Elaborado por Materia para OpenMind Recomendado por Materia
5
Inicio Internet de las cosas: Seguridad, privacidad y protección
13 mayo 2015

Internet de las cosas: Seguridad, privacidad y protección

Tiempo estimado de lectura Tiempo 5 de lectura

Amenazas del Internet de las cosas

Podemos englobar las amenazas de la Internet de las cosas (IC) en tres categorías: privacidad, protección y seguridad. Los expertos afirman que las amenazas a la seguridad de la Internet de las cosas son amplias y pueden ser potencialmente devastadoras para los sistemas. Dado que la IC tendrá componentes de infraestructura esenciales, es un buen objetivo para el espionaje nacional e industrial, así como para la denegación de servicios y otros ataques. Otro ámbito importante de preocupación es la protección de los datos de carácter personal, que residirá potencialmente en las redes, también objetivo probable para los ciberdelincuentes.

Algo que debemos tener en cuenta al evaluar las necesidades de protección, es que la IC sigue siendo en gran medida un trabajo en curso. Muchas cosas están conectadas a internet actualmente, y veremos cómo va aumentando, así como la aparición del uso compartido de datos contextuales y acciones de máquinas autónomas basadas en esa información. La IC es la asignación de una presencia virtual a un objeto físico, a medida que evoluciona, estas presencias virtuales empezarán a interactuar e intercambiar información, y los dispositivos tomarán decisiones partiendo de este dispositivo contextual. Esto conducirá a amenazas físicas respecto a infraestructuras y propiedades nacionales [por ejemplo, automóviles y hogares], medio ambiente, suministro de electricidad, agua y alimentos, etc.

Como diversos objetos serán parte de un entorno interconectado, tenemos que considerar que estos dispositivos han perdido su protección física, porque van a estar situados en lugares inhóspitos, a los que la persona más motivada para falsificar los controles podrá acceder instantáneamente. Los atacantes podrán interceptar, leer o cambiar datos potencialmente, podrán falsificar los sistemas de control y cambiar funcionalidades, lo que se suma a las situaciones de riesgo.

Las amenazas son reales

Entre otros ejemplos recientes, unos investigadores accedieron ilegalmente a dos automóviles e inutilizaron los frenos, apagaron las luces y luego activaron los frenos en remoto, todo ello sin el control del conductor. En otro caso, un yate de lujo fue desviado de su curso por investigadores que accedieron ilegalmente a la señal de GPS que el barco utilizaba para navegar.

Los centros de control para el hogar también han resultado ser vulnerables, pues los atacantes pueden alterar la calefacción, la iluminación, el suministro de electricidad y el cierre de puertas. Otros casos afectan a sistemas de control industriales pirateados a través de redes y sensores inalámbricos.

Ya estamos presenciando equipos de TV y videocámaras pirateados y monitores  de control infantil que han generado preocupación, e incluso medidores de potencia que hasta la fecha se han utilizado para robar energía eléctrica, añade Paul Henry, director de una empresa de consultoría de protección (VNet Security LLC,) en Boynton Beach, Florida, y profesor en el SANS Institute, organización cooperativa de investigación y formación de Bethesda, MD. «Un artículo reciente hablaba de una “bombilla pirateada”», comenta Henry. «Puedo imaginarme un gusano que comprometa gran número de estos dispositivos conectados a internet y los reúna en una red robot de algún tipo. Recordemos que no se trata solo del valor o poder del dispositivo que el malo quiere, es el ancho de banda al que se puede acceder y utilizar en un ataque DDoS (denegación de servicio distribuido).»

La mayor preocupación, según Henry, es que los usuarios de los dispositivos de IC no contemplan la seguridad de los dispositivos que conectan como una gran preocupación. «El problema es que el ancho de banda de un dispositivo comprometido se puede utilizar para atacar a terceros», comenta. «Imaginemos una red robot de 100.000.000 dispositivos de IC realizando consultas a páginas web legítimas en una página web corporativa al mismo tiempo».

