La tendencia hacia el IoT no muestra signos de amainar. De hecho, se espera que el gasto global alcance los 1,2 trillones de dólares en 2022 según IDC, con una tasa de crecimiento anual compuesto (CAGR) del 13,6%. No solo emerge de las smart cities, sino que alcanza una masa crítica de base amplia, transversal a múltiples sectores.
Como dice Carrie MacGillivray, VP de Internet of Things & Mobility en IDC, "el mercado del IoT se encuentra en un punto de inflexión; los proyectos están pasando de prueba de concepto a despliegues comerciales. Las empresas buscan extender sus inversiones a medida que escalan sus proyectos, impulsando el gasto en el hardware, el software, los servicios y la conectividad requeridos que hacen posible las soluciones IoT".
No obstante, la naturaleza conectada de los miles de proyectos IoT en fase de despegue genera numerosas —y nuevas— amenazas de ciberseguridad. Por ello, los responsables de TI deben mapear el estado de sus infraestructuras en plena transformación e identificar qué dispositivos pueden estar acechando en las sombras.
De impresoras a bombillas
Cuantas más "cosas" conectadas, más puntos potenciales de infiltración. Las empresas han sido rápidas a la hora de emprender la transformación digital, pero han sido lentas afrontando los problemas surgidos a raíz de haber priorizado la digitalización frente a la ciberseguridad para seguir siendo competitivas.
Hoy en día, todo —desde impresoras hasta bombillas— puede ser una ruta para los cibercriminales. Hace poco se detectó que 400 cámaras de seguridad de Axis Communications tenían errores críticos que permitían que el dispositivo pudiera ser controlado por terceros. Con un esfuerzo mínimo, un atacante podría acceder remotamente al streaming de vídeo, controlar la dirección de la cámara, alterar el software o añadir el dispositivo a un botnet para utilizarlo en ataques DDoS o de minado de criptomonedas.
Un ataque DDoS de ese tipo fue perpetrado en 2016, cuando el servidor DNS Dyn —responsable de las páginas de The Guardian, Netflix y Twitter, entre muchas otras— sucumbió al peso de un ataque DDoS sin precedentes. Durante la "autopsia", los expertos de seguridad encargados de investigar lo ocurrido confirmaron que la principal fuente del tráfico del ataque fue un ejército de dispositivos IoT infectados.
El IoT se ha convertido en el punto flaco de Internet y puede conllevar, no solo un ataque a los cimientos de una web, como hemos visto antes, sino a la infraestructura crítica. Hablamos de ataques estilo fin del mundo. Quizás que alguien acceda a tu red y encienda y apague las luces de la sala de juntas puede ser un inconveniente, pero que alguien use un dispositivo IoT desprotegido para acceder a la red de Movilidad y Tráfico, por ejemplo, y ponga todos los semáforos en verde, podría alcanzar dimensiones catastróficas.
Una verdad incómoda
El IoT ha multiplicado por diez el número de dispositivos conectados a las redes corporativas, y esta cifra solo tiene en cuenta los dispositivos de los que tenemos conocimiento. La facilidad y disponibilidad de los dispositivos conectados han convertido la denominada shadow IT, o informática en la sombra, en tendencia. Saber qué ocurre en las sombras de las redes puede ser una tarea abrumadora para cualquier empresa, desde startups hasta multinacionales. La triste realidad es que muchos de los departamentos IT de hoy en día están demasiado ocupados como para llevar a cabo un inventario completo (y constante) de sus propios sistemas.
Aunque los estándares de seguridad de la información, como el Payment Card Industry Data Security Standard (PCI DSS), recomiendan que se lleven a cabo escaneos de vulnerabilidades trimestrales, puede afirmarse que esta frecuencia no es suficiente. Algunos proveedores de servicios ofrecen escaneos gestionados equivalentes a un IRM, que brindan una visión completa de la red desde un punto de vista externo, para que sea posible determinar la totalidad del ecosistema conectado.
En vista de que los propios dispositivos pueden suponer una amenaza para las redes internas, es esencial garantizar una seguridad perimetral completa. Es importante asegurarse de ejecutar el estándar de autenticación IEEE 802.1X para que cualquier dispositivo IoT que quiera atacar la red interna necesite de una autentificación previa. No obstante, aun ejecutando 802.1X, no hay nada que se pueda hacer contra un administrador de IT olvidadizo. Trabajando con empresas grandes y pequeñas, hemos visto de todo: desde hornos hasta ascensores conectados de los que el equipo de IT no tenía ni idea.
Cada dispositivo conectado es una potencial entrada a la red que, generalmente, tiene una seguridad limitada (si la tiene). Aunque cumplan con el estándar 802.1X, cada día somos testigos de incorporaciones de dispositivos a las redes sin cambiar su usuario y contraseña de fábrica. Esto es particularmente preocupante en los casos de los dispositivos IoT que gestionan edificios, puesto que se encargan del control de acceso, y pueden comprometer la seguridad física de los trabajadores.
El problema se ha agravado por el hecho de que las credenciales de muchos de los dispositivos más populares han sido filtrados a la deep web. Esto significa que "los malos" tienen la llave de tu reino, a no ser que cambies la cerradura. Es imprescindible asegurarse de identificar cualquier dispositivo IoT con una credencial de autenticación robusta y difícil de craquear.
La tendencia hacia un Internet of Things plenamente conectado se ha convertido en el juego del escondite para los administradores de TI. Para jugar eficientemente se necesitan las herramientas, y la experiencia, que te permitan lograr ventaja. También necesitas buscar tanto dentro como fuera de los límites de tu red para tener la foto completa de los puntos de ataque potenciales surgidos del IoT.
En vista de que los propios dispositivos pueden suponer una amenaza para las redes internas, es esencial garantizar una seguridad perimetral completa. Es importante asegurarse de ejecutar el estándar de autenticación IEEE 802.1X para que cualquier dispositivo IoT que quiera atacar la red interna necesite de una autentificación previa. No obstante, aun ejecutando 802.1X, no hay nada que se pueda hacer contra un administrador de IT olvidadizo. Trabajando con empresas grandes y pequeñas, hemos visto de todo: desde hornos hasta ascensores conectados de los que el equipo de IT no tenía ni idea.
Cada dispositivo conectado es una potencial entrada a la red que, generalmente, tiene una seguridad limitada (si la tiene). Aunque cumplan con el estándar 802.1X, cada día somos testigos de incorporaciones de dispositivos a las redes sin cambiar su usuario y contraseña de fábrica. Esto es particularmente preocupante en los casos de los dispositivos IoT que gestionan edificios, puesto que se encargan del control de acceso, y pueden comprometer la seguridad física de los trabajadores.
El problema se ha agravado por el hecho de que las credenciales de muchos de los dispositivos más populares han sido filtrados a la deep web. Esto significa que "los malos" tienen la llave de tu reino, a no ser que cambies la cerradura. Es imprescindible asegurarse de identificar cualquier dispositivo IoT con una credencial de autenticación robusta y difícil de craquear.
La tendencia hacia un Internet of Things plenamente conectado se ha convertido en el juego del escondite para los administradores de TI. Para jugar eficientemente se necesitan las herramientas, y la experiencia, que te permitan lograr ventaja. También necesitas buscar tanto dentro como fuera de los límites de tu red para tener la foto completa de los puntos de ataque potenciales surgidos del IoT.