La demanda de desarrollo de aplicaciones de IoT está alcanzando su punto álgido en todo el mundo con la rapidez de las innovaciones tecnológicas. Según Statista, el gasto global estimado en IoT será de 1,1 billones de dólares (aproximadamente). Esto sin duda creará un aumento en el uso de aplicaciones y soluciones IoT de vanguardia.
Los fabricantes siguen compitiendo para ver quién es el primero en poner el último dispositivo en manos de los consumidores.
Muy pocos tienen en cuenta los problemas de seguridad relacionados con el acceso y la gestión de los datos, así como con los propios dispositivos IoT.
Pero, ¿cuáles son los mayores retos en materia de seguridad y privacidad que afectan actualmente al campo de los dispositivos conectados?
1. Pruebas y actualizaciones insuficientes
Desafío
En la actualidad, hay más de 23.000 millones de dispositivos conectados en todo el mundo. Esta cifra seguirá aumentando hasta alcanzar los 30.000 millones en 2020 y más de 60.000 millones a finales de 2025. Esta oleada masiva de nuevos aparatos no viene sin un coste.
De hecho, uno de los principales problemas de las empresas tecnológicas que construyen estos dispositivos es que son demasiado descuidadas a la hora de gestionar los riesgos de seguridad relacionados con los dispositivos.
La mayoría de estos dispositivos y productos IoT no reciben suficientes actualizaciones, mientras que algunos no reciben actualizaciones de seguridad críticas en absoluto.
Esto significa que un dispositivo que antes se consideraba seguro cuando los clientes lo compraron por primera vez, se vuelve inseguro y eventualmente propenso a los hackers y otros problemas de seguridad.
Los primeros sistemas informáticos tenían este mismo problema, que se solucionaba en cierto modo con las actualizaciones automáticas.
Sin embargo, los fabricantes de IoT están más ansiosos por producir y entregar sus dispositivos tan rápido como puedan, sin pensar demasiado en la seguridad.
Por desgracia, la mayoría de los fabricantes ofrecen actualizaciones de firmware sólo durante un breve período de tiempo, para dejar de hacerlo en el momento en que empiezan a trabajar en el siguiente gadget que acapara titulares. Y lo que es peor, utilizan núcleos de Linux heredados que no son compatibles.
Esto deja a sus clientes de confianza expuestos a posibles ataques como resultado de un hardware y un software obsoletos.
Solución
Para proteger a tus clientes contra este tipo de ataques, cada dispositivo debe someterse a las pruebas adecuadas antes de lanzarse al público y las empresas deben actualizarlos regularmente.
No hacerlo es malo tanto para las empresas como para sus consumidores, ya que basta una sola brecha a gran escala en los datos de los consumidores para arruinar por completo a la empresa.
2. La fuerza bruta y el problema de las contraseñas por defecto
Desafío
La red de bots Mirai, utilizada en algunos de los mayores y más perturbadores ataques DDoS, es quizás uno de los mejores ejemplos de los problemas que surgen cuando se envían dispositivos con contraseñas por defecto y no se indica a los consumidores que las cambien en cuanto los reciben.
Hay algunos informes gubernamentales que aconsejan a los fabricantes que no vendan dispositivos IoT que vengan con credenciales de seguridad deficientes, como el uso de «admin» como nombre de usuario y/o contraseñas.
Dicho esto, ahora no son más que directrices, y no hay ninguna repercusión legal que incentive a los fabricantes a abandonar esta peligrosa práctica.
Las contraseñas y los datos de acceso débiles hacen que casi todos los dispositivos IoT sean vulnerables a la piratería de contraseñas y, en particular, a la fuerza bruta.
La única razón por la que el malware Mirai tuvo tanto éxito es que identificó dispositivos IoT vulnerables y utilizó contraseñas por defecto para iniciar sesión e infectarlos.
Por lo tanto, cualquier empresa que haya utilizado credenciales predeterminadas de fábrica en sus dispositivos está poniendo tanto su negocio y sus activos como a los clientes y su valiosa información en riesgo de ser susceptibles a un ataque de fuerza bruta.
Solución
Para evitar los ataques de fuerza bruta, es aconsejable hacer inaccesible el usuario de la ruta mediante el uso de diferentes características de seguridad SSH. Evita utilizar contraseñas débiles.
En su lugar, utiliza una contraseña fuerte o un captcha para evitar problemas de privacidad sensibles. También debes establecer el límite de inicio de sesión para una dirección IP o rango específico o puede crear URLs de inicio de sesión únicas como parte de tu estrategia de seguridad.
3. Brecha en las habilidades de IoT
Desafío
En la actualidad, muchas empresas han afirmado que existe una amplia brecha en las habilidades de los profesionales de seguridad de IoT. Este déficit de competencias impide a las empresas aprovechar al máximo el potencial de sus empleados.
Solución
Para ello, es necesario poner en marcha programas de formación y actualización de habilidades. Los talleres de conocimiento, los boletines prácticos y los boletines pueden marcar una enorme diferencia.
4. Mala gestión de los dispositivos IoT
Reto
Los dispositivos habilitados para el IoT y el IoMT (Internet de las Cosas Médicas) en la sanidad, el comercio minorista, la fabricación y las ciencias de la vida. Revela una buena cantidad de vulnerabilidades en un conjunto asombrosamente diverso de objetos conectados.
Las máquinas de tomografía computarizada y los dispositivos de resonancia magnética son los principales responsables de los problemas de seguridad de los dispositivos IoT.
