Ciberseguridad en dispositivos IoT

El Internet de las cosas (IoT) reúne el entorno físico y una amplia gama de objetos, de modo que puedan interactuar entre sí sin problemas mediante el uso de información y Sistemas de comunicación (TIC).

La importancia del impacto económico de IoT está bien documentada y se siente cada vez más, con la creciente adopción de soluciones IoT entre consumidores, empresas y gobiernos.

Los ejemplos incluyen dispositivos portátiles conectados, hogares inteligentes, edificios inteligentes o vehículos conectados.

A medida que las personas y los dispositivos se vuelven más conectados, los problemas relacionados con la protección de datos y la gestión de las amenazas de ciberseguridad se vuelve cada vez más importante. Los dispositivos IoT pueden recolectar cantidades significativas de información sobre sus usuarios y su entorno, incluidos datos identificables, confidenciales y sensibles.

Por ejemplo, los wearables pueden rastrear un pasos individuales, frecuencia cardíaca y patrones de sueño, mientras que los sensores y actuadores comerciales pueden exponer los sistemas de control de la empresa al riesgo de filtración de datos, o incluso peores ataques.

Desafortunadamente, los primeros dispositivos IoT tienen varias vulnerabilidades que pueden explotarse fácilmente, haciéndolos objetivos fáciles para ataques de ciberseguridad. Por ejemplo, los dispositivos comprometidos pueden ser controlado por una botnet y hecho participar en ataques de denegación de servicio distribuida (DDoS).

Proteger a las organizaciones e individuos de las crecientes amenazas cibernéticas es una prioridad nacional, así como un área de oportunidad económica.

Este documento tiene como objetivo proporcionar orientación a usuarios y empresas al adquirir, implementar y operar dispositivos y sistemas IoT, al tiempo que permite a los proveedores de soluciones verificar la postura de seguridad de sus soluciones, proporcionando pautas prácticas que incluyen recomendaciones de línea de base, conceptos fundamentales y listas de verificación.

Internet de las Cosas (IoT), ¿qué es?

El Internet de las cosas, o IoT, es un sistema de dispositivos informáticos interrelacionados, máquinas mecánicas y digitales, objetos, animales o personas que cuentan con identificadores únicos y la capacidad de transferir datos a través de una red sin necesidad de ser humano.

Una cosa en Internet de las cosas puede ser una persona con un implante de monitor cardíaco, un animal de granja con un transpondedor de biochips , un automóvil que tiene sensores incorporados para alertar al conductor cuando la presión de los neumáticos es baja o cualquier otro producto natural o artificial al que se le puede asignar una dirección IP y puede transferir datos a través de una red.

Cada vez más, las organizaciones en una variedad de industrias están utilizando IoT para:

  • operar de manera más eficiente,
  • comprender mejor a los clientes para brindarles un mejor servicio,
  • mejorar la toma de decisiones y
  • aumentar el valor del negocio.

Importancia

El Internet de las cosas ayuda a las personas a vivir y trabajar de manera más inteligente, así como a obtener un control completo sobre sus vidas. Además de ofrecer dispositivos inteligentes para automatizar hogares, IoT es esencial para las empresas.

IoT ofrece a las empresas una visión en tiempo real de cómo funcionan realmente los sistemas de sus empresas, facilitando información sobre el rendimiento de las máquinas, la cadena de suministro y las operaciones logísticas.

Permite a las empresas automatizar procesos y reducir costes laborales. También mejora la prestación de servicios, lo que hace que sea menos costoso fabricar y entregar bienes y ofrece transparencia en las transacciones de los clientes.

IoT toca todas las industrias, incluidas la atención médica, las finanzas, el comercio minorista y la fabricación. Las ciudades inteligentes ayudan a los ciudadanos a reducir el desperdicio y el consumo de energía, y los sensores conectados incluso se usan en la agricultura para ayudar a controlar los rendimientos de los cultivos y el ganado y predecir los patrones de crecimiento.

Como tal, IoT es una de las tecnologías más importantes de la vida cotidiana y continuará ganando impulso a medida que más empresas se den cuenta del potencial de los dispositivos conectados para mantenerlos competitivos.

