A pesar de que apenas se encuentra en las etapas iniciales de desarrollo, el Internet de las Cosas (IoT: Internet of Things) lentamente se convierte en una realidad.
Sin importar la manera en la que el desarrollo del IoT se lleve a cabo en los meses y años siguientes, definitivamente existirán implicaciones de seguridad, por lo que los departamentos de tecnología de las empresas deberían empezar a contemplar una estrategia.
Tomando en cuenta que el IoT contará con componentes críticos de infraestructura, presenta un objetivo ideal para el espionaje nacional e industrial, así como así como ataques DoS (denial of service) y de otros tipos. Otra preocupación mayor es la cantidad de información personal que residirá en redes y que podría representar un nuevo blanco para los ciberdelincuentes.
En el momento en que un objeto se vuelve parte de un entorno interconectado, es necesario considerar que estos dispositivos han perdido seguridad física, ya que posiblemente se encontrarán localizados en entornos inhóspitos y serán accesibles al instante por individuos con malas intenciones. Los atacantes podrían interceptar, leer o modificar información, y podrían manipular sistemas de control y modificar la funcionalidad.
El mayor temor es que los usuarios de dispositivos IoT no tomarán en cuenta la seguridad de los objetos como una preocupación mayor. El problema es que el ancho de banda de un dispositivo comprometido puede ser utilizado para atacar terceros, por lo que el IoT creará nuevos retos complejos de seguridad para las empresas.
De acuerdo a Ted Demopoulus, fundador de la firma de consultoría de seguridad Demonopoulos Associates, el IoT presenta tres problemas enormes, que incluyen la pérdida de privacidad, la mezcla de información personal y de compañías y el descubrimiento.
- La pérdida de privacidad viene de la habilidad de localizar individuos, así como saber lo que están consumiendo o si se encuentran lejos de casa.
- La mezcla de información personal y de una compañía es un reto que varias empresas están empezando a experimentar con el uso de dispositivos móviles en el área de trabajo y la tendencia BYOD (bring your own device). La encriptación y el borrado remoto de datos podrían ser una solución, pero esto presenta nuevos retos legales, morales y técnicos.
- El descubrimiento hace referencia a la habilidad de los atacantes para leer remotamente datos personales a través de RFID (radio-frequency identification) y tecnologías similares, lo que también implica obstáculos éticos, legales y de privacidad.
Mientras que las amenazas siempre existirán en el IoT, al igual que en cualquier otra tendencia tecnológica, es posible reforzar la seguridad de los entornos IoT utilizando herramientas de seguridad como encriptación de datos, autenticación de usuarios y APIs estandarizadas y probadas que reaccionen de manera predecible.
Mientras que el IoT y el BYOD presentan los mismos riesgos de seguridad que las computadoras tradicionales, los dispositivos IoT no cuentan con la capacidad de defenderse, por lo que deberán depender de dispositivos independientes como firewalls e IDS/IPS (intrusion detection/protection services).
La seguridad física presenta un problema aún mayor, ya que la mayoría de estos dispositivos se encuentran en locaciones remotas y cualquiera puede tener acceso a ellos. Una vez que alguien tiene acceso a un dispositivo IoT, las preocupaciones de seguridad incrementan dramáticamente.
La mayoría de los proveedores de tecnologías IoT no están implementando medidas de seguridad en sus dispositivos. Pero el problema no recae sólo en los proveedores, sino también en el equipo de TI y los directivos, ya que deberán conocer el tipo de dispositivos conectados a la red corporativa.
La seguridad debe ser construida como la fundación de los sistemas IoT. Es necesario posicionar la seguridad como el eslabón más fuerte de la cadena tecnológica y someterla a rigurosas pruebas de validez, autenticación, verificación de datos y más, además de que toda la información debería estar encriptada.