Las implementaciones de IoT presentan nuevos desafíos de seguridad, privacidad y cumplimiento normativo para las empresas de todo el mundo. Retos que no sólo se circunscriben a las organizaciones, sino también al ámbito doméstico. Es un asunto que no debe pasarse por alto porque las consecuencias podrían ser graves….
Tranquilidad. No se trata de alarmar, sino de advertir. Por eso en este artículo desvelamos cuáles son las principales amenazas que se ciernen sobre el entorno de la Internet de las cosas (dispositivos, redes y datos), consejos para minimizar los riesgos y por qué es importante mantener seguros estos sistemas.
Índice de temas
Qué es la seguridad en IoT
La seguridad de la Internet de las cosas es la práctica que mantiene seguros los sistemas IoT. Esto implica proteger tanto los dispositivos como las redes a las que están conectados de las amenazas en línea y las filtraciones de datos. Esto se consigue al identificar, monitorear y abordar posibles vulnerabilidades en todos los equipos e infraestructuras.
Por qué es importante
Como ya hemos hablado en otras ocasiones, por la Internet de las cosas se entiende la agrupación e interconexión de dispositivos y objetos equipados con sensores, software y otras tecnologías a través de una red (bien sea privada o Internet), para conectar, comunicar e intercambiar datos entre ellos. Y estos objetos/dispositivos abarcan un vasto abanico que va desde ordenadores y smartphones a electrodomésticos, instrumental médico, coches, edificios o enchufes, entre muchos.
Los dispositivos IoT pueden enviar más información de la que somos conscientes y puede ser proporcionada sin nuestro consentimiento
Este gigantesco y diversificado volumen de “cosas” supone una ingente cantidad de datos de usuarios, equipos y maquinaria que quedan expuestos y son propensos a ser robados o pirateados por cibercriminales. Además, cuantos más dispositivos conectados haya, más riesgos. Si a ello le sumamos que todavía no se ha desplegado masivamente esta tecnología, pero que se aventura que experimentará un crecimiento exponencial de aquí a 2026 como consecuencia de la digitalización en servicios públicos, industria, infraestructuras y ciudades inteligentes… pues las necesidades de proteger objetos y conexiones resulta vital.
Y decimos vital porque las consecuencias de las brechas de seguridad de la IoT pueden ser letales pues afectan tanto a sistemas virtuales como físicos. Basta sólo con pensar en ejemplos como un vehículo conectado o en un glucómetro o un monitor de vigilancia de bebés o un robot automatizado de una fábrica de medicamentos o una cámara de seguridad tanto doméstica como de una oficina y un largo etcétera.
También hay que poner sobre la mesa un hecho, los dispositivos IoT pueden enviar más información de la que somos conscientes y esta puede ser proporcionada sin nuestro consentimiento. Y es que una característica de estos equipos es que simplemente por el hecho de ser conectados a Internet, envían automáticamente información a sus fabricantes, como, por ejemplo, la hora en que los encendieron y los apagaron.
No en vano, mientras la ciberseguridad de la información tradicional gira en torno al software y al modo en el que se implementa, la seguridad de IoT agrega una capa más de complejidad, ya que convergen el mundo cibernético y el mundo físico.
Cómo son los ataques de seguridad en IoT
La conectividad para IoT dibuja una superficie de ataque muy grande y, a menudo, desconocida. Los ataques de ciberseguridad en este entorno pueden amenazar los procesos, la comunicación o flujo de datos y el almacenamiento de los mismos. Al estar todo conectado, los ataques que comprometen, por ejemplo, la infraestructura de IoT de una smart factory causan daños, no solo con brechas de datos y operaciones no confiables, sino también daños físicos en las instalaciones o, peor aún, a las personas que dependen de esas instalaciones.
En general, los ataques de IoT se pueden clasificar en las áreas de suplantación de identidad (se suplanta al autor, se hace pasar por él para modificar funciones y operaciones del dispositivo), revelación de información (el cibercriminal obtiene información sin autorización y puede enviar datos falsos), alteraciones (un atacante puede alterar cualquier dispositivo físico o reemplazar total o parcialmente el software que lo ejecuta); revelar información; denegación de servicio (un equipo o sistema queda inutilizado para operar o conectarse); y elevación de privilegios (que un dispositivo que hace una función específica se vea forzado a hacer otra diferente).
