Cada día más dispositivos electrónicos de nuestro hogar y empresas, están conectados a Internet. ¿Hay riesgos asociados al “internet de las cosas”? ¿Cuáles? ¿Cómo podemos prevenirlos? Nuestra lectora Carolina Adaros –ingeniera y candidata a doctorado en ciber-seguridad- tiene una respuesta.
Hoy en día vivimos en un mundo donde todos los aparatos se están volviendo inteligentes, desde los electrodomésticos hasta los automóviles. Hoy es posible apagar y prender luces de nuestra casa desde el teléfono móvil, monitorear los signos vitales de una persona enferma a la distancia, que tu refrigerador administre listas de supermercado o que incluso realice las compras de manera automática.
Estos son solo ejemplos de cosas que hoy permite hacer la tecnología, algunas bastante sorprendentes. Definitivamente, de todos los avances tecnológicos que han permitido que esto suceda, el principal es el desarrollo de distintos tipos de redes de comunicación, entre ellos, Internet, que ha alcanzado un amplio nivel de cobertura y mucho más velocidad de la que solía tener.
Esto nos lleva al nombre con que se conocen todos estos dispositivos que hoy están conectados: el internet de las cosas o IoT por sus siglas en inglés (Internet of Things). Puede que hayan escuchado este nombre antes, o puede que no, pero lo que es seguro es que lo volverán a escuchar. Y es que muchos expertos están de acuerdo en que el internet de las cosas nos está trayendo lo que denominan “la cuarta revolución industrial”.
¿Internet de las cosas?
Este término fue usado por primera vez en 1999 por Kevin Ashton quien, al parecer, ya estaba visualizando de alguna manera lo que se venía, porque se estima que el 2018 habrá más de 11 mil millones de objetos conectados a Internet en el mundo, es decir más que personas en el planeta. Además, la consultora Gartner predice que este número aumentará a 20 mil millones el 2020.
Las posibilidades que hoy nos ofrecen los niveles de conectividad y la tecnología son amplias, y están presentes en todos los ámbitos del desempeño humano como, por ejemplo, salud, transporte, industrias, entretención y variados tipos de servicios (como los medidores inteligentes, por dar otro ejemplo).
Pero así como el internet de las cosas puede facilitar y mejorar la vida de muchas personas, también puede ponerlas en riesgo.
Los peligros del internet de las cosas
Con peligros no me refiero a teorías que pueden ser discutibles o dudosas; como que los celulares producen cáncer o que los smartphones volverán a todos antisociales. Sino que a algo 100% real y comprobado: los ciber-ataques. Lo cierto es que esta nueva realidad, también ha provisto de nuevos recursos a criminales y estafadores. Y los están aprovechando.
La ciber-seguridad ha sido declarada una de las problemáticas claves que enfrenta hoy la humanidad, según el Foro Económico Mundial. Incluso, el año pasado escuché a un profesional del área, decir en una conferencia en Inglaterra que es el segundo problema más grave luego del calentamiento global.
Lo cierto es que más allá del lugar que ocupe en un ranking, lo que hay que reconocer es que es un problema importante y parte de él tiene que ver con el amplio uso de internet y de sistemas computacionales, y también del poco conocimiento que se tiene respecto a la seguridad de la información. Incluso muchas empresas hoy en día carecen de las políticas adecuadas y del personal entrenado para proteger sus sistemas, donde guardan valiosa información tanto propia como de colaboradores y clientes. Tampoco hay regulaciones suficientes lo que llevó, por ejemplo, a cierta empresa en el extranjero a la que le robaron datos de clientes el 2015, a alegar que no tenían estos datos protegidos con encriptación, porque no estaban obligados por ley.
¿Por qué es tan difícil regular esta situación?
Hay distintas iniciativas que esperan cambiar esto, como las reglas generales de protección de datos o GDPR (General Data Protection Rules), que serán obligatorias en la Unión Europea desde Mayo del 2018. Por nuestra parte, en Chile existe el decreto 83 respecto a la protección de información, y también una ley sobre ciber-delitos que está en proceso de ser actualizada, ya que data de 1993.
Una de las razones por las cuales muchas leyes y reglamentos vigentes en los distintos países no son lo suficientemente efectivos o están desactualizados, es que muchos delitos cibernéticos no se reportan y rara vez llegan a una acción legal, lo cual no permite poner a prueba las leyes y mejorarlas. Las razones de esto es que a las empresas no les conviene hacer público que sufrieron un ataque, dado a que daña su reputación.
También muchas veces es difícil identificar con certeza o detener al atacante, ya que este puede encontrarse literalmente al otro lado del mundo. A este ya complejo escenario, vienen a sumarse los problemas de seguridad que introduce el internet de las cosas.
