El Internet de las Cosas (IoT) está lleno de desafíos de seguridad. Los ciberdelincuentes lo saben y a menudo han sido más rápidos para aprovechar las vulnerabilidades que nosotros para solucionarlas. Es alarmante que, según el Informe del Paisaje de Amenazas de Fortinet para el segundo trimestre de 2017, el 90% de las organizaciones registraron ataques dirigidos a vulnerabilidades de sistemas y dispositivos que tenían al menos tres años de antigüedad, a pesar de que las actualizaciones y parches llevaban mucho tiempo disponibles. Incluso más preocupante es que el 60% de las organizaciones informaron ataques dirigidos a vulnerabilidades que tenían 10 o más años de antigüedad. Hoy en día, los miles de millones de dispositivos IoT en línea presentan un desafío aún mayor porque generalmente no reciben el mismo nivel de control, visibilidad y protección que los sistemas tradicionales. Junto con los ataques basados en la automatización, el potencial de daño es aún mayor.

El malware Mirai de 2016 fue el primer botnet IoT que llevó a un ataque de denegación de servicio distribuido sin precedentes. Y este año nos trajo nuevas generaciones de ataques basados en IoT, como Hajime y Poison Ivy, que tienen múltiples herramientas incorporadas. Mirai tuvo éxito, pero no fue diseñado para ser inteligente. Hajime es más robusto porque es automatizado. Se propaga automáticamente como un ransomworm y es difícil de detener. Aún más alarmante es que Hajime es un ataque multivector que puede dirigirse a diferentes sistemas operativos y admite múltiples cargas útiles y binarios, lo que lo hace multiplataforma. Hajime también elimina las reglas del firewall que permiten que el dispositivo se comunique con el proveedor de servicios de Internet. En el peor de los casos, un ataque podría hacer que millones de dispositivos se apaguen.

Mirai fue una llamada de atención para la ciberseguridad del IoT. Todos sabíamos que el IoT era inseguro, y este botnet proporcionó un ejemplo real y evidente. Como resultado, individuos, organizaciones y organismos reguladores se motivaron para acelerar el proceso de responsabilizar a los fabricantes de IoT por sus productos. En enero de 2017, la Comisión Federal de Comercio dio un paso audaz al presentar una demanda contra un fabricante de IoT. La demanda alega que un fabricante global de equipos de redes informáticas y otros dispositivos conectados “hizo afirmaciones engañosas sobre la seguridad de sus productos y se involucró en prácticas injustas que pusieron en riesgo la privacidad de los consumidores”. Mientras tanto, el Departamento de Comercio de los Estados Unidos, a través de su Administración Nacional de Telecomunicaciones e Información, ha reunido un grupo de trabajo para desarrollar orientación para los fabricantes de dispositivos IoT con el fin de informar mejor a los consumidores sobre las actualizaciones de seguridad. Este grupo de trabajo ha propuesto “elementos clave” que los fabricantes deben considerar comunicar a los consumidores para ayudarles a tomar decisiones de compra y uso mejor informadas. Estos elementos clave incluyen si un dispositivo puede recibir actualizaciones de seguridad, cómo las recibirá y cuándo finalizará el soporte para el dispositivo. Más recientemente, se presentó en el Senado de los Estados Unidos la Ley de Ciberseguridad del Internet de las Cosas de 2017, como un esfuerzo para establecer protocolos estándar de la industria y exigir a los fabricantes de IoT que revelen y actualicen las vulnerabilidades. Las actualizaciones de seguridad y los estándares son solo un aspecto de imponer la ciberseguridad del IoT y la responsabilidad del fabricante, pero son un buen comienzo. Estos desarrollos son una señal positiva de que la industria y quienes la regulan se toman en serio la creación de un entorno de responsabilidad.

Muchos CSOs me preguntan: “Si pudieras darme un consejo sobre la seguridad del IoT, ¿cuál sería?” La respuesta es: “Conoce tus activos digitales”. Debes obtener visibilidad antes de implementar la protección, porque no puedes proteger lo que no puedes ver. Cada organización necesita un inventario constantemente actualizado de los activos en su red, incluidos los servicios. El análisis de riesgos y el desarrollo de la seguridad se basan en la respuesta a la pregunta: “Si esos datos o servicios dejaran de estar disponibles, ¿cuánto costaría en ingresos y daño a la marca?”. Con eso en mente, aquí hay cuatro recomendaciones para abordar los desafíos de seguridad del IoT:

1. Implementar actualizaciones de seguridad y parches regularmente.
2. Establecer contraseñas fuertes y únicas para todos los dispositivos IoT.
3. Utilizar soluciones de seguridad de red para monitorear y detectar posibles amenazas.
4. Educar a los empleados sobre las mejores prácticas de seguridad y concienciar sobre los riesgos del IoT.

La seguridad del IoT es un desafío constante, pero al seguir estas mejores prácticas, su organización estará mejor preparada para protegerse contra las amenazas cibernéticas. Recuerde, la responsabilidad de la seguridad del IoT recae tanto en los fabricantes como en los usuarios finales. Juntos, podemos crear un entorno más seguro y confiable para el Internet de las Cosas.