Principales amenazas y riesgos de seguridad en IoT
La Internet de las Cosas tiene unos riesgos inherentes a su propia naturaleza como son la conectividad, la recolección masiva de datos, las vulnerabilidades técnicas en los mecanismos de autenticación y limitaciones de cálculo; y los ciclos de vida de estos dispositivos que suelen ser muy cortos por lo que se quedan obsoletos y sin soporte poco tiempo después de que se haya completado du despliegue.
La IoT tiene riesgos inherentes a su propia naturaleza: la conectividad, la recolección masiva de datos, las vulnerabilidades técnicas en los mecanismos de autenticación y limitaciones de cálculo y los ciclos de vida cortos de los dispositivos
A tenor de estas características podemos detallar algunas de las amenazas de seguridad más habituales de la IoT clasificándolas entre las que atañen más a dispositivos, conectividad y datos, aunque, casi siempre, suelen estar interrelacionadas.
Vulnerabilidad en el software
Una de las principales vulnerabilidades en el software de los dispositivos IoT tiene que ver con las credenciales de administración. En algunos casos no es posible modificar las credenciales que tienen por defecto, lo que supone un grave riesgo ya que éstas generalmente son de dominio público y cualquier ciberdelincuente las puede obtener de la documentación del fabricante.
Las credenciales de acceso embebidas en el código del dispositivo o la existencia de cuentas con privilegios elevados utilizadas por el fabricante y no documentadas también suponen un riesgo. Además, los dispositivos IoT, como cualquier otro dispositivo TI, no están exentos de sufrir otro tipo de vulnerabilidades como desbordamientos de búfer o buffer overflow (es una vulnerabilidad de seguridad que ocurre cuando un programa intenta almacenar más datos en un búfer de memoria de lo que puede manejar), condiciones de carrera, denegaciones de servicio, etc. que pueden comprometer su seguridad y la de los datos que gestionan.
Ataques sobre contraseñas y credenciales
Como hemos dicho muchos dispositivos IoT vienen con contraseñas por defecto que no suelen ser seguras. Sin embargo, los usuarios muchas veces no saben que pueden (y deberían) cambiarlas. Las contraseñas y las credenciales de inicio de sesión no seguras exponen a estos equipos a la piratería de las contraseñas y los ataques de fuerza bruta, es decir, los intentos por descifrar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso mediante el método de prueba y error.
Asimismo, entre los problemas comunes de interfaz que afectan los dispositivos IoT se encuentra el cifrado frágil o nulo o la autenticación de datos insuficiente.
Acceso físico al dispositivo
También es otra opción, sobre todo si nos referimos a sistemas que se encuentran en exteriores como cámaras de vigilancia, sensores IoT en contadores o farolas y otros casos. Si el dispositivo se halla en el interior de una oficina, nave industrial o vivienda el riesgo es menor, pero existe.
Conexión a Internet
Muchos dispositivos IoT están conectados a la Red de redes y este es uno de los principales puntos débiles. Existen buscadores cuyo objetivo es indexar dispositivos y servicios accesibles desde Internet, como Shodan. Con estos buscadores se pueden descubrir “cosas” como cámaras IP, contadores inteligentes… etcétera, conectados a Internet y averiguar detalles sobre su tecnología o configuración.
Cuando un ciberdelincuente consigue infectar para tener bajo su control multitud de dispositivos hablamos de una red botnet. Y cada uno de los dispositivos infectados se denomina bot o zombi. Este tipo de redes controladas por criminales pueden hacer todo tipo de acciones maliciosas como robar información, difundir spam, malware o realizar ataques DDoS.
Ataques DDoS
Dispositivos IoT infectados pueden utilizarse para realizar ataques de denegación de servicio distribuido comúnmente conocidos como DDoS.
Estos “objetos” secuestrados se utilizan como una base de ataque para infectar más aparatos o esconder actividad maliciosa. Estos ciberataques consisten en saturar un servicio como una web, por ejemplo, por medio de multitud de conexiones al mismo tiempo. Pero denegar el servicio supone también dejar un aparato inoperativo y en muchos casos no se soluciona el problema reiniciando o restaurando el software.
Aunque este tipo de amenazas suelen afectar más a las organizaciones, también pueden dirigirse a hogares inteligentes conectados.
Malware y ransomware para IoT
Los ataques de malware y ransomware están a la orden del día. Debido al importante aumento de dispositivos IoT conectados en los últimos años, ha aumentado el riesgo de que el software malicioso (programa que realiza acciones dañinas en un sistema informático o a sus usuarios de manera intencionada) y el secuestro de datos (programa que restringe el acceso a determinados sistemas o archivos y pide un rescate a cambio de quitar esa restricción) se aprovechen de ellos. Es más, el malware botnet de IoT ha estado entre las variantes más comunes.
Conexión a otras redes
Pero estos sistemas conectados que componen la IoT no sólo se comunican a través de Internet por lo que las amenazas no se reducen a las derivadas de este tipo de conectividad. Estos aparatos cuentan con capacidad de conexión inalámbrica como Wi-Fi, Bluetooth o Zigbee, entre otros protocolos. Y esto puede suponer otro vector de ataque.
Interceptar datos de tránsito
La transmisión de datos es una parte fundamental de los dispositivos IoT, ya que estos se han diseñado para interactuar con el mundo físico, siendo el envío y recepción de información esenciales para su funcionamiento. Si un ciberdelincuente consigue acceso a la red local o LAN donde se encuentra el dispositivo IoT o el receptor de la información, podría acceder a la información o incluso modificarla. A este tipo de ciberataques se los conoce como Hombre en el Medio o MitM, por sus siglas en inglés Man in the Middle.
Cuando un ciberatacante realiza un MitM dispone de dos variantes:
- MitM pasivo. El criminal intercepta el tráfico, es decir, los mensajes hacia o desde el dispositivo, y los envía de nuevo a su destinatario sin alterarlos, pudiendo obtener datos sensibles e información confidencial de la empresa.
- MitM activo. En este caso, intercepta el tráfico y además lo modifica antes de enviarlo de nuevo a su destinatario. Esto podría permitir que el ciberatacante actuara sobre el dispositivo IoT a su voluntad o alterara la información que recibe el usuario.
Ataques basados en el hardware
Cuando la seguridad no se ha tenido en cuenta en el diseño de un objeto que va a ser conectado a una red, se corre el riesgo de que este pueda ser blanco de ataques durante su funcionamiento.
Muchos dispositivos IoT no aplican los principios de seguridad por defecto. De aplicarlos, los valores de fábrica del dispositivo proporcionarían la mínima funcionalidad para su administración y operación, con los permisos estrictamente necesarios para permitir un uso ordinario sencillo y seguro. De este modo, para utilizar el dispositivo de forma insegura sería necesario un acto consciente por el usuario. No obstante, al incorporar la seguridad por defecto no se ha de descuidar la experiencia del usuario, pues si a causa de los mecanismos de seguridad se dificulta el uso normal para el usuario, este encontrará la forma de evitarlos.
Algunos fabricantes pueden dejar habilitados servicios o herramientas que realmente no necesitaría el aparato o el usuario para un uso normal. Cuantos más servicios tenga instalados y habilitados más posibilidades habrá de que uno de ellos tenga una vulnerabilidad que pudiera ser explotada por los ciberdelincuentes.
Acceso a la plataforma de administración
Los dispositivos IoT, principalmente debido a su tamaño, no cuentan con los típicos elementos que permiten interactuar con ellos, como una pantalla o un teclado. Para suplir esta carencia suelen contar con una interfaz web o aplicación móvil que permite su administración por medio de un navegador. Si la interfaz web tiene alguna vulnerabilidad o no cuenta con las medidas de seguridad necesarias para evitar accesos no autorizados, los ciberdelincuentes podrían acceder a ella y controlar el dispositivo a su antojo.
Ataques sobre la privacidad de los datos
Los ciberdelincuentes no centran sus esfuerzos únicamente en los propios dispositivos puesto que la información que manejan también es de gran importancia como datos personales como historial médico, claves de cerraduras, cuentas bancarias… Información robada que pueden emplear en su propio beneficio o vendarla al mejor postor comprometiendo la privacidad y seguridad de los afectados.
Los usuarios como vectores de ataque
Por activa y por pasiva se dice que el usuario es el eslabón más débil y, ciertamente, multitud de ciberataques vienen por un mal uso por parte de una persona ya sea de forma accidental, intencionada o por engaño.
Como explican desde el INCIBE, el tipo de ciberataque más común que llevan a cabo los ciberdelincuentes contra las personas de una organización está basado en lo que se conoce como ingeniería social. Mediante diferentes técnicas de engaño y manipulación psicológica los criminales fuerzan a la víctima a revelar información confidencial como credenciales de acceso o a instalar archivos infectados con malware.
Generalmente, estos ataques se llevan a cabo por medio de un correo electrónico en el que los ciberdelincuentes suplantan la identidad de una empresa conocida, un miembro de la propia organización como un técnico de informática o cualquier otra identidad en la que el usuario confía y que sirva para su propósito. Además del correo pueden utilizar otro tipo de canales como llamadas telefónicas o incluso realizar el engaño en persona.
