Riesgos de seguridad de las «cosas» conectadas a Internet (IoT)

¿Qué es IoT?

Internet de las Cosas (IoT, por sus siglas en inglés) refiere a los objetos de uso diario que envían y reciben datos automáticamente a través de Internet.

Este conjunto de «cosas» incluye chips que sirven como etiquetas para rastrear objetos automáticamente, sensores, máquinas y dispositivos de todo tipo que interactúan con las personas, entre ellos y con servicios de empresas en distintos países.

La consultora Gartner estima que este año llegaremos a tener 9.000.000.000 (nueve mil millones) de «cosas» conectadas a Internet. Un tercio de ellas serán usadas por empresas, y el resto por hogares y gobiernos para administrar los espacios públicos.

¿Por qué importa la seguridad de IoT?

Los automóviles, electrodomésticos, dispositivos «vestibles» (como relojes), artefactos de iluminación, sistemas control de seguridad y condiciones ambientales del hogar, y dispositivos para el cuidado de la salud, dependen de su conexión a Internet, pueden comunicarse con otras máquinas y desencadenar acciones en el mundo físico.

Están en todas partes: incluyen dispositivos que dirigen su automóvil a un lugar abierto en un estacionamiento, mecanismos que optimizan el uso de la energía en el hogar, sistemas de control que entregan agua y energía a oficinas y fábricas, dispositivos que le ayudan a mejorar sus hábitos de alimentación, sueño y ejercicio, e incluso controlan la vida de animales y cultivos en el campo.

Proporcionan comodidad y practicidad, pero requieren que compartamos más información que nunca, aunque la seguridad de esta información y la seguridad de estos dispositivos no están garantizadas… sobre todo en los más económicos.

Es importante recordar que el precio de los dispositivos electrónicos no sólo depende de los elementos físicos que los componen, sino también de su software. Para lograr precios más competitivos, algunas empresas usan software de menor calidad, menos seguro, y dejan sin solucionar problemas de seguridad conocidos. Nada es barato porque sí.

¿Cuáles son los riesgos?

Aunque muchos riesgos no son nuevos, la enorme escala de interconexión de estas «cosas» aumenta las posibles consecuencias de los riesgos conocidos y crea otros riesgos nuevos.

Los atacantes aprovechan esta escala para infectar miles de dispositivos a la vez (la red zombi Mirai controlaba 500.000 hackeados), lo que les permite acceder a los datos en esos dispositivos, usar sus capacidades de cómputo, atacar a otras computadoras o dispositivos, o incluso provocar daños directos a las personas. Conozca algunos ejemplos:

  • Automóviles corrientes pueden acelerar o frenar, apagarse o activar las bolsas de aire sin aviso provocando un accidente o heridas a usted o a terceros.
  • Cámaras de vigilancia, de computadoras, de teléfonos y televisores inteligentes, pueden ser controladas para tomar fotografías y grabar videos sin que lo sepa.
    ¿Cómo se sentiría si se publicaran fotos comprometedoras suyas o de algún miembro de su familia? ¿Cómo le afectaría en su trabajo o en los lugares de estudio de sus hijos?
  • Teléfonos y relojes inteligentes puede dar información sobre los lugares que visita y sobre sus hábitos de salud (horas de sueño, niveles de estrés, peso, actividad física) y condiciones médicas (como nivel de azúcar en la sangre).
    Si fuera hecha pública o usada por personas o empresas inescrupulosas, podría afectar sus vínculos personales y hasta sus posibilidades de acceder a préstamos, seguros o ciertos puestos de trabajo.
  • Controles de temperatura y humedad conectados a Internet pueden ser manipulados para obligarle a evacuar ciertos ambientes, para consumir mucha más electricidad de la necesaria y afectar su economía, o para hacer que sus equipos de aire acondicionado o calefacción se dañen de forma irreparable.
  • Equipos médicos conectados a Internet para enviar datos a su médico y ser supervisados por sus fabricantes, pueden ser controlados para dar resultados erróneos o administrarle dosis mortales.
  • Impresoras y fotocopiadoras tienen microcomputadoras que almacenan todo lo que procesan. Tomando control de ellas puede conocerse información de todo tipo: registros médicos, secretos comerciales, datos de seguridad pública.
  • La capacidad combinada de estas microcomputadoras y sus conexiones a Internet, sumadas, equivale a la de las más modernas supercomputadoras.
    Atacantes con acceso a ellas pueden usarlas gratis para enviar spam, descifrar contraseñas, tomar control de sistemas informáticos públicos (como redes eléctricas, señales de tránsito y aeropuertos), tornar inaccesibles sitios o servicios web, o hasta hacer dinero (con la minería de criptomonedas), y todo sería pagado por usted.

