Los riesgos del Internet de las Cosas

En los últimos años, el concepto de Internet de las Cosas (IoT, por sus siglas en inglés) se ha vuelto un tema importante en todos los niveles de mercado, a pesar de no tener todavía una definición clara. Sería importante aclarar que, el concepto de esta tecnología se basa en incorporar objetos comunes – tales como televisiones, refrigeradores, automóviles, válvulas, antenas, etc. – a redes de internet. El problema es que, aun cuando a menudo se advierte sobre los posibles ciber-ataques y existe una preocupación por la existencia de hackers, es raro que se mencionen los riesgos asociados con el IoT.

IoT es una tecnología que surgió recientemente y fue adoptada rápidamente. Hoy en día, muchos dispositivos cuentan con tecnología que les permite incorporarse a sistemas operativos y conectarse al internet, ofreciendo así, una gama de nuevas posibilidades tanto para los consumidores como para los negocios. De esta manera, el buró de análisis Garner estima que para el año 2020 habrá alrededor de 26 miles de millones de dispositivos que formen parte del IoT, mientras que otros analistas estiman que la cifra será aún mayor.

Ahora, es verdad que, se puede hablar mucho sobre las opciones y posibilidades ofrecidas por el IoT, sin embargo, existen dos grandes problemas de seguridad que se relacionan con el uso de esta nueva tecnología.

El primero de estos problemas está vinculado a las vulnerabilidades inherentes de todo dispositivo que sea parte del IoT. Siendo el riesgo principal, que un tercero tome control del dispositivo en cuestión. Las consecuencias de esto dependen en gran medida del tipo de dispositivo que resulte víctima de un ataque, no obstante, se debe resaltar que, un atacante puede obtener acceso a una red por medio de un termostato y obtener las contraseñas e información personal de todos los individuos conectados a la red; o bien, tomar control de un automóvil en movimiento; o incluso, desconectar un marcapasos.

Este problema en particular surge debido a que los fabricantes aún no consideran prioritaria la seguridad de un dispositivo ante un ataque, lo cual se ve directamente reflejado tanto en un diseño que los deja vulnerables ante ataques físicos, así como al uso de protocolos y diseños de interface de usuario que no le dan importancia a la encriptación de información o incentivaban al usuario a fijar una contraseña.

En respuesta a la existencia de estas vulnerabilidades en aproximadamente el 70% de todos los dispositivos que forman parte del IoT, IBM publicó un reporte que, plantea algunas recomendaciones clave que deben ser consideradas para la reducción de riesgos asociados con IoT.

Por una parte, es relevante señalar que, los dispositivos funcionan en entornos hostiles, la seguridad de software se degrada con el paso del tiempo, por lo que los secretos compartidos no permanecen secretos, las configuraciones que son vulnerables permanecen vulnerables y con mayor acumulación de información se incrementa el riesgo de que se encuentren vulnerabilidades.

Por otra parte, aunque la implementación de estas recomendaciones en el diseño de dispositivos debería reducir el número de puntos vulnerables a un ataque, es verdad que hace poco por resolver el segundo riesgo grande que existe debido al IoT: las compañías que hacen uso de estos dispositivos no reconocen que es un riesgo.

Más aun, es de vital importancia que, los especialistas en ciberseguridad estén enterados de los puntos de vulnerabilidad que existen para así, disminuir el daño que un ciber-ataque puede ocasionar. Sin embargo, los fabricantes de dichos dispositivos no tienen un incentivo para permitir acceso a funciones básicas de seguridad. Por ejemplo, es difícil modificar la configuración de un refrigerador si este no tiene un teclado.

Finalmente, algo que es cierto es que, por el momento las funciones de seguridad para dispositivos IoT aún no están estandarizados y los fabricantes aún no tienen incentivo para incorporar estas funciones e incrementar sus precios. No obstante, ésta no es la primera vez que los riesgos en seguridad tardaron en ser reconocidos – ya que muchos de los protocolos vulnerables en las computadoras modernas existen por la misma razón –, por lo que se esperaría que conforme las compañías atribuyan sus pérdidas, en mayor medida, a las vulnerabilidades en sus sistemas de IoT, la demanda por dispositivos más seguros incrementará.