La gran brecha de seguridad del IoT y los fallos de la industria para solucionarla

No resulta descabellado imaginar un escenario IoT repleto de dispositivos rehenes o protagonizado por cualquier otro ciberataque posible en la actualidad.
No necesita 'big data', necesita los datos adecuados
No necesita ‘big data’, necesita los datos adecuados

No resulta descabellado imaginar un escenario IoT repleto de dispositivos rehenes o protagonizado por cualquier otro ciberataque posible en la actualidad.

A principios de este año, una historia alarmanteacaparó todos los titulares: unos hackers se apoderaron del sistema de llaves electrónicas de un hotel de lujoen Austria. Los huéspedes no pudieron entrar en sus habitaciones hasta que el hotel pagó un rescato. La noticia, por supuesto, resultó aterradora para los propios huéspedes del hotel y para cualquier persona que alguna vez se aloje en un hotel. Sin embargo, no sorprendió a los expertos en ciberseguridad, quienes cada vez prestan más atención a las muchas formas en que los dispositivos físicos conectados a internet -el llamado internet de las cosas (IoT, por sus siglas en inglés)- pueden hackearse y manipularse. (El hotel anunció que volverá a utilizar llaves físicas).

No resulta descabellado por tanto imaginar un escenario IoT repleto de dispositivos rehenes o protagonizado por cualquier de las otras formas en que los hackers pueden causar estragos con los objetos conectados en red que usamos a diario. Los dispositivos inteligentes impregnan nuestros hogares y oficinas. Detectores de humo, termostatos, aspersores y controles de acceso físico pueden controlarse en remoto. Asistentes virtuales, televisores, monitores de bebés y juguetes infantilesrecopilan y envían datos a la nube. (Una de las últimas brechas de seguridad involucró a losositos de peluche CloudPetsyes ahora objeto de una investigación del Congreso de los Estados Unidos). Por supuesto, algunas de estas tecnologías inteligentes también pueden salvar vidas, como los dispositivos médicos que controlan las dosis intravenosas de medicamentos ymonitorizan a distancia los signos vitales.

El problema es que muchos dispositivos IoT no están diseñados (ni se realiza un mantenimiento)con la seguridad como prioridad. Según un estudio reciente de IBM Security y el Instituto Ponemon, el 80 % de las organizaciones no comprueban de forma rutinaria susaplicaciones IoT para detectar posibles vulnerabilidades de seguridad. Esto hace que sea mucho más fácil para los delincuentes utilizar dispositivos de IoT para espiar, robar e incluso causar daño físico.

Algunos analistas atribuyen el fallo a la actual fiebre del oro en torno al IoT y piden que el gobierno intervenga para regular el uso de dispositivos intelignetes. Sin embargo, cuando se trata de ciberseguridad, la regulación puede ser bienintencionada pero equivocada. Las listas de verificación de condiciones de seguridad elaboradas por entes gubernamentales grandes y lentosno pueden seguir el ritmo de la evolución de la tecnología y la ciberdelincuencia. Los protocolos de cumplimiento, además, pueden desviar los recursos necesarios y dar una falsa sensación de seguridad. En el caso de Estados Unidos, si sumamos todas las diferentes agencias federales, estatales e internacionales que reclaman su pedazo del pastel reglamentario, obtenemos una mezcla de requisitos superpuestos que pueden confundir y constreñir a las empresas, pero sin reducir el espacio de loshackers para maniobrar.

Gestionar el riesgo

La administración del anterior presidente de los EE.UU. Barack Obama impulsó propuestas para regular la infraestructura de ciberseguridad en sus primeros años de gobierno, pero finalmente se orientó hacia un enfoque más eficaz centrado en la gestión de riesgos.Este enfoque se materializó en el ampliamente aclamado y reconocidoProtocolo de Ciberseguridad del Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST por sus siglas en inglés). Desarrollado en colaboración con la industria, el protocolo ofrecía claves y guías a la industrias basadas en el riesgo junto a una serie de buenas prácticas que podían adaptarse a cualquier organización sin importar su tamaño o perfil.Las primeras señales indican que la administración del actualpresidente Donald Trump planea continuar con el enfoque del NIST.

Un siguiente paso inteligente sería aprovechar ese éxito y desarrollar un marco similar para el IoT. En lugar de intentar dictar formas de control específicas para un conjunto de tecnologías cada vez más grande, dicho marco de acción podría armonizar las mejores prácticas internacionales para el IoT y ayudar a las empresas a priorizar las estrategias de seguridad más relevantes para su situación particular.Esto es básicamente lo quela comisión bipartita del Congreso de los Estados Unidos para el fortalecimiento de la ciberseguridad nacional recomendó a la nueva administración en diciembre de 2016. Un marco de acción de este tipo también podría servir como elmuy necesario punto de coordinación para toda una serie de iniciativas independientes y fragmentadas de IoT ya en marcha en las diferentes agencias federales.

Esperar al que el gobierno intervenga sería, sin embargo, un error para la industria del IoT. El problema de la seguridad del IoT es urgente y lo será cada vez más a medida que salgan a la luz nuevos ataques -como seguramente sucederá- a dispositivos y estructuras IoT. Existe por tanto una oportunidad para que los proveedores de servicios y dispositivos de IoT demuestren que se toman en serio la seguridad si adoptan algunas medidas básicas.