Cómo funciona IoT

El sistema de IoT está formado por dispositivos inteligentes preparados para la web que usan procesadores integrados, sensores y hardware de comunicación para recoger, transmitir y manejar los datos a los que acceden en sus entornos.

Estos dispositivos IoT comunican los datos recogidos del sensor conectándose a una puerta de enlace IoT u otro dispositivo periférico para enviar esos datos a la nube y analizarlos. A veces, estos dispositivos comparten la información con otros dispositivos vinculados y actúan sobre ella.

El trabajo realizado por estos dispositivos se efectúa en su mayor parte sin intervención humana, aunque las personas pueden interactuar con los dispositivos, por ejemplo, para configurarlos, darles instrucciones o acceder a los datos.

Los protocolos de conectividad, redes y comunicación utilizados con estos dispositivos habilitados para la web dependen en gran medida de las aplicaciones específicas de IoT implementadas.

Beneficios

Internet de las cosas proporciona numerosos beneficios a las empresas, posibilitándoles:

  • Monitorizar sus procesos comerciales generales;
  • Enriquecer la experiencia del cliente;
  • Ahorrar tiempo y dinero;
  • Aumentar la productividad de los empleados;
  • Incorporar y ajustar modelos de negocio;
  • Adoptar mejores decisiones comerciales; y
  • Obtener mayores ingresos.

IoT hace que las empresas deban reflexionar sobre la manera de abordan sus negocios y mercados y les ofrece las herramientas para mejorar sus estrategias comerciales.

Ventajas e inconvenientes

Algunas de las ventajas de IoT incluyen:

  • Capacidad para acceder a la información desde cualquier lugar en cualquier momento en cualquier dispositivo;
  • Comunicación mejorada entre dispositivos electrónicos conectados;
  • Transferencia de paquetes de datos a través de una red conectada ahorra tiempo y dinero;
  • Automatización de tareas ayuda a mejorar la calidad de los servicios de una empresa y reduce la necesidad de intervención humana.

Algunas desventajas de IoT incluyen:

  • A medida que aumenta el número de dispositivos conectados y se comparte más información entre los dispositivos, también aumenta el potencial de que un hacker pueda robar información confidencial;
  • Es posible que las empresas tengan que lidiar con números masivos, tal vez incluso millones, de dispositivos IoT y recopilar y administrar los datos de todos esos dispositivos será un desafío.
  • Si hay un error en el sistema, es probable que todos los dispositivos conectados se corrompan;
  • Dado que no existe un estándar internacional de compatibilidad para IoT, es difícil que los dispositivos de diferentes fabricantes se comuniquen entre sí.

Aplicaciones de IoT para consumidores y empresas

La relevancia del IoT iniciado por el ecosistema de Internet de las Cosas son las soluciones que ha aportado al sector comercial. Por lo tanto, como primer acercamiento a esto, es importante diferenciar el alcance de cada solución, así como la industria donde se aplica.

IoT del consumidor

Como punto de partida, un consumidor es alguien que compra bienes o servicios para uso personal. Si hablamos de «Consumer IoT», solo estamos agregando el lado inteligente.

Básicamente, las soluciones de IoT del consumidor se centran en usuarios individuales o familias mediante el uso de dispositivos portátiles, aplicaciones inteligentes para el hogar y dispositivos de monitoreo personal.

Un ejemplo adecuado son los asistentes inteligentes de voz, como Echo de Amazon, Google Home y HomePod de Apple. En otras palabras, productos que nos hacen la vida más fácil al realizar tareas o servicios para nosotros.

Otro ejemplo común son los termostatos inteligentes, que ayudan a reducir los costes de los servicios públicos al encender el sistema justo cuando es necesario y apagarlo cuando el clima interior está en las condiciones perfectas para nosotros.

Estos dispositivos pueden durar muchos años, pero tienden a ser reemplazados por las versiones más nuevas lanzadas con el advenimiento de las nuevas generaciones tecnológicas. Incluso podemos ir tan lejos como para decir que esta es su forma de mantenimiento de rutina o actualizaciones de rutina a medida que pasa el tiempo.

