La seguridad de los dispositivos IoT para las organizaciones

IoT

El IoT se aplica en el mundo empresarial, y puede suponer una gran ventaja para diferentes áreas de negocio:

• Seguridad
• Gestión de inventarios
• Logística, etc.

Los datos que se consiguen por los distintos dispositivos sirven, entre otras cosas, para monitorear activos, diagnosticar diferentes fallos de funcionamiento o mejorar un determinado proceso haciéndolo más eficiente.

Sin embargo, como sucede con cualquier tecnología emergente, la utilización de IoT nos enfrenta a mucha incertidumbre. La adopción en entornos empresariales todavía no se encuentra muy extendida, muchas compañías son reticentes a su implementación y otras deciden apostar por esta tecnología, pero no terminan de obtener todos sus beneficios debido a la gran cantidad de información a manejar.

Se pronostica que para el año 2021 habrá unos 25 mil millones de dispositivos IoT conectados en sectores muy dispares como:

• Domótica: las casas inteligente o Smart homes serán cada vez más populares. Los usuarios pueden automatizar muchos de sus procesos diarios, como la iluminación o la calefacción, y gestionarlos de forma remota haciendo que la demanda y la diversidad de este tipo de dispositivos se incremente.
• Salud: este es otro sector al que la incorporación de dispositivos IoT beneficia. Su utilización puede ser muy amplia, desde monitorear el estado de un paciente a llevar a el control de sus hábitos alimenticios.
• Transporte y logística: con esta tecnología es posible llevar a cabo un seguimiento en tiempo real de un activo. Además, la monitorización y análisis de los datos generados puede redundar en beneficios para la organización, ya que permitirán que se optimicen las tareas que se encuentren asociadas.
• Seguridad y vigilancia: gracias a la incorporación de dispositivos IoT las organizaciones que ofertan este tipo de servicios pueden monitorizar cámaras de vigilancia, sensores de presencia o alarmas de multitud de clientes de una sede central y activar distintos elementos de disuasión mediante internet.

La gran conectividad de estos dispositivos es a su gran inconveniente, puesto que los ciberdelincuentes pueden utilizarlos en su propio beneficio. Otros aspectos que puede ser un lastre para el IoT es la recolección masiva, en algunos casos, de datos de carácter personal que pueden implicar riesgos para organizaciones y usuarios. Por otra parte, los dispositivos IoT que presentan vulnerabilidades técnicas en los mecanismos de autenticación y limitaciones de cálculo, que dificultan la implementación de cifrado tanto en la información en tránsito como en la almacenada. Por último, los ciclos de vida de estos dispositivos son muy cortos, quedando obsoletos y sin soporte poco tiempo después de que se haya completado su despliegue, lo que puede suponer un riesgo añadido.

Estos retos obligan a las organizaciones a revisar todos sus procedimientos, políticas de seguridad y adecuación a la normativa a la hora de incorporar dispositivos IoT, considerando también su administración, su ciclo de vida y toda la información que generan e intercambian.

Amenazas para el dispositivo

La conectividad a internet, principales características de este tipo de dispositivos, es también su principal punto débil. De estar mal configurado, contar con vulnerabilidades de diseño o contraseñas muy débiles, cualquiera puede acceder al dispositivo si se dieran las circunstancias idóneas.

Por otro lado, además de los buscadores de internet que indexan las páginas web, existen otro tipo de buscadores con el objetivo de indexar dispositivos y servicios que se encuentren accesibles desde internet. Con estos buscadores se pueden encontrar dispositivos IoT que se encuentren conectados a internet y averiguar detalles sobre su tecnología o configuración.

Los ciberdelincuentes pueden identificar dispositivos vulnerables y automatizar ciberataques. Cuando un ciberdelincuente consigue infectar para tener bajo su control diferentes dispositivos, estamos hablando de lo que se denomina red botnet. Cada uno de los dispositivos infectos se denomina bot o zombi. Este tipo de redes controladas por ciberdelincuentes pueden llevar a cabo tipo de acciones maliciosas como robar información, difundir spam, malware o realizar ciberataques de denegación de servicios distribuido o DDoS. Los ciberataques DDoS consisten en saturar un servicio, como puede ser una web, por medio de multitud de conexiones al mismo tiempo. Uno de los más grandes fue ejecutado por la botnet Mirai, que se encuentra compuesta de forma principal por dispositivos IoT.

Además, los dispositivos IoT no son inmunes a las amenazas. Lo ciberdelincuentes pueden enfocar sus esfuerzos en atacar sus funcionalidades siendo la denegación de servicio uno de los principales peligros, dejándolos inoperativos o no accesibles. En algunos aparatos IoT será mucho más fácil volver a la normalidad, ya que en un reinicio o restauración del software será suficiente, pero en otros, por diferentes motivos como su ubicación o la complejidad para reiniciarlo o restaurarlo, puede no resultar una tera sencilla y puede derivar en situación peligrosa.

Las amenazas a los dispositivos IoT no se reducen a las derivadas de su conectividad a internet. Muchos de estos aparatos cuentan con capacidades de conexión inalámbrica como wifi, bluetooth, etc. lo que puede suponer otro vector de ataque para ciberdelincuentes si se encuentran dentro de su rango de acción.

Amenazas para la privacidad

Los ciberdelincuentes no centran sus esfuerzos de forma exclusiva en los propios dispositivos, ya que la información que manejan es de mucha importancia. Entones ¿Cuál podría ser el precio de acceder a dispositivos que cuenten con información muy valiosa? Las organizaciones criminales podrían utilizar la información robada en su propio beneficio o venderla por precios muy elevados, comprometiendo así la privacidad y la seguridad de todos los afectados.

Software Sistema de Gestión de Seguridad de la Información

El Software ISOTools Excellence para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.