El Internet de las Cosas (IoT, por sus siglas en inglés) promete traer muchos beneficios a nuestras vidas, pero también está creando una pesadilla de seguridad para la cual pocos están preparados. Ya han comenzado las historias de terror: monitores de bebés transmitiendo en vivo a través de internet para que todos lo vean, osos de peluche inteligentes que pueden ser secuestrados y automóviles que permiten a los hackers tomar el control de los sistemas de forma remota. Incluso se ha llegado a interrumpir la red eléctrica al acceder a los sistemas de control industrial. El IoT traerá grandes beneficios tanto para las empresas como para los consumidores, pero también está creando una pesadilla de seguridad. “No hay ninguna categoría de dispositivos que no haya sido hackeada en cierta medida: estamos hablando desde bombillas hasta centrales nucleares. Tan pronto como conectas algo a internet, es vulnerable y se convierte en un objetivo”, dice Duncan Brown, director de investigación de la firma de análisis IDC.
A medida que los sensores y la conectividad se han vuelto más baratos, se ha vuelto más viable agregarlos a una amplia gama de dispositivos. Por lo tanto, los “objetos” en el IoT pueden ir desde bienes de consumo como monitores de bebés, termostatos y automóviles, hasta sistemas industriales. Hay muchas razones para conectar estos dispositivos a internet: un termostato conectado te permite calentar la casa antes de llegar a casa, mientras que una fábrica podría reducir el tiempo de inactividad si los sensores advierten que una máquina crítica está a punto de sobrecalentarse. Se estima que habrá 6.4 mil millones de dispositivos conectados en uso en todo el mundo en 2016, con más de cinco millones de nuevos dispositivos agregados cada día. Ese número podría llegar a 20 mil millones (o incluso 40 o 50 mil millones, dependiendo de a quién le preguntes) para 2020. Pero al conectarlos también se introducen nuevos riesgos.
Para los consumidores, existe el riesgo de privacidad, ya que estos dispositivos registrarán grandes cantidades de datos sobre sus vidas diarias que podrían ser utilizados para crear un retrato íntimo de su existencia. Para las empresas, cada uno de estos nuevos dispositivos es una puerta de entrada potencial para que los hackers exploten su red y potencialmente les permitan acceder no solo a datos, sino también a los controles de sistemas físicos donde podrían causar daños reales. Recientemente, el Director de Inteligencia Nacional de Estados Unidos, James Clapper, advirtió sobre los riesgos del IoT para la privacidad de los datos, la integridad de los datos o la continuidad del servicio y dijo: “Los dispositivos, diseñados y desplegados con requisitos y pruebas de seguridad mínimos, y una creciente complejidad de las redes, podrían llevar a vulnerabilidades generalizadas en las infraestructuras civiles y los sistemas del gobierno de Estados Unidos”.
Y para empeorar el problema, hasta ahora la seguridad no se ha considerado como una consideración clave para muchos de estos dispositivos. Considera la dificultad que tienen las organizaciones para mantener segura su propia infraestructura de TI contra ataques. Ahora imagina esa red 100 o 1,000 veces más grande, formada por dispositivos que nunca verán, tocarán o poseerán, recopilando datos increíblemente sensibles. Todo esto ha preocupado a los profesionales de la seguridad, ya que el IoT ofrece una nueva área de superficie para que intenten defender, con muchas oportunidades para que los hackers causen problemas, un campo de seguridad que es tanto físico como digital.
Parte de la razón de esta pesadilla de seguridad se debe a las dos formas en que el IoT ha evolucionado. Por un lado, están las categorías completamente nuevas de dispositivos, como los del hogar inteligente o las ciudades conectadas, donde hay un desfase entre la innovación y la seguridad: los nuevos productos se construyen para probar una idea y la seguridad pasa a un segundo plano. La otra forma en que el IoT está surgiendo es mediante la conexión de sistemas existentes, como las líneas de producción de fábricas. Estos sistemas pueden haber sido diseñados incluso antes de que existiera internet, por lo que el acceso remoto seguro nunca se consideró un problema, lo que resulta en un “problema de adaptación”, según Brown.
Algunos problemas de seguridad del IoT son los mismos que enfrenta la infraestructura de TI existente, mientras que otros son nuevos. Los hackers externos y problemas tradicionales como el robo de datos siguen siendo la mayor preocupación de seguridad, pero el IoT también introducirá nuevas amenazas: el surgimiento de un mercado negro que venderá datos de sensores falsos, por ejemplo, o bandas que amenazan con ataques de denegación de servicio contra redes de IoT, o incluso ataques de “denegación de sueño” donde los hackers agotan las baterías de los dispositivos al no permitirles apagarse. Los dispositivos del IoT potencialmente dan a los hackers acceso a sistemas increíblemente sensibles, tanto grandes como pequeños (desde centrales eléctricas hasta marcapasos). Problemas menos dramáticos pero igualmente serios relacionados con la privacidad significan que las organizaciones deben tener en cuenta las implicaciones de seguridad en constante cambio y comenzar a abordarlas.