¿Y qué es lo que hace que los objetos inteligentes sean particularmente vulnerables? Hay varias razones:
Las “cosas” conectadas son muchas y generalmente están siempre encendidas
El gran número de aparatos conectados a Internet es grande, lo cual los hace atractivos para un atacante que quiera utilizarlos como parte de su “ejercito de robots” o botnet, robots que funcionan de manera autónoma y pueden ser controlados remotamente. Eso se conoce como ataque de denegación de servicio distribuido (DDoS), y es cuando muchos dispositivos hacen intentos de conexión falsos a un sitio, haciendo que este colapse y deje de funcionar.
Además, a diferencia de los computadores, las cosas conectadas muchas veces se mantienen encendidas las 24 horas, por ejemplo, las cámaras de vigilancia, máquinas expendedoras, sistemas de iluminación inteligentes, impresoras y routers.
Están por todos lados
Cuando hablamos de IoT, nos referimos a sistemas que no necesariamente se componen de un dispositivo, sino que pueden ser varios, incluso decenas o miles, los cuales se distribuyen en un amplio perímetro. Tal es el caso, por ejemplo, de los controles de transito inteligentes o sistemas con sensores utilizados en industrias. Esto hace mucho más difícil mantener el control sobre todos ellos.
Son complejos
Si bien el nivel de complejidad varia de un sistema a otro (no olvidemos que IoT es un concepto muy amplio), en general IoT tiene la característica de poseer todos los problemas de seguridad de un sistema computacional y más, puesto que funcionan con programas que permiten al usuario conectarse con los aparatos desde su computador o celular. Pero por otro lado, tienen además la componente física, esto significa que la denominada “superficie de ataque” es mayor, es decir, un agente malicioso puede acceder a ellos de más formas.
Se comunican de formas muy diversas
Mientras que los sistemas informáticos, en general, tienen formas estándar de comunicarse -lo cual facilita aplicar medidas de seguridad también estándar- el internet de las cosas se comunica de muchas maneras. Existen diversos protocolos de comunicación, distintas formas en que estos dispositivos envían y reciben la información, en muchos casos de forma inalámbrica. Esta variedad hace más difícil diseñar soluciones y, además, muchas de estas formas de comunicarse son intrínsecamente inseguras.
Cuentan con limitaciones técnicas
Muchas veces los dispositivos IoT son extremadamente simples y no poseen las capacidades computacionales (memoria y procesamiento de datos) para aplicar ciertas medidas de seguridad. Ejemplos de estas medidas de seguridad son la autenticación segura y la encriptación. Si bien antes dije que los sistemas IoT son complejos, me refería al sistema completo (incluyendo las aplicaciones y programas que los controlan), pero el dispositivo inteligente en sí, generalmente tiene capacidades mucho más limitadas que un computador.
No son diseñados teniendo en cuenta la seguridad
Este último punto es uno de los más relevantes, dado que para buscar soluciones respecto a los otros problemas, primero hay que querer hacerlo desde el diseño de los sistemas IoT.
Muchos fabricantes tienen como prioridad sacar los productos rápido al mercado y lo más barato posible, por lo cual no invierten en seguridad y, por ahora, nadie los obliga. Además, hay mucha menos experiencia en seguridad en el rubro de los dispositivos electrónicos, de la que hay en el mundo informático.
Como dije en un comienzo, los ciber-ataques a objetos inteligentes no son especulación ni ciencia ficción, sino que una realidad que está aconteciendo. Existen cientos de casos conocidos en la última década y se cree que casi la totalidad de las empresas no está preparada para enfrentar un delito de este tipo.
Consejos para evitar ciber-ataques
- Comprar productos de marcas conocidas y, si no las conoces, revisar en Internet si existen casos de vulnerabilidades reportadas. Es frecuente que algunos fabricantes cambien el nombre de su marca luego de un incidente, y sigan desarrollando los mismos dispositivos inseguros. Toma las precauciones del caso e investiga.
- Es importante SIEMPRE cambiar el nombre de usuario y la clave con que los dispositivos vienen de fábrica. Si esto no se puede hacer, es mejor no comprar el producto, dado a que –casi con total seguridad- esos datos estarán en más de alguna de las listas que utilizan los hackers.
- Asegurarse que la información no esté siendo enviada a ningún servidor del fabricante o empresa que les preste servicios. Esto es más difícil de descubrir si no posees conocimientos técnicos adecuados, pero en algunos casos el fabricante lo declara. Este es el caso de Samsung, por ejemplo, pues en la letra chica de su empaquetado, decía que enviaba los comandos de voz de sus televisores inteligentes a los servidores de otra empresa para que los analizara (lo que salió a la luz en 2015 y potencialmente podía usarse para espiar personas). Lección: leer la letra chica de los productos electrónicos que compres.