Los expertos dicen que la IC probablemente creará retos únicos, y en algunos casos complejos, de protección para las organizaciones. A medida que las máquinas se vuelven autónomas, pueden interactuar con otras máquinas y tomar decisiones que afectan al mundo físico. Hemos presenciado problemas con software de operaciones automáticas, que puede quedar atrapado en un bucle ocasionando caídas del mercado. Los sistemas pueden tener protecciones integradas, pero están codificadas por personas susceptibles de cometer errores, en particular cuando escriben código que funciona a la velocidad y frecuencia a la que los programas informáticos pueden funcionar.

Si un sistema eléctrico se piratea y se apagan las luces en una zona de la ciudad, no supondría gran problema para muchos, pero para los miles de personas de las estaciones de metro a cientos de metros bajo el suelo y en completa oscuridad, la diferencia es abismal. Internet de las Cosas permite la interacción del mundo virtual con el mundo físico, y esto genera grandes amenazas de seguridad.

¿Qué podemos hacer?

Aunque las amenazas siempre existirán con la IC, al igual que con otros logros tecnológicos, es posible reforzar la protección de los entornos de la IC mediante herramientas de protección como el cifrado de datos, una mayor autenticación de los usuarios, codificación resistente y API estandarizadas y probadas que reaccionen de manera predecible.

Algunas herramientas de protección tendrán que aplicarse directamente a dispositivos conectados. «La IC y su primo BYOD tienen los mismos problemas de protección que los ordenadores tradicionales», afirma Randy Marchany, Director Corporativo de Seguridad Informática en la Virginia Tech University y director del Virginia Tech’s IT Security Laboratory. «No obstante, los dispositivos de IC normalmente no tienen la capacidad de defenderse y podrían tener que depender de dispositivos independientes como cortafuegos y sistemas de detección y prevención de intrusiones. Crear un segmento de red independiente es una opción». De hecho, la falta de herramientas de protección en los propios dispositivos, o la falta de actualizaciones de protección oportunas de estos es lo que podría dificultar un poco más la protección de la IC frente a otros tipos de iniciativas de protección, según el Sr. Marchany. «La seguridad física es probablemente más que un problema, dado que estos dispositivos suelen estar al aire libre o en ubicaciones remotas y cualquiera puede acceder físicamente a ellas», añade Marchany. «Una vez se tiene el acceso físico al dispositivo, los problemas de protección aumentan considerablemente».

No ayuda que los proveedores de tecnología de IC probablemente no hayan diseñado protección para sus dispositivos. «A largo plazo, los directivos de Tecnologías de la Información (TI) empezarán a exigir a los proveedores que confirmen que sus productos no son vulnerables a ataques comunes como los enumerados en la lista de las 10 mayores vulnerabilidades de la web del OWASP [Open Web Application Security Project]», afirma Marchany. Los directivos de TI y seguridad deberían «exigir a los proveedores que enumerasen las vulnerabilidades que saben que existen en sus dispositivos como parte del proceso de compra».

Es necesario integrar protección como base de los sistemas de las Tecnologías de la Información, con rigurosas comprobaciones de validez, autenticación, verificación y codificación de datos. Respecto a las aplicaciones, las organizaciones que desarrollan software tienen que mejorar en la escritura de código para que sea estable, resistente y fiable, con normas de desarrollo de códigos, formación análisis de amenazas y pruebas más eficaces. Dado que los sistemas interactúan unos con otros, es esencial contar con normas de interoperabilidad consensuadas que sean seguras y válidas. Sin una estructura sólida de abajo a arriba, crearemos más amenazas en cada dispositivo que se añada a la IC. Lo que necesitamos es una Internet de las Cosas blindada y segura, con protección de los datos, lo cual es difícil pero no imposible.

Ahmed Banafa

Faculty | Autor | Conferenciante| 5-time instructor of the year

Publicaciones relacionadas

Comentarios sobre esta publicación

Escribe un comentario aquí…* (Máximo de 500 palabras)
El comentario no puede estar vacío
*Tu comentario será revisado antes de ser publicado
La comprobación captcha debe estar aprobada