¿Qué riesgos y amenazas supone para los usuarios el empleo de dispositivos inteligentes conectados? En este artículo te hablamos sobre los principales problemas de seguridad en el IoT y las mejores recomendaciones para su uso de forma segura.
El problema de la seguridad en el internet de las cosas
El internet de las cosas ha supuesto numerosos avances, tanto en aspectos de la vida cotidiana y el día a día, como en ámbitos más específicos, como es el caso de la medicina o el sector industrial.
Los dispositivos inteligentes actuales son capaces de conectarse a la red para recopilar y transmitir datos de diversa índole, que permiten realizar tareas de forma mucho más efectiva.
Sin embargo, esta conectividad es también uno de sus puntos débiles. Al igual que en internet, pueden existir brechas de seguridad que los ciberdelincuentes pueden aprovechar para fines maliciosos.
El IoT supone muchas ventajas para los usuarios, pero también una gran oportunidad para los hackers de acceder a los datos a través de una enorme variedad de dispositivos: televisores inteligentes, alarmas, electrodomésticos de todo tipo, vehículos… Todo podría ser potencialmente hackeable.
Dentro del IoT existen dispositivos muy simples, como podría ser una bombilla inteligente, y otros mucho más complejos. Los dispositivos más avanzados suelen incorporar estrictas medidas de seguridad que buscan reducir al máximo su vulnerabilidad. Sin embargo, hay miles de millones de dispositivos más simples que no incluyen las medidas de seguridad apropiadas.
Además, esto se magnifica por la ausencia de unos estándares o protocolos generales que permitan garantizar unos mínimos de seguridad en el IoT. Es cada fabricante, de forma independiente, quien se encarga de incorporar a sus dispositivos las medidas de seguridad que considere oportunas.
Esto significa que la seguridad en el uso del IoT no está garantizada, y que los dispositivos pueden estar expuestos a diversas amenazas que podrían afectar a la accesibilidad del dispositivo, la privacidad de la información y la identidad del usuario.
A continuación vemos algunas de las amenazas a las que estamos expuestos al utilizar dispositivos que hacen uso del internet of things.
Seguridad IOT: Principales amenazas
¿Cuáles son los riesgos potenciales para la seguridad del IoT? ¿A qué amenazas estamos expuestos por el uso de estos dispositivos conectados?
Geolocalización del usuario por GPS
Una de las principales amenazas para la seguridad del IoT es la posibilidad de los ciberdelincuentes de localizar al usuario por GPS. Muchos de los dispositivos conectados como los wearables disponen de funciones de geolocalización por GPS. Los datos se transfieren entre el dispositivo y el servidor, por lo que cualquier fallo de seguridad podría ser aprovechado por los ciberdelincuentes para localizar y realizar un seguimiento de los movimientos del usuario. Esto puede suponer grandes problemas para la seguridad y la privacidad.
- *Por ejemplo, imagina que tus movimientos están siendo controlados de forma remota por ciberdelincuentes que pueden saber cuándo no estás en tu casa para robar en tu domicilio.
Robo de información
Otro de los riesgos de seguridad en el IoT es el robo de información. Muchos de los dispositivos conectados contienen información relativa al usuario. Incluso algunos de ellos almacenan datos de carácter privado y sensible, como información sobre la salud o datos bancarios. Las brechas de seguridad podrían provocar el acceso de terceros a estos datos con fines malintencionados. Por ejemplo, el robo de información puede dar lugar a chantajes o al phishing o suplantación de identidad.
Además, el robo de información no solo se puede producir a causa de brechas de seguridad. El hecho de que estos dispositivos sean cada vez más pequeños también puede provocar su pérdida o sustracción, facilitando así también el acceso de terceros a nuestra información.
Uso malintencionado de los dispositivos
Las brechas de seguridad en el IoT también pueden ser aprovechadas por los ciberdelincuentes para tomar el control de los dispositivos. En este caso, las consecuencias pueden ser todavía más imprevistas. Por ejemplo, piensa por un momento lo que supondría para tu seguridad o la de tu familia que otra persona pudiera controlar tu horno, el frigorífico, la alarma de tu casa o incluso hackear tu coche.