Todo esto significa que las organizaciones necesitan adoptar un nuevo enfoque de seguridad. “El IoT no es una disciplina de seguridad por sí misma. La seguridad del IoT se basa en los principios de seguridad en las instalaciones y en la nube, y los extiende a un nuevo nivel de análisis de datos, complejidad de dispositivos e interacción humana”, señala el informe de Forrester “Secure IoT As It Advances Through Maturity Phases”. Forrester agrega: “Una gama más amplia de tecnologías que funcionan en un entorno menos controlado conducirá al mayor nivel de complejidad de seguridad que hayamos visto. La heterogeneidad de los subsistemas utilizados para construir el ecosistema del IoT es una pesadilla de seguridad para los desarrolladores y presentará vastos riesgos de seguridad de software y hardware en las cadenas de suministro empresariales”.
El tipo de dispositivo inteligente determinará el nivel de riesgo: una bombilla inteligente que se puede encender de forma remota plantea menos amenazas para la privacidad o la protección de datos que un sistema de automatización del hogar (que podría bloquear o desbloquear tu puerta principal) o un automóvil autónomo que podría ser desviado de la carretera. De hecho, a medida que los dispositivos se vuelven más autónomos, es probable que el nivel de riesgo aumente. “Las preocupaciones de seguridad en el dominio puramente digital comenzarán a tener preocupaciones reales de seguridad y protección física en el mundo real, lo que elevará el nivel mínimo de seguridad requerido. Cuando la vida humana está en riesgo, la calidad de la garantía necesaria se dispara”, advierte Forrester.
La mayoría de las empresas ya están luchando por gestionar la seguridad de su infraestructura existente: agregar el IoT a esto puede crear desafíos imposibles a menos que cambien su enfoque, como señala Forrester: “Las herramientas y técnicas necesarias para el bloqueo, la cuarentena, la investigación forense, las retenciones legales y la recuperación simplemente no pueden manejar estas demandas futuras”. Esto dejará a los profesionales de TI empresarial en una posición difícil.
Como sucede con frecuencia en la TI moderna, es probable que la nube sea la salvadora aquí. Los proveedores de infraestructura como servicio probablemente comenzarán a ofrecer servicios de gestión de dispositivos IoT. Por ejemplo, Microsoft Azure IoT Hub ya permite a las organizaciones configurar identidades y credenciales individuales para dispositivos conectados y revocarlos “para mantener la integridad de su sistema”. A medida que el IoT avance, estos servicios deberán lidiar con cientos de millones de dispositivos. Asegurar los datos en tránsito desde el borde de la red también será esencial. El cifrado debería ayudar a garantizar la privacidad y la integridad de los datos, pero las organizaciones también necesitarán la capacidad de detectar cuándo estos dispositivos remotos podrían ser utilizados como medios para atacar su red principal. Nuevamente, es poco probable que esto se implemente como algo que no sea un servicio en la nube. “Los adversarios no se centrarán exclusivamente en dispositivos individuales; el objetivo final serán los repositorios de datos del IoT”, señaló Forrester.
El IoT requerirá la capacidad de segmentar la red corporativa y asumir que muchos de los dispositivos conectados a ella son, en el mejor de los casos, vulnerables y, en el peor de los casos, un riesgo de seguridad real. Según Gartner, los servicios de descubrimiento, aprovisionamiento y autenticación también representarán una parte significativa del gasto en seguridad del IoT. Pero estos servicios tardarán años en madurar; podría ser casi al final de la década antes de que funcionen a gran escala y con el nivel de eficiencia requerido.
No todos los problemas de seguridad del IoT serán resueltos solo por las empresas. Algunos de ellos dependerán de la aparición de estándares en industrias particulares: los estándares de seguridad para el hogar inteligente serán diferentes a los estándares para la infraestructura nacional crítica, que a su vez serán diferentes a los utilizados en la industria automotriz, y todos se desarrollarán a diferentes ritmos, según Brown de IDC. Y los propios dispositivos también tendrán que mejorar. “Si los fabricantes no se mueven rápidamente, habrá hacks realmente horribles”, dice Brown. “Si les pides a las personas que instalen antivirus en sus televisores, esa es simplemente la solución equivocada para ese problema. La industria llegará allí, pero llevará mucho tiempo construir la seguridad desde el diseño”. Mientras tanto, espera que la seguridad del IoT, o más bien la falta de ella, siga siendo noticia durante los próximos años al menos, concluye Brown. “En cinco años estaremos en un lugar mejor, pero será un camino accidentado”.