IoT comercial

El IoT comercial se dirige a nuestro entorno diario fuera del hogar. Hay un conjunto de aplicaciones que se pueden implementar en lugares que visitamos con frecuencia, como edificios de oficinas comerciales, supermercados, tiendas, hoteles, centros de salud o lugares de entretenimiento.

Las aplicaciones para estos lugares pueden ser:

  • monitorización de variables y condiciones ambientales,
  • cronograma de control personal,
  • acceso al edificio,
  • iluminación conectada,
  • seguimiento de activos, etc.

Este tipo de aplicaciones brindan una mejor experiencia a los huéspedes en lugares como hoteles y restaurantes a través de un monitoreo más eficiente en edificios inteligentes y oficinas inteligentes.

IoT industrial

A diferencia de IoT del consumidor, IoT industrial apunta a sistemas industriales automatizados existentes que buscan mejoras dramáticas en productividad y eficiencia.

Los sectores más comunes que vienen a la mente podrían ser las fábricas a gran escala o las plantas de fabricación, pero también son conocidos por monitorizar los servicios públicos y los activos caros. Básicamente, podemos decir que estamos entrando en una era completamente nueva de IoT.

Los sistemas industriales automatizados existentes dentro de las fábricas tienden a ser más antiguos porque los sistemas pueden haberse instalado hace más de una década, por lo tanto, integrar la información de estos sistemas para soportar IoT podría ser más complicado que el IoT comercial, debido a las tareas que tienen los integradores para llevar a cabo, gestionar y adaptarse a la infraestructura existente.

Para permitir una solución adecuada y escalable, las soluciones industriales deben incluir puertas de enlace.

Básicamente, estas puertas de enlace pueden ser un dispositivo o un programa de software que permite la conexión entre la nube y los sensores o controladores.

Uno de los principales usos de las puertas de enlace es traducir los protocolos utilizados en la planta de fabricación a los admitidos para manejar datos con la nube. Además de esto, las puertas de enlace son vías eficientes para el registro de datos y las soluciones de procesamiento. Esto permite a los integradores ofrecer una mayor personalización del usuario, así como ejecutar aplicaciones de usuario para adaptarlas a procesos industriales específicos.

Seguridad y privacidad de IoT

Aunque IoT está creciendo rápidamente, aún enfrenta problemas de seguridad y privacidad.

Riesgos de seguridad

Los dispositivos IoT están conectados a tu ordenador de escritorio o portátil. La falta de seguridad aumenta el riesgo de que su información personal se filtre mientras los datos se recopilan y transmiten al dispositivo IoT.

Los dispositivos IoT están conectados con una red de consumidores. Esta red también está conectada con otros sistemas. Entonces, si el dispositivo IoT contiene vulnerabilidades de seguridad, puede ser perjudicial para la red del consumidor. Esta vulnerabilidad puede atacar a otros sistemas y dañarlos.

A veces, personas no autorizadas pueden explotar las vulnerabilidades de seguridad para crear riesgos para la seguridad física.

Riesgos de privacidad

En IoT, los dispositivos están interconectados con varios hardware y software, por lo que hay posibilidades obvias de que se filtre información confidencial a través de la manipulación no autorizada.

Todos los dispositivos transmiten la información personal del usuario, como nombre, dirección, fecha de nacimiento, información de la tarjeta de salud, detalles de la tarjeta de crédito y mucho más sin encriptación.

Aunque existen problemas de seguridad y privacidad con IoT, agrega valores a nuestras vidas al permitirnos administrar nuestras tareas de rutina diarias de forma remota y automática, y lo más importante, es un cambio de juego para las industrias.

Herramientas y legislación de seguridad de IoT

Existen muchos marcos de seguridad de IoT, pero no existe un único estándar aceptado por la industria hasta la fecha. Sin embargo, simplemente adoptar un marco de seguridad de IoT puede ayudar. Proporcionan herramientas y listas de verificación para ayudar a las empresas a crear e implementar dispositivos IoT.

Dichos marcos han sido lanzados por GSM Association, IoT Security Foundation, Industrial Internet Consortium y otros.

En septiembre de 2015, la Oficina Federal de Investigaciones publicó un anuncio de servicio público, que advirtió sobre las vulnerabilidades potenciales de los dispositivos IoT y ofreció recomendaciones de defensa del consumidor.

