Riesgos de seguridad en IoT

El Internet de las Cosas (IoT) es una tecnología que está en pleno proceso de crecimiento exponencial, con innumerables casos de éxito y aplicaciones en diferentes sectores de actividad. Sin embargo, las compañías que están desplegando las crecientes e innovadoras soluciones que aporta, también corren riesgos de seguridad en IoT. 

 

Tendencias en el Internet de las Cosas

La tendencia de los últimos años ha ido hacia el uso cada vez más extendido de proveedores cloud que ofrecen servicios en la nube delegados y remotos.

De esta manera, el cliente no tiene que gestionar la infraestructura de hardware y software. También permite, que éste se enfoque en obtener valor para su negocio y se centre en la mejora de sus procesos de producción u operación.

En sectores industriales esta tendencia hacia el uso de servicios en la nube va acompañada de la implantación de soluciones de Edge Computing, cuyo enfoque es el de acercar la capacidad de almacenamiento y cómputo al lugar donde se están generando los datos: las fábricas y plantas industriales.

Por otra parte, el abaratamiento y miniaturización de los componentes electrónicos, la aparición de nuevas tecnologías y protocolos de comunicación y el desarrollo de dispositivos cada vez más inteligentes, entre otros motivos, ha hecho que la implantación de soluciones IoT experimente un crecimiento exponencial.

Este crecimiento se puede observar en oficinas, fábricas, almacenes y también en los hogares, donde aplicaciones como los altavoces con inteligencia artificial, los sistemas de iluminación automática o los termostatos inteligentes son conocidos por todos.

imagen de personas instalando dispositivo

La importancia de la seguridad en el Internet de las Cosas

Todas estas tendencias nos llevan hacia sistemas, infraestructuras y hogares cada vez más conectados y expuestos a Internet. Y esto, por un lado supone mejoras en los procesos de producción y en la calidad de vida y la seguridad de las personas.

Pero por otro, también aumenta el riesgo a implantar sistemas vulnerables y por tanto facilita los ataques por parte de ciberdelincuentes y espías industriales.

Centrándonos en sistemas y dispositivos IoT, la seguridad es probablemente el factor más importante a tener en cuenta a la hora de diseñar, construir y comercializar soluciones y dispositivos conectados.

La integración de estas tecnologías ha supuesto enormes ventajas en diferentes aspectos técnicos, económicos y sociales.

Sin embargo, no sirve de nada mejorar la maquinaria de fabricación o el sistema de monitorización de una planta industrial si esto aumenta el riesgo de ataques y la vulnerabilidad de los sistemas al exponerlos a Internet de manera insegura.

Por eso es tan importante diseñar cualquier sistema IoT teniendo siempre en cuenta las características de seguridad necesarias. Incluso,se debe garantizar la resistencia a cualquier ataque cibernético antes de llevar a cabo cualquier proyecto de diseño.

Riesgos más habituales al utilizar dispositivos IoT en entornos industriales o empresariales

El desarrollo e implantación de soluciones IoT en entornos industriales y empresariales conlleva ciertos riesgos, por lo que es necesario diseñar un plan de mitigación para minimizar la probabilidad de ataques y garantizar la seguridad.

Según la práctica cibernética de Deloitte Risk & Financial Advisory, los 10 principales peligros de IoT son los siguientes:

No tener un programa de seguridad y privacidad

Es imprescindible que cualquier proyecto de implantación de soluciones IoT empiece por una definición completa del programa de seguridad y las acciones que se van a tener que llevar a cabo.

Tanto al principio como durante todo el proyecto y en el mantenimiento posterior, una vez el producto esté en producción.

Falta de prioridad o dirección para impulsar la seguridad y la privacidad

En muchas ocasiones los proyectos IoT se impulsan desde departamentos o líneas de negocio de la compañía que no cuentan con el apoyo suficiente en términos de inversión en seguridad.

Esto puede llevar a cometer el error de invertir solo en la tecnología, dejando de lado el análisis y gestión de riesgos.

La seguridad no se incorpora al diseño de productos y ecosistemas

En ocasiones el diseño de las soluciones directamente no incluye la capa de seguridad que debería ser obligatoria, sea porque se necesita implementar en producción lo más rápido posible, por limitaciones presupuestarias o por cualquier otro motivo estratégico.

Insuficiente capacitación y concienciación sobre seguridad en ingenieros y arquitectos

Muchas compañías tienen problemas a la hora de encontrar profesionales capacitados para afrontar los proyectos con garantías en seguridad, o  no creen que necesiten a un experto en ciberseguridad para esto.

Esto hace que el riesgo a errores de diseño o implementación o la falta de conciencia ante posibles vulnerabilidades, aumente el riesgo a ataques.

Falta de recursos de privacidad y seguridad de productos IoT

Muchos proyectos de IoT incluyen una capa de seguridad, pero no lo suficientemente robusta o completa para garantizar su función de impedir, o al menos dificultar, los ciberataques.

