones, pero puede detectarse y bloquearse a tiempo. Pero no es algo que los dispositivos puedan hacer por sí mismos, necesitan de expertos en seguridad que se encarguen de ello.

Al igual que en los ordenadores y routers utilizamos cortafuegos (firewalls) para evitar los accesos no autorizados, los dispositivos de Internet de las Cosas (IoT) pueden protegerse situándolos dentro de redes privadas con salidas controladas a Internet y detrás de cortafuegos específicos, donde sólo esté permitido el tráfico necesario para su funcionamiento. Esto evita que –como suele suceder en una conexión directa y abierta en Internet– cualquier aplicación, puerto o protocolo quede expuesto y pueda ser utilizado si surge una vulnerabilidad. Además de esto, contar con filtros, antivirus y otras herramientas de seguridad tradicionales garantiza que cualquier fábrica, instalación remota o lugar público en el que haya dispositivos Internet de las Cosas (IoT) desplegados pueda contar con una buena seguridad.