Nuevos dispositivos conectados a Internet, un nuevo reto para la ciberseguridad.
A lo largo del año 2014 y durante los primeros meses de este año, la expresión «Internet de las Cosas» (IoT, por sus siglas en inglés), se ha puesto de moda dentro de la estrategia de negocio de los principales fabricantes tecnológicos. Una muestra de esto, es que a principios de este año, Samsung anunció que su estrategia para recuperarse de los resultados del 2014, sería centrarse en el IoT durante los próximos años.
Pero, ¿somos conscientes de lo que se trata el IoT?. El IoT, consiste en una interconexión de dispositivos con chips integrados, los cuales pueden estar controlados por el usuario para entregarle un servicio. Algunos ejemplos de IoT incluyen sistemas inteligentes de control de temperatura, dispositivos de vigilancia en el hogar e incluso ordenadores en los vehículos que informan al conductor sobre el estado real del tráfico. Todos estos dispositivos, están diseñados para hacer la vida más eficiente y utilizan aplicaciones que pueden ser controladas por el usuario a través de un Smartphone.
Las aplicaciones y usos que se le pueden dar al IoT cada vez serán mayores, pero, ¿qué implicaciones puede tener esto en la privacidad y la ciberseguridad de los usuarios?, ¿es posible que con el IoT se incremente el potencial de la ciberdelincuencia?
Un mundo diverso de dispositivos
En este momento el IoT se mueve en un mercado bastante complejo, donde las empresas buscan encontrar una oportunidad de negocio para sus dispositivos. En ese sentido, los proveedores de software tienen la difícil tarea de trabajar con rapidez y eficacia en los diferentes modelos de hardware y firmware para que estos puedan estar disponibles cuanto antes.
Desde el punto de vista de ciberseguridad, esta situación puede ser considerada positiva, ya que al no haber una estandarización, el impacto de un posible ciberataque contra dispositivos conectados en casa o en negocios es limitado. Si nos detenemos a pensar en cuál es el Sistema operativo de escritorio y de servidor más utilizado por las organizaciones, nos daremos cuenta que la mayoría de los casos es Windows y en algunos casos Linux, esto es una gran ventaja para los ciberdelincuentes, ya que conocen las vulnerabilidades y exploits de estos sistemas y pueden conseguir un comportamiento no deseado de los mismos.
Sin embargo, el entorno del IoT está hecho de una gran cantidad de dispositivos con configuraciones diferentes, lo que hace que sea más difícil generar un ataque en masa, o en el caso de que se quiera atacar a una persona en particular, se tendrá que averiguar qué tipos de dispositivos está utilizando y posteriormente trabajar en identificar cuáles son sus vulnerabilidades.
No obstante, esta diversidad puede ser un problema para el administrador de IT, ya que si se descubre una vulnerabilidad como un Heartbleed Bug en un componente de comunicaciones, ¿cómo se puede implementar rápidamente soluciones de seguridad o «parches» para tantos dispositivos diferentes?.
Normativas Emergentes
Los fabricantes de estos dispositivos reconocen los nuevos retos a los que se enfrentan, y hacen esfuerzos para desarrollar protocolos base, kits de desarrollo de software e interfaces de programación para aplicaciones abiertas. En muchos casos se está estandarizando alrededor de la nube y de la «plataforma como un servicio» para modelos de aplicaciones web.
Estos esfuerzos de estandarización, ayudarán al crecimiento y a la escalabilidad del IoT, sin embargo, crea un nuevo conjunto de potenciales problemas. Las soluciones basadas en la nube, las cuales aun generan problemas de seguridad y privacidad, combinadas con los dispositivos conectados crearán una fuente adicional de datos sobre los cuales no hay gobernabilidad real. Más datos, menos control.
Tomando en consideración lo anterior, es importante destacar que internet fue diseñado originalmente para compartir la información, no para dar control y seguimiento a los datos. Como resultado de esto, muchas de las infraestructuras de red actuales, no pueden hacer frente al nuevo entorno emergente de IoT por lo que requieren un replanteamiento de sus estructuras.
Primero desarrollar y después la seguridad, una receta para el desastre
La historia de la informática ha demostrado muchas veces que la seguridad es una idea de último momento en las tecnologías emergentes. Este es el caso de IoT, se suelen vender nuevos componentes de software sin ningún endurecimiento de la seguridad, confiando que los usuarios cambiaran las contraseñas por defecto y sin proporcionar protección de seguridad adicional. Lo cierto es que en muchos casos las personas no cambian los password ni toman medidas de resguardo adicionales, lo que permite que los ciberdelicuentes se aprovechen de la situación y ejecuten ciberataques. Un ejemplo destacado fue el Gusano Linux Darlloz, infectó más de 31.000 dispositivos incluyendo cámaras de seguridad y decodificadores.
La diversidad de dispositivos conectados significa que no es posible hacer un ataque a gran escala del entorno del IoT, sin embargo, los usuarios finales continúan corriendo riesgos. Por ejemplo, un sistema de vigilancia personal, podría ser utilizado para determinar cuando alguien está en casa, también puede darse el caso de que un ciberdiculente desactive el ordenador de a bordo de un coche y pida un rescate al propietario para volver habilitarlo. No nos olvidemos de que hay aplicaciones, como las de monitorización de fitness, que capturan la ubicación y datos biométricos, si esta información no está segura, los usuarios de estas aplicaciones podrían estar bajo vigilancia constante.
Un blanco fácil?
Mientras más dispositivos conectados utilicemos, más crecen nuestras amenazas y posibilidades de sufrir algún tipo de ataque. Ya no serán sólo objetivo nuestros smartphones y ordenadores, sino también nuestros coches y nuestras casas.
Quizás una de las razones por las que aún no se han producido ataques generalizados al IoT, es que los delincuentes aún están haciendo dinero «fácil» pidiendo rescates por nuestros ordenadores o robando nuestros números de tarjetas de crédito. Sin embargo, a medida que el uso de IoT se masifique, atacar a estos dispositivos tendrá mayor valor para los delincuentes, y centrarán sus esfuerzos en encontrar posibles huecos de seguridad y conseguir un comportamiento no deseado de los dispositivos.