Factores que aumentan los riesgos de seguridad del IoT
Los riesgos de seguridad en el IoT pueden venir provocado por deficiencias en los propios dispositivos, pero también por errores e irresponsabilidades de los propios usuarios. Entr los factores que aumentan la vulnerabilidad de los dispositivos conectados están las siguientes:
Uso de contraseñas poco seguras
La contraseña que viene por defecto en el dispositivo no es segura, como tampoco lo es tu nombre, tu fecha de nacimiento o “1234”. Hay que evitar el uso de claves débiles que puede ser descifradas fácilmente por los hackers mediante ataques de fuerza bruta.
Servicios de red inseguros
Por ejemplo, no deshabilitar aquellos servicios de red innecesarios o que se ejecuten en segundo plano, y que podrían servir de puerta de entrada a los ciberdelincuentes.
Conectarse a través de redes WiFi públicas
Una gran parte de los ataques a los dispositivos conectados se realizan a través de claves WiFi públicas en cafeterías o aeropuertos. Estas redes WiFi no son seguras porque no cuentan con los protocolos de seguridad adecuados y son fácilmente accesibles para los ciberdelincuentes.
Configuración errónea de herramientas externas
La seguridad de los dispositivos de IoT también puede verse comprometida a causa de una configuración deficiente de herramientas externas como APIs, interfaces web o de los servidores en la nube a los cuáles están conectados. Para evitarlo, los fabricantes de dispositivos y proveedores de servicios deben establecer medidas de acceso, y añadir los mecanismos y claves de encriptación adecuados.
Ausencia de actualizaciones
La tecnología avanza a pasos agigantados, y las técnicas utilizadas por los ciberdelincuentes también. Los dispositivos que no se actualizan tienen muchas más probabilidades de ser vulnerables a nuevas amenazas.
Hardware o software obsoleto
El uso de hardware o software desfasado tiene potencial para comprometer la seguridad del equipo. Hay que tener en cuenta que la gran mayoría de estos dispositivos utilizar software, librerías o componentes de terceros, por lo que los fabricantes deben asegurarse de que su fabricación no ha sido comprometida y que pertenecen a una versión actualizada y sin vulnerabilidades conocidas.
Ausencia de políticas de privacidad
Otro de los factores que pueden influir en la seguridad del IoT es la ausencia de una normativa de protección de datos que regule y controle el uso de información en estos dispositivos. La LOPDGDD y el RGPD establecen algunas normas básicas, pero en muchos casos se hace caso omiso a esta normativa y no se establecen las políticas de privacidad adecuadas. Esto provoca que el usuario no sepa quién puede acceder a sus datos o el uso que se va a hacer de su información personal.
Sistemas de cifrado poco eficaces
A la hora de almacenar y transferir los datos entre el dispositivo y los servidores que almacenan la información es necesario utilizar algoritmos de encriptación que permiten que la información viaje segura y que nadie pueda acceder a dichos datos sin autorización.
Uso irresponsable por parte del usuario
Muchos usuarios utilizan estos dispositivos de forma poco segura. Por ejemplo, compartiendo información en internet, poniendo claves poco seguras, obviando las actualizaciones disponibles o exponiéndose a posibles robos (por ejemplo, en lugares públicos).
Mantener las configuraciones por defecto
Muchos usuarios ni siquiera saben que pueden configurar las opciones de seguridad y privacidad de los dispositivos. La mayoría dejan la configuración por defecto que, normalmente, no suele ser la más segura.
Falta de controles físicos de acceso
Hay casos en los que es necesario contar con elementos de bastionado físico que impidan el acceso de personal no autorizado a los controles del dispositivo. Por ejemplo, imagina que una fábrica no dispone de medidas de seguridad para evitar la entrada de intrusos a la sala donde se controla la maquinaria de producción.
Consejos de seguridad en dispositivos IoT
Hasta ahora hemos planteado un panorama muy negro. Pero, en realidad, los riesgos de seguridad al usar un dispositivo con IoT son los mismos a los que te enfrentas cuando te conectas a internet a través de tu ordenador o teléfono móvil.
Para minimizar las amenazas para la seguridad del IoT te recomendamos llevar a cabo una serie de prácticas.
Cambiar las contraseñas predeterminadas
Lo más recomendable siempre es usar una combinación aleatoria de mayúsculas, minúsculas, números y caracteres especiales (si el dispositivo los permite), y tener la clave siempre a buena recaudo.
Ajustar las opciones de seguridad y privacidad
La mayoría de dispositivos permite elegir qué información compartes y con quién la compartes. Recuerda que, por ley, nadie debería poder usar tu información personal sin que hayas otorgado tu consentimiento explícito.
Desactivar funciones innecesarias
Si no vas a utilizar una determinada función, desactívala. De lo contrario, podrían seguir realizándose procesos ocultos o en segundo plano que podrían ser usados como puertas traseras por los ciberdelincuentes.
Descargar solo aplicaciones oficiales
Para descargar una app móvil lo debes hacer a través de Google Play, desde la App Store o a través de la página web oficial de proveedores reconocidos. Pues lo mismo en caso de apps para dispositivos IoT. Evita descargar aplicaciones de terceros de origen desconocido o de proveedores de poca confianza.
Actualizar el firmware
Has de mantener el dispositivo actualizado siempre a su última versión. Normalmente, los desarrolladores actualizan sus dispositivos para incluir nuevas funciones o mejorar la seguridad. Si no lo haces, es probable que el firmware quede obsoleto y el dispositivo esté expuesto a nuevas amenazas.
Actualizar las aplicaciones
Al hilo del punto anterior, también debes actualizar las aplicaciones que hayas descargado en el dispositivo. De lo contrario, también podrían quedar expuestas a los ataques de ciberdelincuentes o hackers malintencionados.
Revisar permisos
A la hora de configurar las aplicaciones, revisa siempre los permisos que otorgas y limita el acceso de terceros a la información que compartes.
Realizar pruebas de testing
Hay diversas herramientas en internet que te permiten realizar pruebas para comprobar la seguridad IoT de los dispositivos conectados. Algunos ejemplos son Ixia o Bind 4.0 Globe.
Establecer controles de acceso
Las empresas deben establecer los comportamientos aceptables en el uso de sus dispositivos conectados y, una vez definidos, establecer las medidas adecuadas para que solo pueda tener acceso el personal autorizado.
Informarse sobre medidas de seguridad y soporte del proveedor
El usuario, ya sea un particular o una organización, debe tener claro quién es el responsable de las actualizaciones o de garantizar el ciclo de vida útil del equipo. Asimismo, también hay que informarse sobre quién tiene acceso al dispositivo en caso de incidente y las medidas que se tomarían cuando la seguridad queda comprometida.
Identidad única
La seguridad del IoT también depende de que los fabricantes otorguen a los dispositivos una identidad única que impida la falsificación a niveles de controlador, aplicaciones o capas de transporte. Esto resulta fundamental a la hora de minimizar los riesgos de phishing o suplantación de identidad.
Conexiones unidireccionales
Además, los dispositivos solo deberían estar capacitados para realizar conexiones en un único sentido. Esto no impediría por sí mismo que el atacante tome control del dispositivo, pero sí evitaría que a través del mismo pudiera acceder a otros.
Segregación de red
Usar una red segregada restringe el acceso a la información y consigue que los incidentes de seguridad queden limitados al entorno donde han ocurrido.
En definitiva, la seguridad en el IoT ni es cosa de broma, ni tampoco hay que tomárselo a la tremenda. Todos sabemos que cualquier dispositivo conectado a internet es susceptible de sufrir ataques, convivimos con ello. Lo importante es adoptar las medidas y actitudes adecuadas para que el riesgo sea el menor posible.