¿Estos escenarios le parecen de ciencia ficción?
De todos estos ejemplos ya existen casos reales, algunos creados por investigadores y otros ejecutados por gobiernos y organizaciones delictivas.

¿Cómo asegurar y proteger los dispositivos conectados a Internet?

Evalúe su configuración de seguridad

La mayoría de los dispositivos ofrecen una variedad de características que puede personalizar. Habilitar ciertas funciones por comodidad o para ganar funcionalidades que quizás usemos en el futuro puede dejarle más vulnerable, por lo que conviene tomarse un tiempo para conocerlas (aunque sea sólo la primera vez que instala un equipo).

Es importante examinar la configuración con tiempo, especialmente la de seguridad, y habilitar sólo las opciones mínimas que satisfagan sus necesidades reales y actuales.

Asegúrese de tener software actualizado

Ningún software es creado perfecto. Cuando los fabricantes se dan cuenta de vulnerabilidades en sus productos, crean parches (actualizaciones del software de su dispositivo, normalmente llamado «firmware») para solucionar los problemas.

Asegúrese de aplicar los parches relevantes tan pronto como sea posible para proteger sus dispositivos. Tener software actualizado es la mejor forma de proteger su red.

Conéctelos sólo cuando sea necesario

Una vez que su dispositivo está conectado a Internet, está conectado a millones de computadoras de todo el mundo, lo que podría permitir a atacantes acceder y controlarlo.

Evalúe si se necesita dejarlos conectados a Internet las 24 horas. Si no, apáguelos o desconéctelos, o configure su firewall para impedir que establezcan conexiones fuera de su red.

Si los apaga (muchos pueden programarse para encenderse y apagarse en determinadas horas y días), como beneficio adicional ahorrará energía.

Use contraseñas seguras

Las contraseñas suelen ser la única barrera entre usted y su información personal o empresarial. Como mínimo, no use siempre las mismas y use un gestor de contraseñas para poder hacerlas complejas sin tener que recordarlas.

Además, algunos dispositivos de redes están configurados con contraseñas predeterminadas para simplificar su configuración inicial, por lo que son fáciles de encontrar en Internet y no ofrecen ninguna protección. Cámbie las contraseñas predeterminadas tan pronto como le sea posible para ayudar a protegerlos.

Último pero no menos importante: asesórese con especialistas

Cuando no sabemos cómo reparar una pérdida de agua llamamos sin dudarlo al plomero; para la instalación eléctrica, al electricista. Por más que folletos y personal de ventas hagan que parezca sencillo administrar y asegurar los dispositivos de alta tecnología, no siempre es así.

Si no sabe cómo hacerlo, no cuenta con el tiempo necesario, tiene dudas o tan sólo quiere una revisión externa (puntual o periódica), siempre recurra a especialistas con experiencia probada. Será una inversión que, como un seguro, puede ahorrarle muchos dolores de cabeza.

Los servicios de mantenimiento y optimización de redes para empresas de idearius comprenden estas previsiones.
Prevenga y repare vulnerabilidades o ataques en su red.

Contáctenos hoy mismo

Basado en datos del Centro Nacional de Integración de Ciberseguridad y Comunicaciones de los Estados Unidos de América, Gartner y Computerworld.

1 comentario en “Riesgos de seguridad de las «cosas» conectadas a Internet (IoT)”

  1. Noe Moreno Rodríguez

    Cómo podría saber qué tan involucrado estoy al no saber que te dan un dispositivo con un software tan peligroso y solo con la intención de provocarte serios problemas no solo con la familia sino con el mundo entero.

    Yo si hice algo indebido fue sin intención de dañar a nadie solo estaba tratando de denunciar a personas que estaban haciendo fraude con la venta de mi casa y por no saber hablar inglés lo quise hacer mandando reportes de fraude en línea sin darme cuenta de todo lo que estaba provocando…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *