IT World
Gracias a los ataques con botnet Mirai, pocas personas en el mundo de la tecnología necesitan un recordatorio de que los dispositivos del IoT siguen siendo una amenaza seria para las redes empresariales. Aun así, más de un año después de que la red zombi llegara a los titulares de todo el mundo, la seguridad del IoT sigue siendo principalmente una idea, en lugar de una realidad.
Tal es el alcance del problema que el director de investigación IoT de Frost and Sullivan, Dilip Sarangan, argumentó a favor de la intervención gubernamental. Dijo que, debido a que la responsabilidad de la seguridad del IoT se difunde entre fabricantes de artefactos, proveedores de redes, desarrolladores de software y muchos otros, es difícil para la industria progresar en estándares que abarquen todo.
“La única entidad que tiene la capacidad de dictar realmente cuál es el umbral mínimo, desafortunadamente, es el gobierno de los EE. UU.”, indicó el experto.
La dificultad de crear estándares globales tiene que ver principalmente con el hecho de que cualquier implementación del IoT tiene un gran número de partes móviles, cada una de las cuales puede ser administrada por diferentes organizaciones o incluso por terceros.
Por ejemplo, un conjunto de dispositivos médicos proporcionados por la compañía A que se conectan a una red provista por la compañía B, ejecutando una aplicación, originalmente escrita por la compañía C y que reside en la nube de la compañía D.
“Todos hablan de que van a proporcionar seguridad de extremo a extremo, y en realidad no hay forma de hacerlo. No se tiene control sobre muchas partes de una solución de IoT”, señaló Sarangan.
Visibilidad de la red
Desde el lado de la creación de redes, existen ventajas y desventajas en la mayoría de las opciones disponibles para cualquier implementación de IoT dada. Las redes celulares, por ejemplo, tienden a ser mucho más seguras que WiFi, ZigBee u otras opciones de área amplia, pero una empresa probablemente tendrá una visibilidad mucho más limitada de lo que está sucediendo en esa plataforma.
Eso, en sí mismo, puede ser un problema de seguridad, y es imperativo que los operadores proporcionen características de administración de dispositivos más robustas en el futuro.
“Qué tipo de dispositivo es, qué tipo de información se supone que debe enviar, dónde se supone que debe enviar los datos, qué se supone que debe hacer con esa información, hasta que sepa todo eso, es difícil estar completamente seguro”, detalló Sarangan.
La visibilidad mejorada de la red es clave para evitar escenarios del peor de los casos, como actores malintencionados que acceden a las redes eléctricas y la infraestructura de Internet, pero también lo son las medidas de sentido común, como los air gap.
Un mar de dispositivos IoT
Sin embargo, la falta de control de calidad y la presencia de una gran cantidad de dispositivos muy antiguos en redes IoT podrían ser las amenazas de seguridad más críticas. El hardware de hace décadas, que puede no haber sido diseñado para conectarse a Internet en primer lugar, y mucho menos para hacer frente a las amenazas de ciberseguridad actuales, crea un problema grave.
“Ya hay más de 10 mil millones de dispositivos de IoT por ahí … y muchos de estos dispositivos se crearon en 1992″, mencionó Sarangan.
Además, la gran cantidad de empresas que fabrican hardware habilitado para IoT desarrollan un problema potencialmente grave en lo que respecta al control de calidad. Grandes empresas como Amazon, Microsoft y Google son noticia por sus artilugios inteligentes para el hogar, pero el mundo de IoT es mucho más amplio que eso.
China, en particular, es una fuente importante de dispositivos IoT de gama baja (altavoces, rastreadores, refrigeradores, candados para bicicletas, etc.) y no solo los Huaweis y Xiaomis del mundo proporcionan el hardware.
“[Hay] cientos de tiendas familiares que desarrollan elementos que no necesariamente sabemos si confiar o no; estos son dispositivos que se conectan a redes Wi-Fi no seguras. Eso ya es una amenaza para la seguridad, y una gran parte de los estadounidenses en realidad no protege sus enrutadores“, concluyó Sarangan.
De hecho, ya se han encontrado puertas traseras escondidas en algunos de esos dispositivos, según The Register.
Comments