La combinación de dispositivos conectados tradicionales y sistemas heredados, como ventiladores, monitores de pacientes, luz, bombas de infusión y termostatos con características de seguridad deficientes, son propensos a ataques de piratería informática que incluyen:
- Interrupción de las operaciones
- Compromiso de los datos y la seguridad de los clientes
- Pérdidas financieras
- Daños a la reputación.
Solución
Las amenazas a la seguridad del IoT mencionadas anteriormente pueden reducirse radicalmente mediante la implementación de soluciones de seguridad del IoT.
Éstas responden a las necesidades de soluciones integrales de los clientes y a los retos esenciales de seguridad de los dispositivos que se abordan con la gestión de los mismos.
Estas plataformas pueden mejorar el aprovisionamiento de activos, la actualización del firmware, disminuir las vulnerabilidades de seguridad, alertar e informar sobre métricas específicas asociadas a los activos IoT.
5. Malware y ransomware de IoT
Desafío
A medida que el número de dispositivos conectados al IoT siga aumentando en los próximos años, también lo hará el número de malware y ransomware utilizado para explotarlos.
Mientras que el ransomware tradicional se basa en el cifrado para bloquear completamente a los usuarios de los diferentes dispositivos y plataformas, existe una hibridación en curso de las cepas de malware y ransomware que pretende fusionar los diferentes tipos de ataque.
Los ataques de ransomware podrían centrarse en limitar y/o desactivar la funcionalidad del dispositivo y robar los datos del usuario al mismo tiempo.
Por ejemplo, una simple cámara IP es ideal para capturar información sensible utilizando una amplia gama de lugares, incluyendo su casa, la oficina de trabajo o incluso la gasolinera local.
La cámara web puede bloquearse y las imágenes pueden dirigirse a una dirección web infectada que podría extraer datos sensibles utilizando el punto de acceso del malware y exigir un rescate para desbloquear el dispositivo y devolver los datos.
El número cada vez mayor de dispositivos IoT dará lugar a la imprevisibilidad con respecto al acceso no autorizado o al robo en el futuro.
6. Botnets de IoT que apuntan a la criptomoneda
Desafío
La acalorada competencia minera, junto con el reciente aumento de las valoraciones de las criptomonedas, está resultando demasiado atractiva para los hackers que intentan sacar provecho de la locura de las criptomonedas.
Aunque la mayoría considera que la cadena de bloques es resistente a la piratería informática, el número de ataques en el sector de la cadena de bloques parece ir en aumento.
La principal vulnerabilidad no es la cadena de bloques en sí, sino el desarrollo de aplicaciones de cadena de bloques que se ejecutan en ella.
La ingeniería social ya se utiliza para extraer nombres de usuario, contraseñas y claves privadas, y en el futuro veremos que se utiliza con más frecuencia para hackear aplicaciones basadas en blockchain.
La criptomoneda de código abierto Monero es una de las muchas monedas digitales que se están minando actualmente con dispositivos IoT. Algunos hackers incluso han reutilizado cámaras IP y de vídeo para minar cripto.
Las violaciones de la cadena de bloques, los mineros de redes de bots de IoT y la manipulación de la integridad de los datos suponen un enorme riesgo de inundar el mercado abierto de criptodivisas y de alterar el valor y la estructura, ya de por sí volátiles, de las criptodivisas.
Solución
Las aplicaciones, estructuras y plataformas de IoT que se apoyan en la tecnología blockchain deben ser reguladas y supervisadas y actualizadas constantemente si se quiere evitar cualquier explotación de criptodivisas en el futuro.
7. Preocupación por la seguridad y la privacidad de los datos (móvil, web, nube)
Desafío
La privacidad y la seguridad de los datos siguen siendo los mayores problemas en el mundo interconectado de hoy.
Los datos son constantemente aprovechados, transmitidos, almacenados y procesados por grandes empresas que utilizan una amplia gama de dispositivos IoT, como televisores inteligentes, altavoces y sistemas de iluminación, impresoras conectadas, sistemas de climatización y termostatos inteligentes.
Comúnmente, todos estos datos de los usuarios se comparten o incluso se venden a varias empresas, violando nuestros derechos a la privacidad y a la seguridad de los datos e impulsando aún más la desconfianza del público.
Solución
Necesitamos establecer normas de cumplimiento y privacidad específicas que reduzcan y anonimicen los datos sensibles antes de almacenarlos y disocien las cargas útiles de los datos del IoT de la información que pueda utilizarse para identificarnos personalmente.
Los datos almacenados en caché y que ya no sean necesarios deben eliminarse de forma segura.
Si los datos se almacenan, el mayor reto está en el cumplimiento de diversas estructuras legales y reglamentarias.
La misma práctica debería emplearse con las aplicaciones y servicios móviles, web y en la nube utilizados para acceder, gestionar y procesar los datos asociados a los dispositivos de la IO.
El desarrollo seguro de aplicaciones móviles y web de IoT puede ser bastante difícil para las pequeñas empresas con presupuestos y mano de obra limitados.
Como ya hemos mencionado, la mayoría de los fabricantes tienden a centrarse únicamente en sacar la aplicación y el dispositivo al mercado rápidamente para atraer más financiación y empezar a hacer crecer su base de usuarios.
A menos que quieras arriesgarte a una gran brecha de seguridad y arruinar la autoridad de tu marca y la confianza, entonces podrías considerar revisar un directorio de empresas de desarrollo móvil y web y encontrar la mejor que pueda cumplir con todos tus requisitos de seguridad con una gestión de datos de múltiples capas.
