En la era de la Internet de las cosas (IoT), el mundo está más conectado que nunca. La transformación de IoT ha llevado a un rápido crecimiento en la cantidad de dispositivos conectados. Según las previsiones de ZK Research, para finales de 2023 habrá 80 mil millones de puntos finales conectados. Sin embargo, este aumento en la conectividad también conlleva nuevos riesgos de seguridad para las empresas.

El término “Shadow IT” se utiliza para describir una situación en la que los trabajadores compran productos de tecnología de la información y los utilizan en el lugar de trabajo. Shadow IT se asocia principalmente con servicios en la nube, como compartir archivos, herramientas de colaboración y otras aplicaciones en las que el trabajador ha elegido un producto que prefiere en lugar del estándar de la empresa, o tal vez no hay una alternativa corporativa. Ahora, surge otro “shadow” en el mundo empresarial: Shadow IoT. Se refiere al uso de dispositivos conectados, a menudo llamados “Internet de las cosas” o IoT, en el lugar de trabajo.

Las empresas se enfrentan a nuevos desafíos de seguridad debido a la falta de control sobre estos dispositivos en comparación con los puntos finales tradicionales. Cada vez más, se están implementando dispositivos de Shadow IoT no autorizados, incluso aquellos orientados a consumidores, como dispositivos Alexa, Teslas y bicicletas Peloton, en las empresas. Un informe reciente de la empresa de seguridad informática Ordr Inc. encontró una multitud de vulnerabilidades y riesgos derivados de los dispositivos conectados.

La compañía de ciberseguridad IoT compiló un análisis de más de 5 millones de dispositivos no gestionados, IoT y “Internet de las cosas médicas” o IoMT en implementaciones de Ordr entre junio de 2019 y junio de 2020. El informe “Rise of the Machines: Enterprise Of Things Adoption and Risk” encontró que el 20% de las empresas con implementaciones de IoT tienen violaciones de cumplimiento de la industria de tarjetas de pago y de la red de área local virtual o VLAN. Ordr identificó implementaciones en las que los dispositivos de IoT minorista utilizaban la misma subred que las tabletas, impresoras y dispositivos de seguridad física. Aún más sorprendente, el 75% de las implementaciones tenían violaciones de VLAN y, en algunos casos, las redes compartían conexiones con varios lectores de tarjetas USB y otros dispositivos.

La industria de la salud parece ser la más afectada por Shadow IoT. Al examinar las organizaciones de salud, Ordr descubrió implementaciones en las que los dispositivos médicos estaban en la misma VLAN que los dispositivos de IoT no médicos. La gran mayoría (95%) de las implementaciones de salud tenían dispositivos Amazon Alexa y Echo activos en su entorno en conjunto con equipos de vigilancia hospitalaria. Las organizaciones de salud podrían estar violando las leyes de privacidad de HIPAA, ya que los asistentes de voz pueden escuchar conversaciones y grabarlas sin que las personas lo sepan.

En resumen, el auge de Shadow IoT plantea nuevos desafíos de seguridad para las empresas. Es fundamental que las organizaciones implementen medidas de seguridad adecuadas para protegerse contra las vulnerabilidades y riesgos asociados con los dispositivos de IoT no autorizados. La conciencia y la educación sobre los peligros de Shadow IoT son esenciales para garantizar la protección de los datos y la privacidad en el entorno empresarial.