Ejemplos de problemas de seguridad de IoT en empresas
Aunque la Internet de las cosas todavía no ha desplegado todo su potencial, ya podemos referir casos muy relevantes de dispositivos IoT o componentes de lo actualmente se conoce como Internet of things vulnerados por cibercriminales. Y estos son algunos de los que han transcendido:
2010: Stuxnet en Irán y hackeo en la Oficina Federal de Información de Alemania
Stuxnetes el gusano informático considerado como el primero en atacar sistemas de control industrial (SCADA). Supuestamente creado para sabotear los procesos de enriquecimiento de uranio del programa nuclear iraní, se estima que destruyó hasta mil máquinas centrifugadoras de la planta energética antes de ser descubierto.
También en ese año, la Oficina Federal de Seguridad de Información de Alemania emitió un informe que confirmaba que un grupo de hackers había accedido de forma no autorizada impidiendo el apagado de uno de los hornos en una empresa de acero, lo cual provocó un daño masivo a la instalación.
2012: sistemas de ventilación y aire acondicionado de edificios.
Un grupo de atacantes logró manipular remotamente los termostatos de un edificio de gobierno y de una planta manufacturera para cambiar con éxito la temperatura del interior. De haber ocurrido en un centro de proceso de datos, por ejemplo, se podrían haber ocasionado daños a la infraestructura de TI.
2013: robo de información en la empresa Calpine
En 2013 se confirmó el robo de información de planos detallados de la red y de 71 estaciones eléctricas, ubicación precisa de dispositivos, diagramas de red y contraseñas de dispositivos de la red eléctrica gestionada por la empresa Calpine, el principal generador de electricidad de los Estados Unidos. Información relevante y que facilita la ejecución de un ataque posterior.
2016: ataque de la botnet Mirai
En este año, cientos de miles de dispositivos conectados comprometidos fueron infectados por una botnet denominada Mirai. Una botnet es una red de ordenadores que han sido infectados a propósito por malware para que los atacantes puedan realizar tareas automatizadas en Internet sin el permiso ni el conocimiento de los propietarios de los ordenadores. Como resultado del ataque Mirai, los principales servicios y sitios web, como Spotify, Netflix y PayPal dejaron de funcionar temporalmente.
2017. Persirai: nueva red botnet IoT que infecta cámaras IP
Poco después del bombazo de Mirai se descubrió una nueva botnet denominada Persirai (detectada por Trend Micro como ELF_PERSIRAI.A), que estaba dirigida a más de 1.000 modelos de cámaras IP basadas en diversos productos de Fabricantes de Equipamiento Original (OEM).
2018: malware VPNFilter
En 2018, el malware VPNFilter infectó más de medio millón de enrutadores en más de 50 países. Dicho programa maliciosos puede instalar malware en dispositivos conectados a su enrutador y recopilar la información que pasa, bloquear el tráfico de red y robar contraseñas.
2020: pirateo del Tesla Model X
Un experto en ciberseguridad pirateó un Tesla Model X en menos de dos minutos aprovechando una vulnerabilidad del Bluetooth. Ha habido ataques similares a vehículos que utilizan llaves inalámbricas para abrirse y arrancar.
2021: pirateo de las cámaras de Verkada
Verkada es una empresa de cámaras de seguridad. En 2021, hackers suizos vulneraron 150 000 transmisiones en directo de las cámaras. Estas cámaras monitoreaban la actividad dentro de edificios públicos (como escuelas, hospitales, prisiones) y organizaciones corporativas privadas.
Consejos de seguridad en IoT
Visto todo lo visto podemos decir que la seguridad en IoT es un asunto que no debe desatenderse y aunque lograr una protección total de estos ecosistemas se antoja una tarea bastante complicada -sobre todo si tenemos en cuenta que los cibercriminales van varios pasos por delante y tienen motivaciones económicas para atacar-, se si siguen buenas prácticas es posible minimizar los riesgos.
Estos son algunos consejos para ir en la buena dirección y salvaguardar tanto los dispositivos como la red a la que se conectan:
Mantener el dispositivo y el software actualizados
En los dispositivos IoT no se suelen utilizar las soluciones habituales de ciberseguridad como antivirus o cortafuegos, por eso al adquirir uno de estos sistemas de Internet de las cosas conviene asegurarse de que el fabricante nos proporcione las actualizaciones pertinentes y que estas se aplican de manera consistente cada vez que estén disponibles. Puede que el propio aparato envíe actualizaciones automáticas o quizás tenga que ser el propio usuario el que tenga que consultar en la web del fabricante si hay reajustes disponibles realizándolos manualmente. ¡Ojo, siempre la consulta al sitio web oficial del proveedor!
No hay que olvidar que las actualizaciones de software son una parte fundamental para la seguridad de cualquier equipo, todavía más para los de Internet de las cosas. Para los hackers, es más fácil vulnerar aparatos con software antiguo. Por ello, aplicar las últimas actualizaciones y parches de seguridad será una prioridad, así se corregirán las últimas vulnerabilidades descubiertas y se contará con las últimas funcionalidades implementadas por el fabricante. Además, si hablamos de una organización, estos dispositivos IoT deberán formar parte de la política de actualizaciones de software de la empresa. Dicha política ha de contemplar todas las casuísticas posibles como los mantenimientos programados y no programados y debe estar basada en las necesidades de la propia compañía. Hay, pues, que asegurarse de que el firmware del objeto/sensor está al día e instalar las actualizaciones de las aplicaciones tan pronto como estén disponibles.
Conocer las amenazas más probables y evaluar los riesgos
Para comprender mejor la seguridad IoT de nuestros dispositivos, conexiones y datos hay que tener conocimiento de cuáles son las amenazas más probables que pueden interferir en estos tres aspectos. Posteriormente hay que evaluar los riesgos analizando las consecuencias de esas potenciales amenazas que se han identificado y decidiendo cuál es más importante. En función de este estudio, se aconseja establecer una clasificación de las consecuencias por orden de prioridad y centrar esa estrategia de seguridad centrándose en las primeras y eliminando los escenarios menos relevantes. Todo esto exige una formación constante, es decir, estar al día de los peligros y de las herramientas que pueden ayudar a mitigarlos.
Pero en esta tarea de formación, no sólo hay que conocer qué traman los criminales, es decir, dónde están poniendo el foco. Es fundamental identificar los objetos más vulnerables de una empresa/vivienda. Detectar las principales “puertas de ingreso” de los delincuentes digitales y blindarlas es indispensable para garantizar la seguridad en IoT.
En este sentido, conviene recordar que cada nuevo dispositivo supone una oportunidad de ataque; por lo tanto, es recomendable añadir los recursos a un inventario de activos y monitorear constantemente sus riesgos.
Es por ello que es mejor implementar soluciones de Internet de las cosas paulatinamente, de forma gradual, antes de incluir varios recursos a la rutina corporativa, es esencial realizar pruebas y simulaciones de ataques, además de preparar a los trabajadores y a los equipos de TI para la nueva realidad. Estas acciones permiten orientar a los usuarios sobre las mejores prácticas e identificar posibles errores, fallos y situaciones peligrosas que pongan en riesgo la seguridad de los dispositivos y de la empresa.
Cambiar las contraseñas por defecto en los dispositivos IoT
Una práctica muy habitual es emplear el mismo nombre de usuario y contraseña en todos los sistemas. Aunque es más sencillo de recordar, también es más fácil de hackear. Por ello hay que cerciorarse de que cada credencial de inicio de sesión sea única y cambiar siempre las contraseñas por defecto en los dispositivos nuevos. Eso, claro está, si el dispositivo IoT permite cambiarlas. Por eso, a la hora de escoger un equipo se ha de verificar que cuenta, al menos, con mecanismos de autenticación basados en la dupla usuario y contraseña. Y, con independencia de la interfaz que emplee (web o aplicación móvil), llevar un correcto control de acceso a la administración del aparato.
¡Evita utilizar la misma contraseña en varios terminales!
Utilizar contraseñas seguras en equipos y en la red Wi-Fi
Una contraseña robusta y segura es larga (tiene al menos 12 caracteres e idealmente más) y contiene una combinación de letras mayúsculas y minúsculas, además de símbolos y números. Hay que huir de lo obvio, como números en secuencia (“1234”) o información personal que alguien conocido pueda adivinar, como la fecha de nacimiento o nombre de una mascota, por ejemplo. Así, para el nombre de usuario se debe evitar usar nombres genéricos o fácilmente reconocibles.
Cuantos más caracteres tenga una contraseña y más variados sean más robusta será
Si resulta complicado recordar una clave con estas características existen administradores de contraseñas que pueden ayudar para llevar un registro de las credenciales de inicio de sesión.
Cambiar el nombre del enrutador
Conservar el nombre del enrutador que viene de fábrica puede servir a los intrusos para identificar la marca o el modelo. Por lo tanto, se debe poner un nombre nuevo al enrutador, pero asegurándose de que no devele ningún dato personal, como nombre o dirección.
Controlar los ajustes de privacidad de los dispositivos IoT
Los dispositivos IoT seguramente vengan con ajustes de privacidad y de seguridad por defecto. Siempre es buena idea revisarlos y cambiar lo que sea necesario para asegurarse de que queden configurados de una forma que nos resulte cómoda. De manera similar, es recomendable estudiar las políticas de privacidad para comprender cómo el proveedor almacena y utiliza sus datos personales.
Si el dispositivo lo permite se habilitará un registro de logs que guarde los eventos que se producen como accesos, cambios de contraseña, actualizaciones, etc
Activar y desactivar funciones en base a su uso
Un consejo muy útil es realizar un seguimiento de las funciones disponibles del dispositivo y desactivar o deshabilitar las características y funcionalidades que no se utilicen. Resulta muy apropiado conocer las funciones disponibles en los dispositivos y desactivar las que no se utilizan para reducir las posibilidades de un potencial ataque. Si un smartwatch tiene como finalidad principal marcar la hora y no lo utilizamos para mucho más, ¿para qué tener activadas las funciones de conexión por Bluetooth, NFC o activación por voz?
Autenticación de varios factores cuando sea posible
La autenticación de varios factores (MFA) es un método de autenticación que solicita a los usuarios que proporcionen dos o más métodos de verificación para acceder a una cuenta en línea. Por ejemplo, en lugar de solo pedir un nombre de usuario o una contraseña, la autenticación de varios factores va más allá y solicita más información, como una contraseña de uso único que los servidores de autenticación del sitio web envían al teléfono o al correo electrónico del usuario. No todos los dispositivos tienen MFA, pero si la tuvieran su empleo supone un obstáculo más para los ataques de cibercriminales.
Proteger el hardware
Fundamentalmente si este hardware esté más expuesto por ubicarse en exteriores o tener un fácil acceso por personas ajenas a la vivienda u organización, hay que cerciorarse que está protegido de forma correcta con cubiertas, puertos USB deshabilitados si no se usan, información que se almacene localmente en el dispositivo que sea cifrada y si no hubiese alternativa más segura optar por conexiones de datos móviles en lugar de Wi-Fi.
Concienciación del usuario
La formación y concienciación del usuario es una de las principales medidas de seguridad que se puede llevar a cabo para prevenir ciberataques en IoT. Como sociedad debemos mejorar nuestras habilidades en ciberseguridad desde el buen uso de contraseñas y credenciales, hasta el conocimiento de los riesgos. Desconfiar de correos “raros” y fuentes de información no fiables, aunque lo parezcan. Es una tarea ardua, pero cada vez más necesaria.
Sobre este particular, ya hay algunas recomendaciones de fuentes oficiales sobre seguridad de dispositivos IoT, como la publicada por el Ministerio del Interior, el INCIBE o de proveedores u operadores como UnaBiz.
La seguridad de IoT debe seguir un enfoque integral, donde se utilicen las tecnologías y los protocolos adecuados que protejan los dispositivos, la conectividad o redes y los datos tanto durante su procesamiento como durante su almacenamiento.
Comunicaciones seguras en IoT
La interfaz para acceder al dispositivo, además de contar con credenciales de acceso robustas, tendrá que utilizar técnicas criptográficas que cifren la información. Cuando se accede al dispositivo por medio de un navegador se comprobará que al comienzo de la dirección se utiliza el protocolo HTTPS. Esto es fácilmente identificable cuando en la barra de navegación la dirección comienza por «https://».
Como alternativa a las comunicaciones no cifradas, y siempre que sea necesaria la comunicación con el dispositivo vía Internet, existe la opción de utilizar redes privadas virtuales o VPN, por sus siglas en inglés Virtual Private Network. La implementación de una VPN ofrece comunicaciones seguras con el dispositivo IoT desde cualquier tipo de conexión, incluidas redes Wi-Fi públicas. En caso de que el acceso al dispositivo no cuente con el protocolo de comunicación HTTPS se recomienda no administrarlo desde Internet si no se utiliza algún mecanismo de seguridad complementario, como una red privada virtual o VPN, ya que en ese caso las credenciales de acceso se transmitirán por un canal no seguro y cualquier ciberdelincuente podría hacerse con ellas. Como alternativa se recomienda acceder al aparato IoT utilizando la misma red local y un dispositivo seguro.
