Los riesgos del IoT continuarán en 2019
Es tradicional en esta época del ejercicio, que los medios de comunicación se hagan eco de lo que los expertos consideran que van a ser los retos a los que las empresas se enfrentarán en el año que entra. El mundo de la ciberseguridad no es diferente en este sentido, aunque las predicciones, cierto es, suelen acabar en las páginas de los medios especializados.
Igual porque resulta técnicamente muy complejo a un público no especialista explicar cuáles son las diferencias entre unos y otros ataques, y al final puede parecer que siempre estamos advirtiendo sobre lo mismo, cuando no es así.
Este 2019 no ha empezado de forma diferente en ese sentido y, superficialmente, puede parecer que las advertencias y recomendaciones se repiten un año más. Ataques de phising, con especial hincapié en ataques a CEO; robo de credenciales; acceso no autorizado a datos personales, o ataques ransomware, son algunas de las tendencias más comentadas por los expertos.
Por ello, probablemente, en los últimos años las compañías han dedicado buena parte de su inversión a combatir o concienciar sobre esos riesgos, dejando de lado otros que, no por menos publicitados, son menores en sus consecuencias.
Uno de los que más ha preocupado a los expertos en los últimos años está íntimamente relacionado con una de las tendencias tecnológicas más en boga en los últimos años: el Internet de las Cosas (IoT por sus siglas en inglés).
Ciberseguridad e IoT
Hoy en día, cualquier dispositivo es susceptible de conectarse a internet. Desde los teléfonos móviles, pasando por las neveras o los altavoces inteligentes -cada vez más presentes en el ámbito doméstico-, hasta semáforos o alumbrado público.
En consecuencia, el IoT está cada vez más asentado, tanto en el mundo profesional, como en nuestro día a día en el ámbito personal. Unos límites cada vez más difusos con la implementación, cada vez mayor, en las compañías, de las políticas “bring your own device” (BYOD).
Estas estrategias corporativas, que permiten a los empleados conectar a las redes empresariales sus propios dispositivos, se están convirtiendo en uno de los principales vectores de entrada para los ciberataques.
Según el informe TMT Trends, elaborado por Deloitte, uno de los mercados que más crecerá en el próximo año es el de los altavoces inteligentes en el ámbito doméstico, alcanzando los 164 millones de unidades en todo el mundo a finales de 2019. Este crecimiento ofrece una nueva oportunidad a los cibercriminales de usar nuestros propios dispositivos contra nosotros.
En un mundo donde todo estará cada vez más conectado, es nuestra obligación prestar especial atención a los diversos aspectos de seguridad de los dispositivos que nos rodean. El compromiso de cualquiera de ellas puede poner en peligro la privacidad de nuestros datos, nuestras finanzas y, lo que es peor aún, la integridad física de las personas.
Sin olvidar que pueden ser usados contra otros para realizar ataques DDoS, como ya ha pasado en más de una ocasión. Para garantizar que esto no ocurra, sin embargo, empresas y usuarios finales nos enfrentamos a una doble dificultad.
Por un lado, la falta de un estándar mínimo de seguridad en el desarrollo del Internet de las Cosas y la ausencia de un mayor compromiso de los fabricantes con la “seguridad por defecto”. Por el otro, el escaso compromiso o concienciación que el ciudadano medio tiene con su seguridad digital.
El uso de contraseñas débiles, la repetición de estas en distintos servicios o el no renovarlas periódicamente, son tres de los malos hábitos que, de forma generalizada, tienen los usuarios no avanzados.
Es nuestra obligación como consumidores exigir que el Internet de las Cosas sea seguro por defecto y que, en el proceso de fabricación de productos, se realice una evaluación de seguridad antes de su comercialización. La adopción de un estándar de seguridad en el sector de la fabricación y comercialización ayudaría enormemente a la consecución de este objetivo.
Hábitos de ciberseguridad saludables
Pero es igualmente necesario que nosotros, como usuarios finales, adoptemos unos hábitos de ciberseguridad saludables, que ayuden a reforzar esos requisitos. No debemos perder de vista en ningún momento que la falta de estas dos exigencias está creando un caldo de cultivo ideal para la proliferación de ataques cada vez más dirigidos, escalables y persistentes en el tiempo.
No solo contra particulares (secuestro y sustracción de datos, fraude financiero, etcétera), sino también contra grandes compañías, como los ya citados ataques DDoS, en los que se usa la omnipresencia de dispositivos conectados (routers, cámaras de vigilancia, etc.), para lanzar millones de peticiones de acceso a una plataforma en el mismo momento.
No son estas peticiones nuevas ni descabelladas, sino que llevan sucediéndose desde que el IoT empezó a inundar nuestros hogares, y ahora nuestras compañías, gracias a la posibilidad de conectar los dispositivos particulares a las redes corporativas.
Desde sus inicios, los expertos han alertado de la falta de seguridad en el entorno IoT, pero de momento, no parece que estas advertencias hayan calado en los estamentos involucrados.
Se espera que en 2019, el IoT siga manteniendo un estatus de inseguridad que no aceptamos en otros ámbitos. La falta de regulación a nivel nacional e internacional, no contribuye a hacer de este entorno un lugar seguro para nuestros datos.
El desarrollo e implementación del 5G, solo contribuirá a exacerbar esta tendencia, obligando a las compañías a actuar en dos frentes.
Es necesario que las empresas aumenten sus inversiones, no solo en tecnologías para combatir los ataques, sino también -ahora más que nunca-, en la formación a sus empleados en materia de ciberseguridad.
Únicamente así podremos estar preparados para el panorama de amenazas al que nos enfrentaremos en 2019, así como en los próximos años.