Imagina un futuro en el que los ataques a la infraestructura de IoT puedan provocar cortes de suministro eléctrico en ciudades enteras, manipular el proceso de fabricación en una fábrica, detener un Tesla en medio de la autopista, desbordar tanques en una plataforma petrolera, apagar un ventilador en una unidad de cuidados intensivos o incluso manipular implantes cardíacos. Aunque este sea un futuro que nadie desea, ya hay señales de ataques a dispositivos de IoT de gran envergadura.
Tomemos, por ejemplo, el caso de hace unos meses, cuando 500,000 dispositivos de IoT, como cámaras de video y grabadoras de video digitales conectadas a Internet, fueron comprometidos por el malware ‘Mirai’ para crear una enorme red de botnets que piratearon los servidores de DYN, un proveedor de servicios web, lo que resultó en la interrupción de los servicios de sitios populares como Twitter, Netflix y Amazon. Además, un estudio de HP Labs sobre 10 dispositivos de IoT populares (termostato, abridor de puertas de garaje, cerradura inteligente, etc.) encontró un promedio de 25 vulnerabilidades en cada dispositivo. El informe incluso señaló que el 70% de estos dispositivos son vulnerables.
La mayoría de estos dispositivos son de tipo “enchufar y usar”, se venden y se olvidan. Los recolectores de botnets identifican vulnerabilidades en el firmware y proceden a localizar y explotar todos los dispositivos que utilizan el mismo firmware. Con empresas de análisis como Gartner que predicen la disponibilidad de 20.8 mil millones de dispositivos conectados para el año 2020, la ciberseguridad se vuelve extremadamente crítica para los dispositivos de IoT en los ámbitos de consumo y empresarial.
Teniendo en cuenta lo grande que se va a volver el mercado de IoT, tanto los proveedores heredados como las nuevas empresas han sido optimistas en la creación de dispositivos y soluciones de IoT seguros. Arti Anant Pande, Tecnóloga Principal de Diseño de Software y Consultoría de la empresa ThoughtWorks, habla sobre su radar tecnológico, que anima a los equipos a incorporar pruebas de penetración en su canal de entrega continua y a considerar la modelización de amenazas para comprender mejor sus necesidades de seguridad. El radar también aconseja a los equipos que eviten los anti-patrones que probablemente les darán una falsa sensación de seguridad. Están explorando soluciones híbridas, escalables y prácticas que puedan manejar los requisitos de seguridad de los dispositivos de IoT a lo largo de su vida útil, lo cual será útil cuando la mayoría de estos dispositivos sean propiedad de usuarios finales con habilidades técnicas nulas o moderadas.
Manish Gupta, Director y Gerente General del Grupo de Soluciones de Infraestructura de Dell EMC, señala que antes de implementar un dispositivo o solución de IoT en el cliente final, revisan la seguridad del cliente final y fortalecen sus prácticas de seguridad y gestión de TI para prepararse para un mayor riesgo. A continuación, establecen y defienden la integridad funcional en el borde con componentes arquitectónicos más inteligentes, como una puerta de enlace y un cortafuegos de IoT, para protegerse de los riesgos de dispositivos conectados menos capaces y equipos heredados. Incluso el proveedor heredado, Microsoft, tiene un sistema operativo Windows 10 IoT para dispositivos en los puntos finales, que permite la recopilación y transmisión de datos en tiempo real, pero evita los ataques de botnets de IoT a nivel de software. Peter Gartenberg, Gerente General de la División de Empresas y Socios de Microsoft India, dice: “Aseguramos el dispositivo de IoT mientras se despliega en el mundo real mediante la habilitación de la provisión y autenticación a nivel de dispositivo, y al mismo tiempo nos aseguramos de que todos los datos transmitidos entre el dispositivo de IoT y el centro de IoT sean confidenciales e inalterables, facilitando un canal seguro y encriptado para la comunicación de datos entre el dispositivo y la nube”.
Incluso Tata Communications, una empresa de tecnologías de comunicación empresarial, en sus centros de operaciones de seguridad, cuenta con un equipo de ingenieros especializados que monitorean los ataques cerca de la botnet y el mapa de calor de los ataques de denegación de servicio distribuido (DDoS). “El ataque se divide en partes manejables en lugar de abordarlo cuando ha ganado demasiado impulso, especialmente cuando se trata de implementaciones de IoT y la adición de más dispositivos habilitados para IP a las redes. Consideramos la seguridad a nivel de dispositivo y aplicación, así como para la red”, dice VS Shridhar, Vicepresidente Senior y Jefe de Internet de las Cosas de Tata Communications.
Además, NetApp, que ayuda a las empresas a gestionar y asegurar información de dispositivos conectados en plataformas de almacenamiento, aborda los problemas de seguridad asegurando los datos a nivel de punto final del dispositivo. Deepak Visweswaraiah, Vicepresidente y Director General de NetApp India, explica su uso de la estrategia de Data Fabric para permitir a las empresas procesar grandes volúmenes de datos de una variedad de fuentes de IoT con visibilidad y rendimiento rápido. El Data Fabric de NetApp recopila, analiza y asegura los datos, y ayuda a reducir el tiempo entre la compromisión de los datos y el descubrimiento de la brecha, para que los datos no sean robados o destruidos por los atacantes.
En resumen, la seguridad en los dispositivos de IoT es de vital importancia para evitar ataques y proteger la integridad de los sistemas. Tanto los proveedores heredados como las nuevas empresas están trabajando en soluciones seguras y prácticas para garantizar la protección de los dispositivos de IoT a lo largo de su vida útil. Con el crecimiento exponencial del mercado de IoT, es fundamental que los usuarios finales también sean conscientes de la importancia de la seguridad y tomen medidas para proteger sus dispositivos y datos.
