Hace años que la ciberseguridad está en boca de las empresas. Tan es así que en el último quinquenio hemos sido testigos de la popularización de los seguros contra ataques informáticos. El enfoque tradicional de defensa trata de fortalecer el perímetro controlando los programas que se conectan al exterior por wi-fi, bluetooth u otros medios. Sin embargo, la multiplicación de los dispositivos IoT está dificultando esto enormemente.
Una de las razones es la poca experiencia que tienen en ciberseguridad las empresas que desarrollan estos aparatos. Pensemos, por ejemplo, en lo que ocurrió en una casa de juego estadounidense, cuya red fue infiltrada por agentes externos a través de una pecera que permitía regular la temperatura y salinidad del agua desde el exterior. A pesar de aislar este dispositivo de los sistemas más sensibles, los atacantes fueron capaces de robar 10 GB de datos.
Estos dispositivos hacen que la tarea de proteger los sistemas informáticos, de por sí ya complicada, se torne más difícil todavía, puesto que extienden la superficie de ataque. Un estudio de la Universidad de Stanford analizó la telemetría de 83 millones de dispositivos conectados y descubrió que millones utilizaban protocolos de comunicación antiguos e inseguros o contraseñas débiles.
Uno de los puntos a resaltar es el “time to market” que hace competir ferozmente a los fabricantes y reduce el tiempo dedicado al control de calidad y seguridad. Al mismo tiempo, la baja potencia y escasos recursos para computación en estos dispositivos obligan a orillar los procedimientos de chequeo de seguridad en favor de las funcionalidades, todas dirigidas a una buena experiencia de usuario.
Más aún los productores de IoT tienen los pocos incentivos para robustecer su seguridad. En parte esto se debe a que en ocasiones los efectos no los nota el usuario final (piénsese en una red de dispositivos infectados que no den errores de funcionamiento, pero se utilicen para atacar a un tercero a través de un DDOS, como los causados por el malware Mirai). Por otro lado, también juegan un rol los acuerdos de licencia que las empresas que desarrollan el software de estos dispositivos firman con sus contratantes, que les eximen de responsabilidades legales.
Hasta ahora, los hackeos han dañado la propiedad privada o los datos de empresas y particulares, pero conforme más objetos sean inteligentes y conectados, veremos accidentes que pueden costar la vida a personas. Hace unos años, unos investigadores de Twitter e IOActive, una empresa de ciberseguridad, realizaron una demostración en la que se infiltraron en el software de un vehículo. Así, podían apagar el motor, frenar e incluso, en algunas circunstancias, controlar el volante, amén de encender el equipo de música y los limpiaparabrisas. Todo esto, desde un ordenador a distancia y mientras el coche estaba en marcha.
De la misma manera, sería posible hackear el marcapasos o la bomba de insulina, pongamos, del presidente de un Gobierno o un General, causando una grave crisis institucional
Según Deloitte, un 87% de las empresas españolas utiliza dispositivos IoT, pero solo el 56% de estas contempla las necesidades específicas de estos dispositivos en su estrategia de ciberseguridad. Una iniciativa que destaca a la hora de concienciar del efecto catastrófico que puedan tener estos dispositivos es el primer sello mundial de seguridad IoT, con acento español que lanzó ISMS Forum en 2017. En la actualidad, ENISA, la agencia de ciberseguridad de la UE, está trabajando en un esquema de certificación oficial para estos dispositivos.
En definitiva, esta es una nueva tecnología que requiere una manera diferente de enfrentarse a la protección tecnológica y que adolece de la atención exquisita a los detalles que realizan otros sistemas. Esto hace que herramientas solventes sean víctimas fáciles de ataques que de otra manera no conseguirían mellar la armadura cibernética.
