Gracias a los ataques del botnet Mirai, pocas personas en el mundo de la tecnología necesitan un recordatorio de que los dispositivos IoT siguen siendo una amenaza seria para las redes empresariales. Sin embargo, más de un año después de que el botnet hiciera titulares en todo el mundo, la seguridad del IoT sigue siendo en su mayoría una idea, en lugar de una realidad.

Tal es el alcance del problema que Dilip Sarangan, director de investigación de IoT de Frost and Sullivan, argumenta a favor de la intervención gubernamental. Sarangan dice que, debido a que la responsabilidad de la seguridad del IoT se encuentra dispersa entre fabricantes de dispositivos, proveedores de redes, desarrolladores de software y muchos otros, es difícil para la industria avanzar en estándares abarcadores. “La única entidad que tiene la capacidad de dictar cuál es el umbral mínimo, desafortunadamente, es el gobierno de los Estados Unidos”, dijo.

La dificultad para crear estándares generales tiene que ver principalmente con el hecho de que cualquier implementación de IoT tiene una gran cantidad de componentes móviles, cada uno de los cuales puede ser administrado por diferentes organizaciones, o incluso por terceros. Por ejemplo, un conjunto de dispositivos médicos proporcionados por la compañía A que se conecta a una red proporcionada por la compañía B, ejecutando una aplicación originalmente escrita por la compañía C y alojada en la nube de la compañía D. “Todos hablan de proporcionar seguridad de extremo a extremo, y en realidad no hay forma de hacerlo”, dijo Sarangan. “No tienes control sobre muchas partes de una solución de IoT”.

Desde el lado de la red, Sarangan dijo que hay ventajas y desventajas en la mayoría de las opciones disponibles para cualquier implementación de IoT. Las redes celulares, por ejemplo, tienden a ser mucho más seguras que Wi-Fi, ZigBee u otras opciones de área amplia, pero es probable que una empresa tenga una visibilidad mucho más limitada de lo que está sucediendo en esa red. Eso, en sí mismo, puede ser un problema de seguridad, y es imperativo que los proveedores de servicios ofrezcan características de gestión de dispositivos más robustas en el futuro. “Qué tipo de dispositivo es, qué tipo de información se supone que debe enviar, dónde se supone que debe enviar los datos, qué se supone que debes hacer con esos datos, hasta que sepas todo eso, es difícil estar completamente seguro”, dijo Sarangan.

La mejora de la visibilidad de la red es clave para prevenir escenarios catastróficos como actores maliciosos que acceden a las redes eléctricas y la infraestructura de Internet, pero también lo son medidas de sentido común como los espacios aéreos. “Los hackeos están ocurriendo, pero los hackeos no han sido lo suficientemente significativos como para preocuparse”, dijo. “El otro lado es que mucha infraestructura crítica, digamos una red inteligente, está en redes privadas”.

La falta de control de calidad y la presencia de una gran cantidad de dispositivos muy antiguos en las redes de IoT podrían ser las amenazas de seguridad más críticas, sin embargo. El hardware de décadas de antigüedad, que puede no haber sido diseñado para estar conectado a Internet en primer lugar, y mucho menos para enfrentar las amenazas de seguridad modernas, crea un problema grave. “Ya hay más de 10 mil millones de dispositivos IoT en el mundo … y muchos de estos dispositivos fueron creados en 1992”, señaló Sarangan. Además, la gran cantidad de empresas que fabrican hardware habilitado para IoT plantea un problema potencialmente grave en lo que respecta al control de calidad. Grandes empresas como Amazon, Microsoft y Google hacen titulares por sus dispositivos inteligentes para el hogar, pero el mundo del IoT es mucho más amplio que eso. China, en particular, es una fuente importante de dispositivos IoT de gama baja, como altavoces, rastreadores, refrigeradores, candados para bicicletas, etc., y no solo Huawei y Xiaomi proporcionan el hardware.

En resumen, la seguridad del IoT sigue siendo un desafío importante debido a la falta de estándares generales, la dificultad para controlar todos los componentes de una solución de IoT y la presencia de dispositivos antiguos y de baja calidad en las redes de IoT. Es necesario que haya una intervención gubernamental para establecer un umbral mínimo de seguridad y mejorar la visibilidad de la red. Además, se debe prestar atención a la calidad del hardware y a la diversidad de empresas que fabrican dispositivos IoT.