Esto es debido normalmente al interés lógico en intentar abaratar costes y tiempos de implantación, dejando de lado la necesidad de gestionar niveles de seguridad adecuados.

Monitorización insuficiente de dispositivos y sistemas

Uno de los factores más importantes a la hora de implementar cualquier proyecto IoT es diseñar y mantener un buen sistema de monitorización.

Esto permite conocer el estado de cada dispositivo y componente en tiempo real, de manera que se pueda detectar al momento cualquier anomalía en el funcionamiento, pérdida de conexión o cualquier otro imprevisto. En muchas ocasiones este componente no se tiene en cuenta a la hora de diseñar el sistema.

Ausencia de mantenimiento post-comercialización / implementación

Muchas compañías caen en el error de pensar que los proyectos de implantación de soluciones IoT terminan en el momento en que se despliegan los dispositivos inteligentes y el sistema empieza a funcionar.

Hay que ser conscientes de la importancia del mantenimiento y la actualización de dichos dispositivos y de todo el sistema, para garantizar la seguridad.

Falta de visibilidad, inventario y control de los productos y dispositivos gestionados

Los proyectos IoT pueden involucrar flotas de miles o incluso millones de dispositivos conectados. Sin embargo, en estos casos es complejo gestionar el inventario completo y mantener el control y el mantenimiento al trabajar con un número de dispositivos tan elevado.

Es importante tener en cuenta que esto aumenta el riesgo de encontrar vulnerabilidades, que faciliten los ataques a través de dichos dispositivos

Falta de identificación y tratamiento de riesgos en los productos existentes y heredados

Una buena parte de los proyectos IoT en entornos industriales consiste en sensorizar infraestructuras ya existentes para obtener datos o funcionalidades que antes no existían.

Esto implica que buena parte de los dispositivos ya existían antes y se deben incluir en el diseño de la nueva solución, incluyendo las medidas de seguridad que haya que implementar para evitar puntos débiles en el sistema.

Procesos de respuesta a incidentes inexistentes o inmaduros

La falta de experiencia puede causar problemas, como no ser ágiles en la respuesta a ataques cibernéticos, o no darnos cuenta de que estamos siendo atacados hasta que es demasiado tarde.

imagen de una ingeniera trabajando

Cómo minimizar el riesgo a sufrir ataques

Finalmente, vamos a ver unas prácticas sencillas que debemos tener siempre presente para aplicarlas en cualquier proyecto profesional o en hogares inteligentes en los que vayamos a trabajar con dispositivos IoT; con el objetivo de implantar soluciones de forma segura y minimizar las amenazas de seguridad: 

  • Cambiar las credenciales de inicio de sesión predeterminadas de nuestros dispositivos IoT. Y también, utilizar contraseñas seguras y robustas siempre.
  • Actualizar su firmware a la última versión e instalar las actualizaciones de las aplicaciones de nuestros dispositivos IoT tan pronto como estén disponibles para maximizar la seguridad de los dispositivos.
  • Deshabilitar las características y funcionalidades que no deseemos utilizar y dejar activas solo las necesarias.
  • Aplicar una sólida segmentación de red para los dispositivos IoT conectados. De esta manera, solo los dispositivos que necesitan realmente conectividad permanecen conectados y se dispone de diferentes redes segmentadas para diferentes usos y niveles de seguridad. Por lo tanto, cada dispositivo IoT se conecta a una u otra dependiendo de sus necesidades y características.
  • Deshabilitar o proteger el acceso remoto a nuestros dispositivos IoT mientras que éste no sea necesario.
  • Mantener un sistema de monitorización y control de toda la flota de dispositivos. Esto permite proteger los dispositivos, sabiendo en tiempo real el estado de cada uno de ellos.

Si tenemos en cuenta los riesgos que hemos repasado y aplicamos las recomendaciones anteriores, estaremos minimizando en gran medida el riesgo a sufrir ataques. De esta manera, podremos implementar y mantener sistemas IoT robustos y fiables.

Es importante tener en cuenta que debemos estar siempre alerta, ya que los ciberdelincuentes están continuamente mejorando sus técnicas y tecnologías de ataque.

Aprende todo sobre esta tecnología disruptora

Daniel Garrote
CTO y Co-Founder en Fridom.id. Experto en Transformación Digital y Tecnologías Emergentes. Durante más de 15 años ha liderado los procesos de Transformación Digital y la integración de las últimas tecnologías en varias de las compañías más importantes a nivel nacional: Telefónica, BBVA, Ferrovial y Cepsa. Los últimos 4 años ha sido el responsable global de IoT y Tecnologías Emergentes en Cepsa, donde ha desarrollado la estrategía corporativa para la mejora y optimización de procesos mediante la integración de tecnologías como IoT, Blockchain, 3D Printing, Robótica, Drones y Realidad Virtual/Aumentada.