Dispositivos IoT, ¿el Caballo de Troya de nuestros tiempos?

Autor: Redacción CIO México
Categorías relacionadas:

caballo-de-troya

¿Por qué los dispositivos de Internet de las Cosas (IoT) son el Caballo de Troya de nuestros tiempos y por qué nadie habla sobre ello? Supongamos que el vendedor más honesto del mundo quiere vender soluciones IoT a una empresa mediana, quizás algo del sector de Mantenimiento Inteligente o quizás dispositivos IoT independientes.

Como sea, el precio es clave y obviamente el Director General de la empresa estará contento si el negocio es rentable. Pero el vendedor, con la honestidad que lo caracteriza, advierte al cliente que estas soluciones IoT serán parte de la red de la empresa, serán prácticamente imposibles de proteger, serán susceptibles de varios tipos de ataques, y que una red comprometida generará graves preocupaciones al Director General.

¿Cuáles son las opciones de cerrar esa operación? ¿Por qué los distintos dispositivos IoT siguen siendo un gran negocio? Porque se venden sin advertir al comprador.

Lo que hace a un Caballo de Troya interesante es el efecto sorpresa. Luego de 10 años de luchar contra los griegos, los troyanos creían que el caballo era un símbolo de su victoria y lo llevaron a su ciudad, lo cual los perjudicó un poco. Según estadísticas recientes, los troyanos como malware están todavía muy extendidos, pero la mayoría de los usuarios de Internet ya saben cómo son y cómo hacer para evitar posibles daños. Los dispositivos IoT, por su parte, todavía tienen ese encantador efecto sorpresa de los viejos tiempos por lo que merecen el nombre de Caballo de Troya. Los ataques de IoT ascendieron 600% en 2017, son el Caballo de Troya de nuestros tiempos. ¿Por qué no se hacen dispositivos IoT más seguros? Esta pregunta merece un titular.

¿Por qué no se hacen dispositivos IoT más seguros?

En síntesis, debido a tres razones:

1. La seguridad no es parte del proceso de diseño

Nosotros no compramos un dispositivo IoT porque sea una pieza de tecnología bien pensada, sino porque nos asombra con sus futurísticas características y hace que algunas “cosas” se conviertan en dispositivos inteligentes. El refrigerador inteligente y la lámpara IoT no han reinventado el refrigerador o la lámpara, pero la innovación genera fascinación. Por esa razón se producen y por esa razón se compran. Esto, obviamente, no es igual a las soluciones industriales, pero se pueden encontrar varias similitudes. Estudios de usuarios, como parte del proceso de diseño, siempre llegan a la conclusión de que IoT es un mercado nuevo y fascinante y los típicos usuarios de IoT se concentran en la novedad o utilidad, y no en la seguridad.

2. La seguridad aumentaría el precio

Los dispositivos IoT se convirtieron en algo atractivo para el mercado masivo por ser cada vez más económicos, y en esta competencia, el precio hace la diferencia en todo el mundo. El costo promedio de los sensores IoT está disminuyendo y se prevé que para el año 2020 sólo costarán alrededor de 0.38 centavos de dólar. Incluso los fabricantes de equipos IoT especializados mantienen una feroz competencia entre ellos.

Gastar un montón de dinero en desarrollar mejores funciones de seguridad no tiene sentido para los fabricantes. La industria quiere lograr precios ventajosos a través de la compra masiva. En cuanto a los consumidores, a partir de 2013, sólo se necesitó un par de euros y algunas fotos pintorescas en las páginas de productos de Amazon para que los dispositivos IoT sean todo un éxito. Nosotros, los humanos, somos un público barato.

3. En realidad, a nadie le importa

En parte, esto también se relaciona con el proceso de diseño y los estudios de los usuarios. Pero es una actitud compartida, tanto de los usuarios como de los fabricantes. Como este daño a las empresas tiende a desacelerar un mercado en crecimiento con preocupaciones sobre la seguridad, nadie habla de eso.

¿Qué se puede hacer?

IT-OT-Seguridad

Los dispositivos IoT no se pueden monitorear en su totalidad. Independientemente de lo que uno hace, siempre queda cierta incertidumbre. Inclusive cuando los dispositivos han sido específicamente implementados por el departamento tecnológico de una empresa, las tradicionales medidas corporativas de seguridad como los firewalls, no funcionan. Los profesionales de TI pueden controlar los dispositivos IoT sólo hasta cierto punto, ya que dichos dispositivos funcionan fuera de sus propios sistemas cerrados.

Sin embargo, ahora veremos tres consideraciones que, si bien no brindan una seguridad absoluta, ofrecen la mayor “tranquilidad” que se puede tener con los dispositivos IoT.

1. Clasificación según la importancia

Es mucho más razonable prestar atención a los datos más importantes (es decir, los datos almacenados en el dispositivo y utilizados por las aplicaciones) que proteger todo el dispositivo. Para asegurar estos datos, no es necesario respaldar todo el dispositivo IoT, sólo se necesita tener un área o contenedor independiente para almacenarlos.

Muchas empresas primero recurren a la Nube para asegurar los datos de los dispositivos IoT, pero si un dispositivo móvil IoT contiene datos sensibles (como la Identificación del Dispositivo o tokens de pago), ya se convierte en un objetivo para los hackers.

Si los sistemas IoT son gestionados por un portal central de administración y dicho portal se desactiva, no reportará más ataques a los dispositivos individuales.

2. Almacenamiento en un lugar confiable

Como los dispositivos IoT son principalmente móviles, resulta muy difícil eludir aplicaciones maliciosas cuando se establece una comunicación. Una forma de evitar esto es almacenando la identificación del dispositivo en un lugar confiable. En este caso, el usuario puede establecer quién puede comunicarse con el dispositivo vinculando el acceso a la identificación del dispositivo con los datos de seguridad (como identificadores biométricos o un Número de Identificación Personal, PIN).

Los datos de seguridad pueden asignarse tanto a personas como a empresas y pueden guardarse en un área segura como, por ejemplo, en un elemento de seguridad.

3. Buscar efectos de radiación

El monitoreo, independientemente de lo sofisticado que sea, no puede detectar directamente si un dispositivo IoT se ha convertido en la puerta de acceso a ciertos ataques, pero existen efectos de radiación que se pueden identificar. Como ya mencionamos anteriormente, un dispositivo IoT generalmente forma parte de una red. A través del distribuidor de red, una herramienta de monitoreo puede reconocer cuando hay una gran cantidad inusual de tráfico de datos en un puerto específico.

El tráfico inusual de una red puede también detectarse a través del reconocimiento de patrones, por ejemplo, cuando dos dispositivos se comunican repentinamente entre sí, cosa que nunca había sucedido anteriormente. En ese caso, se envía una advertencia al administrador del sistema e inmediatamente se puede averiguar cuál es el dispositivo en cuestión.

Troyano-Android

Asimilemos ahora la imagen del Caballo de Troya. Es horrible luchar durante 10 años sin salir victorioso, pero perder la batalla porque no prestamos atención a lo que hay dentro de un caballo de madera es aún peor.

Estamos todavía en los inicios de la seguridad de IoT, pero probablemente no tengamos que esperar 10 años hasta que la importancia de la seguridad en el entorno de IoT esté firmemente inculcada en la mente de la gente.

Por David Montoya, Director Regional de Paessler América.

Deja un comentario