En agosto de 2017, el Congreso de EE.UU. introdujo la Ley de Mejora de la Ciberseguridad de IoT, que requeriría que cualquier dispositivo IoT vendido al gobierno de EE.UU. no use contraseñas predeterminadas, no tenga vulnerabilidades conocidas y ofrezca un mecanismo para parchear los dispositivos. Si bien está dirigido a aquellos fabricantes que crean dispositivos que se venden al gobierno, establece una línea de base para las medidas de seguridad que todos los fabricantes deben adoptar.

Si bien no es específico de IoT, el Reglamento General de Protección de Datos (RGPD), publicado en mayo de 2018, unifica las leyes de privacidad de datos en toda la Unión Europea. Estas protecciones se extienden a los dispositivos IoT y sus redes y los fabricantes de dispositivos IoT deben tenerlos en cuenta.

En junio de 2018, el Congreso introdujo la Ley de estado de la aplicación moderna, investigación y tendencias de IoT, o SMART IoT Act, para proponer al Departamento de Comercio que realice un estudio de la industria de IoT y proporcione recomendaciones para el crecimiento seguro de los dispositivos de IoT.

En septiembre de 2018, el estado de California aprobó la privacidad de la información SB-327: dispositivos conectados, una ley que introdujo requisitos de seguridad para los dispositivos IoT vendidos en el país.

Recomendaciones de seguridad para desarrolladores de IoT

Durante la fase de implementación de dispositivos de IoT es necesario tener en cuenta cuatro principios de diseño:

  1. Seguridad por defecto
    2. Rigor en defensa
    3. Responsabilidad
    4. Resiliencia

Los productos individuales se utilizan para implementar un sistema y el sistema opera en el contexto de un proceso, política y personas de la organización.

Juntas, las recomendaciones son fundamentales para salvaguardar el sistema IoT sistemáticamente y durante su ciclo de vida.

Vamos a analizar cada uno de esos principios.

1. Seguridad por defecto

Las recomendaciones para cumplir este principio son:

Emplea criptografía sólida

Fuertes capacidades criptográficas son los bloques de construcción fundamentales utilizados para garantizar la seguridad de transacciones de datos. Los ejemplos del uso de capacidades criptográficas incluyen firmas digitales y encriptación.

Recomendación: los productos y soluciones deben emplear criptografía actual y aceptada por la industria técnicas y mejores prácticas aplicables a los fines. Los ejemplos de mejores prácticas incluyen:

  • uso de algoritmos aprobados
  • longitud de clave suficiente
  • uso de generadores de números aleatorios aprobados
  • período de cifrado recomendado
Proteger datos impactantes del sistema

Los datos impactantes pueden referirse a claves, credenciales, códigos, datos personales, entradas y datos de detección, etc. El acceso a datos impactantes debe requerir la seguridad y verificación de que se origina en fuentes auténticas y está protegido contra manipulaciones, modificaciones y divulgación a partes no autorizadas.

Recomendación: se debe verificar la autenticidad de los datos impactantes y protegerlos de la divulgación y modificaciones por partes no autorizadas. Todas las comunicaciones sensibles desde dispositivos IoT deberán estar encriptadas.

2. Rigor en defensa

Para cumplir este principio debes:

Considerar modelos de amenazas

El modelado de amenazas proporciona un enfoque sistemático, que ayuda a identificar los activos del sistema, las necesidades de seguridad de los activos del sistema y las posibles amenazas a estos activos del sistema para que los recursos limitados disponibles pueden centrarse en lo que necesita ser protegido. Los modelos de amenazas ayuda para minimizar las superficies de ataque expuestas y mitigar las vulnerabilidades restantes.

Recomendación: la consideración de amenazas se debe realizar como parte de la etapa de diseño, basado en el uso previsto de los dispositivos IoT en su entorno operativo.

Establecer la raíz de confianza del hardware

Hardware Root-of-Trust es un módulo de hardware protegido contra manipulaciones que almacena y protege las claves de los dispositivos a fin de proporcionar una base firme para otros mecanismos de seguridad sobre los que construir y lograr una mayor garantía de seguridad.