Cuando el acceso se realiza por medio de una aplicación móvil se aconseja comprobar en las especificaciones de la propia aplicación si se utilizan mecanismos seguros de comunicación. En caso de no indicarlo es necesario contactar con el fabricante para que informe si los datos en tránsitoo están protegidos o no. Si la aplicación no cifra las comunicaciones, de la misma forma que sucede con el acceso por medio de una interfaz web, se debe utilizar una VPN.
Además del acceso al propio panel de administración del dispositivo, toda la información que envía es recomendable que viaje cifrada. En caso de no ser posible se deberán aplicar otras medidas de seguridad como la segmentación de redes o las VPN. La información, dependiendo del tipo de aparato elegido, puede ser sensible y de ser interceptada por un ciberdelincuente puede utilizarse con fines maliciosos.
Por otra parte, como hemos comentado muchos dispositivos IoT, debido a sus capacidades de procesamiento reducidas, no suelen tener la posibilidad de implementar herramientas de seguridad como cortafuegos o antivirus ni protegerse ante ciberataques como denegaciones de servicio o DoS. Para paliar la esta debilidad es necesario aplicar las medidas de seguridad en otros dispositivos y capas de la red de la empresa.Es recomendable configurar un cortafuegos o firewall que filtre las conexiones que se establecen con los dispositivos IoT para que solo sean permitidas aquellas conexiones desde determinados equipos y servicios. No es una configuración segura que dicho terminal se encuentre en la red corporativa de la empresa con conexión a Internet, pues podría ser utilizado para acceder a dicha red. Para resolverlo, es recomendable crear una o varias redes específicas para estos dispositivos y configurarlas como DMZ o zona desmilitarizada.
En este sentido, los dispositivos IoT comúnmente tienen habilitados varios servicios para su gestión cuyo acceso se hace por medio de diferentes puertos, como por ejemplo el 80 al servicio «http» o el 23 al «servicio telnet». Se han de filtrar las conexiones a los puertos que no sean necesarios por medio de algún dispositivo de red perimetral como un cortafuegos o router, ya que reduciendo el nivel de exposición disminuye el nivel de riesgo. En caso de ser posible, se deshabilitarán además los servicios que no sean necesarios para su administración como telnet, cuyo uso no es recomendable al existir alternativas más seguras. Además, si el dispositivo IoT se encuentra dentro de una red inalámbrica, como puede ser una red Wi-Fi o ZigBee, esta también debe contar con las suficientes medidas de seguridad.
Emplear un método de cifrado de Wi-Fi seguro
Utilizar un método de cifrado seguro para la configuración del enrutador (por ejemplo, WPA2 o posterior), contribuirá a mantener la red y las comunicaciones seguras. Las versiones antiguas de WEP y WPA son vulnerables a ataques de fuerza bruta.
Configurar una red de invitados
Si el enrutador permite esta opción, conviene considerar la creación de una red inalámbrica de invitados que también emplee WPA2 o posterior, y que esté protegida por una contraseña segura. Esta red de invitados se puede facilitar a visitas como amigos y familia que, sin saberlo, pueden estar utilizando dispositivos que fueron vulnerados o infectados con malware antes de conectarse a nuestra red. Una red de invitados sirve para mejorar la seguridad general de la red doméstica.
Segmentación de redes
Uno de los principales fallos que se cometen a la hora de implantar soluciones IoT es no segmentar adecuadamente la red, permitiendo que los dispositivos IoT conectados a la misma red de la empresa puedan ser la puerta de entrada de los ciberdelincuentes. Es importante, al igual que se pueden crear redes de invitados en los hogares, hacer una segmentación de las redes en las empresas creando igualmente redes de invitados e hipersegmentando aún más las infraestructuras para determinadas conexiones de equipos o sistemas concretos.
Prestar atención al utilizar una red pública de Wi-Fi
¡Ojo con las redes públicas Wi-Fi! No siempre tienen la protección que debería y más si dan acceso a millones de dispositivos. Debemos ser conscientes de los riesgos de seguridad que implica utilizar una red pública de Wi-Fi. Una forma de mitigar tales riesgos puede ser utilizando una VPN.
Conocer los dispositivos IoT conectados a la red doméstica
Un punto importante en seguridad de IoT radica en revisar todos los dispositivos que se comunican con a la red del hogar y conocer su función. Podríamos llevarnos sorpresas al conocer la cantidad de equipos conectados. Quizás algunos de ellos sean muy antiguos o apenas los utilizamos.
Acceso remoto protegido
El acceso remoto permite controlar los dispositivos IoT a distancia, algo que resulta muy útil en muchos casos. Sin embargo, conviene deshabilitar dicho acceso mientras ese no sea necesario o proteger cuando sí lo sea.
Desafíos y retos de seguridad en IoT
Tras la pandemia de Covid-19 se popularizó el teletrabajo y en este contexto se descuidó la seguridad de las redes domésticas que no suelen estar tan protegidas como las corporativas. Si la tendencia del trabajo híbrido termina por imponerse en las empresas, habrá que vigilar que también las conexiones en los hogares sean seguras.
Pero no sólo bastará con eso. En los últimos cuatro años, el número de dispositivos conectados en los hogares de nuestro país ha aumentado: casi tres cuartas partes de los españoles tienen al menos uno, la cifra más alta del mercado del sur de Europa. Y éste podría ser un smartphone o un portátil, pero se suele tener más de un equipo por persona… Es más, si hablamos de televisores inteligentes conectados a Internet en España entre 2013 y 2023 vemos que en el último año más del 64% de los hogares disponía de una smart TV conectada a la red. Esto dibuja un entorno complejo ya que bastará con una mala configuración de cualquier aparato “enganchado” a Internet para poner en peligro toda la red doméstica. Ahí no acaba la cosa, también debemos hacer caso a otras variables como la fragmentación y heterogeneidad de los objetos que se conectan y que algunos de estos equipos pueden ser bastante antiguos y carecen de características de ciberseguridad para IoT.
Asimismo, junto con el teletrabajo y el aumento de dispositivos conectados en los hogares habría que hablar un desafío crucial intrínsecamente relacionado: la privacidad de los datos. Los equipos IoT recopilan, transmiten, almacenan y procesan gran cantidad de información de usuarios. Con frecuencia, estos datos pueden ser compartidos con o vendidos a un tercero. Si bien los usuarios suelen aceptar las condiciones de servicio antes de utilizar estos aparatos, muchos no las leen, por lo cual no siempre tienen en claro cómo se pueden llegar a utilizar sus datos.
Y es que, como hemos comentado a lo largo de este artículo, el mismo concepto de Internet de las Cosas ya entraña grandes amenazas que obligan a las empresas a revisar sus procedimientos, políticas de seguridad y adecuación a la normativa al incorporar dispositivos IoT, considerando también su administración, su ciclo de vida y toda la información que generan e intercambian.
En definitiva, hay que prepararse para la seguridad de la IoT concediendo a esta tarea el protagonismo que merece, identificando las amenazas e interiorizando buenas prácticas que permitan si no eliminar, sí minimizar los riesgos.
Recomendaciones de seguridad en dispositivos IoT en empresas
Estas son las recomendaciones que ofrece el INCIBE a la hora de utilizar cualquier tipo de dispositivo IoT en la empresa.
- Minimizar el uso de dispositivos IoT en la empresa utilizando únicamente los que sean estrictamente necesarios.
- No usar, en la medida de lo posible, dispositivos IoT que transmitan información o cuya gestión se realice desde servidores externos “en la nube” aunque sea del fabricante.
- Comprobar las configuraciones por defecto del dispositivo, especialmente antes de permitir su acceso desde Internet y, de ser posible, elegir aquellos dispositivos que permitan un elevado nivel de seguridad.
- Si no es posible establecer configuraciones de seguridad robustas no se permitirá el acceso al dispositivo desde Internet y preferiblemente tampoco desde la red local.
- Establecer siempre contraseñas de acceso y administración robustas. Siempre que sea posible se forzará su uso.
- Mantener actualizado el dispositivo a la última versión.
- Mantener abiertos a Internet únicamente aquellos servicios que sean necesarios para su administración remota y los que no lo sean se deben deshabilitar. También hay que cambiar los puertos de los servicios cuando sea posible.
- Utilizar dispositivos de seguridad perimetral como cortafuegos para proteger la seguridad del dispositivo IoT.
- Emplear mecanismos que permitan asegurar la autenticidad, integridad y confidencialidad de las comunicaciones, especialmente si estas se realizan vía Wi-Fi.
- Auditar periódicamente los dispositivos IoT.
- Concienciar a los empleados sobre la importancia de la ciberseguridad en el día a día de su trabajo y en la administración y uso de este tipo de dispositivos.
- Comprobar la seguridad física del dispositivo y aplicar las medidas necesarias que eviten manipulaciones de terceros.