En primer lugar, la seguridad y la privacidad deben integrarse en el diseño y el desarrollo.La mayoría de las pruebas de seguridad de dispositivos IoT se realizan durante la fase de producción, cuando ya es demasiado tarde para realizar cambios significativos. Planificar einvertirpor adelantado puedeser de gran ayuda. Por ejemplo, muchos dispositivos IoT utilizan los mismos nombres de usuario y contraseñas por defecto bien conocidos y disponibles con tan solo una búsqueda rápida en Google. Dado quela mayoría de los consumidores no cambian la configuración de fábrica, los fabricantes deberían diseñar los productores para activarse con credenciales únicas o exigir nuevas credenciales desde el primer uso.Esto frustraría el método más fácil y generalizado para comprometer la seguridad de los dispositivos IoT. El otoño pasado, por ejemplo, los hackers usaron las credenciales por defecto para infectar miles de DVRs y cámaras webcon la botnetMirai, la cualse usó para causar cortes masivos de internet.

En segundo lugar, los dispositivos IoT deberían poder recibir actualizaciones de software durante toda su vida útil. Las nuevas vulnerabilidades de software a menudo se descubren después del lanzamiento de un producto, lo que convierte a los parches de seguridad en algo crítico para defenderse contra las amenazas.Si existe algún tipo de límite en el tiempo para facilitar las actualizaciones necesarias, entonces es necesario que el producto esté claramente etiquetado con una “fecha de caducidad” a partir de la cual no se podrá asegurar su seguridad frente a nuevas ciberamenazas.

En tercer lugar, debe mejorarse la transparencia frente a los consumidores.A diferencia de los teléfonos móviles y los ordenadores, los dispositivos IoT a menudo funcionan sin supervisión o a la vista de los humanos. Muchos de estos objetos carecen de pantallas para mostrar mensajes. Al igual que ocurre cuando se retiran otro tipo de productos, los propietarios necesitan ser notificados cuando un dispositivo tiene un problema de seguridad y saber cómo instalar nuevas actualizaciones de seguridad. Cuando los dispositivos IoT se revenden, debería haber una manera sencilla de llevar a cabo un reseteo a condiciones de fábrica para borrar los datos y credenciales de cualquier usuario anterior. Por ejemplo, IBM Security ha demostrado recientemente cómo los vendedores de coches usados pueden retener el acceso a las funciones remotas de los vehículos (como la geolocalización) sin que los compradores sean conscientes.

El mundo del IoT todavía está en sus albores, pero es un mundo que se mueve con rapidez. Miles de millones de nuevos dispositivos se conectan a la red cada año a la vez que la oportunidad para construir un ecosistema digno de confianza se cierra.¿Seguirán otras empresas afectadas el ejemplo del hotel austriaco y se desconectarán del IoT cuando sus aparatos -y su fiabilidad-sean atacados? La industria del IoT no debe sentarse a esperar. Ahora tenemos la oportunidad de invertir en asegurar esa confianza y disfrutar con seguridad de los beneficios de esta extraordinaria tecnología. O, por el contrario,podemos esperar a que los hackers causen más estragos y que los gobiernos intervengan con mano dura.


por
trad. Maximiliano Corredor

Andrew Tannenbaum es el primer abogado jefe de ciberseguridad de IBM, es el fundador y líder de un equipo legal global que guía a la compañía en una amplia gama de asuntos legales, de políticas y de investigación sobre ciberseguridad. Trabajando en estrecha colaboración con los jefes de seguridad de IBM y los principales líderes empresariales, proporciona asesoramiento en áreas que van desde el gobierno corporativo general de IBM para la gestión del riesgo cibernético, pasando por la respuesta de la empresa a incidentes cibernéticos sensibles, hasta los detalles operativos del programa y las políticas cibernéticas internas de IBM. Ha supervisado cientos de investigaciones de respuesta a incidentes cibernéticos en todo el mundo.

Related Posts
La tiranía de la estrategia

La tiranía de la estrategia

Satanás fue retóricamente dotado suficiente para convencer a un tercio de los ángeles a volverse contra Dios. Era lo suficientemente carismático para elevar la moral de sus tropas en la cara de su primera derrota. Él fue lo suficientemente sabio para persuadir a sus capitanes para continuar la lucha usando su plan. Él era astuto suficiente para engañar a la siempre vigilante [...]
Leer más
Maximizing Your Return on People

Los líderes que hacen que las fusiones y adquisiciones funcionen

A pesar de la popularidad de las estrategias de crecimiento basadas en fusiones y adquisiciones, los desafíos de la ejecución son sustancial del 40% al 80% de fusiones no cumplen los objetivos. Para entender la alta tasa de fracaso, los investigadores anteriores han examinado características financieras, partidos de capacidad, y factores humanos, tales como la cultura. Lo que faltaba era la investigación cuantitativa de fondo sobre la dirección colectiva [...]
Leer más
Maximizing Your Return on People

Comience su próxima reunión con una broma

equipos de tres miembros con al menos una persona en un buen estado de ánimo fueron más del doble de probabilidades para resolver un rompecabezas como equipos cuyos miembros estaban todos en los estados de ánimo neutro, de acuerdo con un experimento realizado por Kyle J. Emich, de la Universidad de Fordham. Esto se debe a las personas en buen estado de ánimo son más propensos a compartir conocimientos y buscan [...]
Leer más