Amenzas, noatividades y respuestas de proveedores a los riesgos en la Internet de las Cosas (IoT).
El Salvaje Oeste, un lugar de exagerada anarquía en los Estados Unidos durante los 1800’s, ha regresado una vez más como una metáfora para el Internet de las Cosas (IoT). Impulsados por problemas similares de exploración, propiedades ocupadas, y prospección de riquezas, los dispositivos de IoT se están volviendo tan comunes como los bisontes que antaño recorrían estas tierras. Cientos de miles de tipos de dispositivos, organizados en redes amplias que generarán una cantidad inconmensurable de datos, están siendo incorporados en casi cada industria y son propuestos para todos los tipos de actividades del consumidor.
Intel Security ha debatido sobre el futuro de las amenazas, normas y probablemente respuestas de los proveedores con expertos de toda la compañía para la IoT, y hemos resumido sus pensamientos en el informe de Predicciones de Amenazas de McAfee Labs 2017. Los dispositivos IoT realmente deberían ser considerados como parte de una red. Sus conexiones hacia la nube hacen que las amenazas y respuestas estén estrechamente vinculadas a ella. Algunos de los principales problemas incluyen un creciente temor a las amenazas indefinidas, errores por parte de los fabricantes de dispositivos que no están familiarizados con las prácticas de ciberseguridad, y los actuales desafíos en normatividades.
Un temor creciente, pero ¿de qué?
Los dispositivos IoT van definitivamente a atraer la actividad delictiva ya que son una fuente de datos o pueden servir como un vector de ataque. Ya hemos observado los inicios de esto, incluyendo las violaciones de datos que consiguieron acceso inicial a través de un dispositivo IoT conectado, y el reciente ataque de denegación de servicio distribuido (DDoS) sobre la infraestructura de Internet de webcams en riesgo. Así que el temor de un ataque es legítimo, pero la forma de ataques en el futuro sigue siendo incierta.
Los ciberdelincuentes son movidos por el dinero, y no queda claro cómo van a aprovechar la vulnerabilidad de estos dispositivos para obtener lucros. Esperamos ransomware de algún tipo, incluyendo ataques DoS que impiden que los dispositivos sean utilizados correctamente, que es la manera más fácil de que los atacantes obtengan dinero, y por lo tanto representa la mayor amenaza inicial. Las relativas debilidades de seguridad y la amplia superficie de ataque de los dispositivos IoT también hacen de ellos un blanco preferido para los hackers activistas.
Errores de novato
Muchas compañías están agregando funcionalidad IP a sus dispositivos con el fin de mejorar la eficiencia y recolectar datos acerca de la utilización del dispositivo. Muchas de estas empresas tienen poca experiencia con la conectividad de Internet, y esperamos que cometan errores de novato, con cosas tales como contraseñas predeterminadas (que permitieron el reciente ataque DDoS), niveles de privilegios innecesarios, y vulnerabilidades sin parches (o incluso que no pueden recibir parches). Aprenderán, pero les llevará años de violaciones, ataques, litigios, regulaciones y dolorosas lecciones.
Desafíos de cambios normativos continuos y normas culturales de privacidad
Similar a lo ocurrido con la nube, la adopción rápida de dispositivos IoT está creando una gran brecha en las normatividades. Estando los consumidores a la vanguardia de la adopción de dispositivos IoT, las preocupaciones por la privacidad serán el mayor impulsor inicial de la legislación. Las distintas jurisdicciones ya tienen normas y actitudes divergentes hacia la privacidad, algo que los dispositivos IoT sólo empeorarán. Los legisladores tendrán grandes dificultades para mantenerse al día con estos avances tecnológicos. Los incidentes y litigios resultantes, las protestas, la reacción de los consumidores, y la rendición corporativa de cuentas, afectarán el desarrollo de la legislación de manera diferente en cada jurisdicción. Las contradicciones y la incertidumbre que rodean a la normatividad de la IoT, representarán un desafío importante para las corporaciones multinacionales e incluso pueden restringir la adopción de dispositivos IoT en algunos mercados.