- Por último, antes de comprar un dispositivo inteligente, piensa si realmente lo necesitas. El 2015 se descubrió que en Londres ciertos hervidores de agua inteligentes -conectados en domicilios- podían ser utilizados para obtener claves de wifi y otros datos. Puede ser genial despertar en la mañana y que el agua esté lista para prepararse un café, pero hay que pensar bien si dormir cinco minutos más, es tan importante como para que valga la pena el riesgo. En algunos casos, los impulsos consumistas hacen que algunas personas se sientan gratificadas en ser de los primeros en tener algo. Pero los primeros también son los conejillos de indias.
A veces, es más sabio esperar un poco y ver qué pasa. Con suerte, en unos años aparecerá una nueva generación de IoT con dispositivos más seguros. Por ahora, el llamado es a que si bien es fantástico que las cosas se vuelvan inteligentes, las personas nunca debemos dejar de serlo. ¡Toma las precauciones necesarias!
Fuente
Cada día más dispositivos electrónicos de nuestro hogar y empresas, están conectados a Internet. ¿Hay riesgos asociados al “internet de las cosas”? ¿Cuáles? ¿Cómo podemos prevenirlos? Nuestra lectora Carolina Adaros –ingeniera y candidata a doctorado en ciber-seguridad- tiene una respuesta.
Hoy en día vivimos en un mundo donde todos los aparatos se están volviendo inteligentes, desde los electrodomésticos hasta los automóviles. Hoy es posible apagar y prender luces de nuestra casa desde el teléfono móvil, monitorear los signos vitales de una persona enferma a la distancia, que tu refrigerador administre listas de supermercado o que incluso realice las compras de manera automática.
Estos son solo ejemplos de cosas que hoy permite hacer la tecnología, algunas bastante sorprendentes. Definitivamente, de todos los avances tecnológicos que han permitido que esto suceda, el principal es el desarrollo de distintos tipos de redes de comunicación, entre ellos, Internet, que ha alcanzado un amplio nivel de cobertura y mucho más velocidad de la que solía tener.
Esto nos lleva al nombre con que se conocen todos estos dispositivos que hoy están conectados: el internet de las cosas o IoT por sus siglas en inglés (Internet of Things). Puede que hayan escuchado este nombre antes, o puede que no, pero lo que es seguro es que lo volverán a escuchar. Y es que muchos expertos están de acuerdo en que el internet de las cosas nos está trayendo lo que denominan “la cuarta revolución industrial”.
¿Internet de las cosas?
Este término fue usado por primera vez en 1999 por Kevin Ashton quien, al parecer, ya estaba visualizando de alguna manera lo que se venía, porque se estima que el 2018 habrá más de 11 mil millones de objetos conectados a Internet en el mundo, es decir más que personas en el planeta. Además, la consultora Gartner predice que este número aumentará a 20 mil millones el 2020.
Las posibilidades que hoy nos ofrecen los niveles de conectividad y la tecnología son amplias, y están presentes en todos los ámbitos del desempeño humano como, por ejemplo, salud, transporte, industrias, entretención y variados tipos de servicios (como los medidores inteligentes, por dar otro ejemplo).
Pero así como el internet de las cosas puede facilitar y mejorar la vida de muchas personas, también puede ponerlas en riesgo.
Los peligros del internet de las cosas
Con peligros no me refiero a teorías que pueden ser discutibles o dudosas; como que los celulares producen cáncer o que los smartphones volverán a todos antisociales. Sino que a algo 100% real y comprobado: los ciber-ataques. Lo cierto es que esta nueva realidad, también ha provisto de nuevos recursos a criminales y estafadores. Y los están aprovechando.
La ciber-seguridad ha sido declarada una de las problemáticas claves que enfrenta hoy la humanidad, según el Foro Económico Mundial. Incluso, el año pasado escuché a un profesional del área, decir en una conferencia en Inglaterra que es el segundo problema más grave luego del calentamiento global.
Lo cierto es que más allá del lugar que ocupe en un ranking, lo que hay que reconocer es que es un problema importante y parte de él tiene que ver con el amplio uso de internet y de sistemas computacionales, y también del poco conocimiento que se tiene respecto a la seguridad de la información. Incluso muchas empresas hoy en día carecen de las políticas adecuadas y del personal entrenado para proteger sus sistemas, donde guardan valiosa información tanto propia como de colaboradores y clientes. Tampoco hay regulaciones suficientes lo que llevó, por ejemplo, a cierta empresa en el extranjero a la que le robaron datos de clientes el 2015, a alegar que no tenían estos datos protegidos con encriptación, porque no estaban obligados por ley.
¿Por qué es tan difícil regular esta situación?
Hay distintas iniciativas que esperan cambiar esto, como las reglas generales de protección de datos o GDPR (General Data Protection Rules), que serán obligatorias en la Unión Europea desde Mayo del 2018. Por nuestra parte, en Chile existe el decreto 83 respecto a la protección de información, y también una ley sobre ciber-delitos que está en proceso de ser actualizada, ya que data de 1993.