Recomendación: Se debe establecer la raíz de confianza de hardware para los componentes clave del sistema, que incluyen puertas de enlace IoT y plataformas IoT, ya que pueden alojar datos confidenciales y ejecutar operaciones impactantes.

Emplear versiones seguras de protocolos de transporte

Los protocolos de transporte se utilizan para transferir datos dentro y entre sistemas. Por eso es importante asegurarse de que las versiones seguras de los protocolos de transporte estén configuradas correctamente para proteger los datos en tránsito.

Recomendación: los protocolos de transporte comprobados se emplearán con controles de seguridad adecuados activados. Los ejemplos de controles de seguridad de protocolos de transporte probados incluyen:

  • uso de TLS para cargas TCP
  • uso de DTLS para cargas útiles UDP

3. Responsabilidad

Es necesario hacer cumplir los controles de acceso adecuados.

El acceso a los recursos del sistema se controlará y gestionará a lo largo de sus ciclos de vida, minimizando oportunidades para actores maliciosos. Las contraseñas predeterminadas y las contraseñas débiles son las más vulnerabilidades comúnmente explotadas. El uso de la autenticación multifactor (MFA) proporciona una mayor seguridad de la identidad de los usuarios, mejora la rendición de cuentas y mitiga errores.

Recomendación: se establecerán controles de acceso adecuados, tanto cibernéticos como físicos, para dispositivos, redes y los datos. Los controles de acceso fundamentales incluyen:

  • Reemplazo de todas las contraseñas predeterminadas
  • Implementación de contraseñas seguras
  • Aplicación de la autenticación multifactor (MFA) para operaciones impactantes
  • Asegurar el acceso físico a los dispositivos y sus puertos de servicio.

4. Resiliencia

Prepárate y protégete contra los ataques.

A pesar de la implementación de las medidas recomendadas especificadas anteriormente, sigue siendo necesario contar con mecanismos para salvaguardar los intentos de comprometer el sistema IoT.

Recomendación: se deben emplear firewalls y software antimalware para prevenir, detectar, identificar, detener y eliminar software malicioso, especialmente los conocidos. El sistema debería tener capacidad de registro de auditoría que registra todos los intentos de acceder o alterar los recursos del sistema.

Amenazas de IoT para las empresas

Estos son algunos de los principales riesgos para una red empresarial sin la ciberseguridad de IoT adecuada:

Acceso a datos confidenciales.

Uno de los principales desafíos de IoT es que los dispositivos a menudo registran, tienen acceso y transmiten datos confidenciales.

Los sistemas de seguridad, como cámaras y timbres, son cada vez más parte de las redes de pequeñas empresas y pueden crear rápidamente problemas importantes si son pirateados por un ciberdelincuente.

Los equipos de oficina, como las impresoras, también son puntos de acceso potenciales: una impresora comprometida podría significar fácilmente que el atacante puede ver todo lo que se imprime o escanea en una oficina.

Sabotaje

Un dispositivo IoT pirateado permitirá al atacante acceder a sus funciones.

Si bien una cafetera puede no permitir que un atacante haga algo más peligroso que preparar un café con leche, un sistema o maquinaria de calefacción pirateada puede crear muchas más interrupciones en un negocio.

Un actor malicioso podría potencialmente retener a un vehículo y a sus ocupantes como rehenes o exigir un pago para detener el sabotaje de una línea de montaje.

Botnets

Los ciberdelincuentes pueden reunir una gran cantidad de dispositivos infectados en redes llamadas botnets. Estas botnets se pueden usar para una variedad de cosas, pero son más conocidas por su uso en ataques DDoS .

Los ataques DDoS (denegación de servicio distribuida) envían un flujo específico de solicitudes de red desde dispositivos infectados al servidor, computadora o red que el ciberdelincuente desea derribar. Como hay demasiadas solicitudes de red para que el destino las maneje, se bloquea y no está disponible para usuarios reales.

En 2016, una botnet derribó algunos de los sitios más grandes , incluidos Twitter y Netflix, utilizando un ataque DDoS.

¿Qué industrias son más vulnerables a las amenazas de seguridad de IoT?

Si bien los dispositivos IoT pueden representar un riesgo de seguridad para cualquier empresa que no tome medidas para proteger sus redes, algunas industrias son especialmente vulnerables a los ataques.

Las industrias que enfrentarán los mayores riesgos son aquellas en las que los dispositivos IoT no solo se usan como herramientas para ayudar a la productividad, sino que se están integrando en el núcleo mismo de la operación del negocio.

Por ejemplo, el uso de dispositivos IoT en la fabricación puede proporcionar enormes beneficios para la eficiencia. Pero cuando los procesos de producción se vuelven completamente dependientes de la tecnología inteligente, un solo ataque tiene el potencial de hacer que una fábrica deje de funcionar.

En 2010, el virus Stuxnet infectó una planta de enriquecimiento de uranio en Irán y causó daños permanentes en las centrífugas.

Si bien es probable que nadie use un ataque tan sofisticado contra una pequeña empresa, el malware IoT se está desarrollando a un ritmo acelerado. Cualquier empresa que use dispositivos IoT no seguros en su proceso de fabricación algún día podría encontrar su operación como rehén de los piratas informáticos.

Los propietarios de cualquier pequeña empresa que registre información confidencial del cliente también deben preocuparse por los riesgos. Cámaras web, impresoras, cámaras de seguridad y timbres digitales son solo algunos de los dispositivos que pueden ser pirateados. Y revelan información confidencial a los atacantes a través de sus cámaras y micrófonos.

Cómo mantener la seguridad de IoT

Si bien proteger tus puntos finales y tu red dependerá de los tipos de dispositivos que tengas, existen ciertas precauciones que te ayudarán a asegurar cualquier tipo de dispositivo IoT.

Usa contraseñas seguras

Tener contraseñas seguras siempre es importante, pero especialmente para dispositivos IoT. Con una contraseña débil, tomar el control de un dispositivo IoT a través de tu propia interfaz o portal web es trivial.

Lo que es aún más preocupante es que muchos dispositivos IoT vienen con contraseñas predeterminadas, que muchos usuarios no cambian, lo que significa que el atacante ya puede conocer la contraseña de tu dispositivo.

Las contraseñas seguras en el resto de tu red también agregarán una segunda línea de defensa si un atacante obtiene acceso a través de un dispositivo, deteniendo u obstaculizando sus intentos de acceder a archivos, bases de datos y otros dispositivos.

Cambiar la contraseña de tu enrutador a una larga y segura es especialmente importante, ya que un enrutador comprometido rápidamente deja a toda la red vulnerable.

Seguridad de la red

Asegúrate de tener un enrutador seguro y actualizado, con un firewall habilitado. Tu enrutador puede ser el primer punto de ataque, y si tu enrutador se ve comprometido, dejará toda tu red vulnerable. Es esencial instalar una solución de seguridad de punto final que te permita descubrir vulnerabilidades en tu red, por ejemplo, una con una función de escaneo.

Parches

Los fabricantes responsables lanzarán actualizaciones de seguridad para tus dispositivos IoT cuando se descubran vulnerabilidades. Es importante asegurarse de que tus dispositivos se actualicen periódicamente con las últimas actualizaciones.

Si tienes un dispositivo que no recibe actualizaciones, considera los beneficios del dispositivo contra el impacto potencial en tu negocio en caso de un ataque.

Considerar  la necesidad

Como hay un mercado creciente para dispositivos IoT, los fabricantes están ansiosos por bombear grandes cantidades de ellos, y es posible que no pasen mucho tiempo desarrollando la seguridad de sus productos. Si bien los dispositivos IoT pueden ser muy útiles, considera si la cocina de tu oficina realmente necesita esa tostadora o hervidor con acceso a Internet.

Si bien los beneficios de la nueva tecnología siempre parecen emocionantes, especialmente para los propietarios de pequeñas empresas que buscan ahorrar dinero y aumentar la productividad, es importante tomarse el tiempo para comprender los riesgos que conlleva.

Los dispositivos IoT tienen el potencial de brindar mejoras de eficiencia a muchas industrias, pero también se deben tomar medidas para garantizar que no dejen su red vulnerable a actores maliciosos.