Una de las razones por las cuales muchas leyes y reglamentos vigentes en los distintos países no son lo suficientemente efectivos o están desactualizados, es que muchos delitos cibernéticos no se reportan y rara vez llegan a una acción legal, lo cual no permite poner a prueba las leyes y mejorarlas. Las razones de esto es que a las empresas no les conviene hacer público que sufrieron un ataque, dado a que daña su reputación.
También muchas veces es difícil identificar con certeza o detener al atacante, ya que este puede encontrarse literalmente al otro lado del mundo. A este ya complejo escenario, vienen a sumarse los problemas de seguridad que introduce el internet de las cosas.
¿Y qué es lo que hace que los objetos inteligentes sean particularmente vulnerables? Hay varias razones:
Las “cosas” conectadas son muchas y generalmente están siempre encendidas
El gran número de aparatos conectados a Internet es grande, lo cual los hace atractivos para un atacante que quiera utilizarlos como parte de su “ejercito de robots” o botnet, robots que funcionan de manera autónoma y pueden ser controlados remotamente. Eso se conoce como ataque de denegación de servicio distribuido (DDoS), y es cuando muchos dispositivos hacen intentos de conexión falsos a un sitio, haciendo que este colapse y deje de funcionar.
Además, a diferencia de los computadores, las cosas conectadas muchas veces se mantienen encendidas las 24 horas, por ejemplo, las cámaras de vigilancia, máquinas expendedoras, sistemas de iluminación inteligentes, impresoras y routers.
Están por todos lados
Cuando hablamos de IoT, nos referimos a sistemas que no necesariamente se componen de un dispositivo, sino que pueden ser varios, incluso decenas o miles, los cuales se distribuyen en un amplio perímetro. Tal es el caso, por ejemplo, de los controles de transito inteligentes o sistemas con sensores utilizados en industrias. Esto hace mucho más difícil mantener el control sobre todos ellos.
Son complejos
Si bien el nivel de complejidad varia de un sistema a otro (no olvidemos que IoT es un concepto muy amplio), en general IoT tiene la característica de poseer todos los problemas de seguridad de un sistema computacional y más, puesto que funcionan con programas que permiten al usuario conectarse con los aparatos desde su computador o celular. Pero por otro lado, tienen además la componente física, esto significa que la denominada “superficie de ataque” es mayor, es decir, un agente malicioso puede acceder a ellos de más formas.
Se comunican de formas muy diversas
Mientras que los sistemas informáticos, en general, tienen formas estándar de comunicarse -lo cual facilita aplicar medidas de seguridad también estándar- el internet de las cosas se comunica de muchas maneras. Existen diversos protocolos de comunicación, distintas formas en que estos dispositivos envían y reciben la información, en muchos casos de forma inalámbrica. Esta variedad hace más difícil diseñar soluciones y, además, muchas de estas formas de comunicarse son intrínsecamente inseguras.
Cuentan con limitaciones técnicas
Muchas veces los dispositivos IoT son extremadamente simples y no poseen las capacidades computacionales (memoria y procesamiento de datos) para aplicar ciertas medidas de seguridad. Ejemplos de estas medidas de seguridad son la autenticación segura y la encriptación. Si bien antes dije que los sistemas IoT son complejos, me refería al sistema completo (incluyendo las aplicaciones y programas que los controlan), pero el dispositivo inteligente en sí, generalmente tiene capacidades mucho más limitadas que un computador.
No son diseñados teniendo en cuenta la seguridad
Este último punto es uno de los más relevantes, dado que para buscar soluciones respecto a los otros problemas, primero hay que querer hacerlo desde el diseño de los sistemas IoT.
Muchos fabricantes tienen como prioridad sacar los productos rápido al mercado y lo más barato posible, por lo cual no invierten en seguridad y, por ahora, nadie los obliga. Además, hay mucha menos experiencia en seguridad en el rubro de los dispositivos electrónicos, de la que hay en el mundo informático.
Como dije en un comienzo, los ciber-ataques a objetos inteligentes no son especulación ni ciencia ficción, sino que una realidad que está aconteciendo. Existen cientos de casos conocidos en la última década y se cree que casi la totalidad de las empresas no está preparada para enfrentar un delito de este tipo.
Consejos para evitar ciber-ataques
A veces, es más sabio esperar un poco y ver qué pasa. Con suerte, en unos años aparecerá una nueva generación de IoT con dispositivos más seguros. Por ahora, el llamado es a que si bien es fantástico que las cosas se vuelvan inteligentes, las personas nunca debemos dejar de serlo. ¡Toma las precauciones necesarias!
Fuente
Compartir esto: