Noticias
IoT: una puerta abierta al malware
Hace ya tiempo que IoT dejó de ser «el futuro». Aunque el impacto del Internet de la Cosas todavía es tenue en hogares y oficinas, hay otros entornos en los que su proliferación ha sido mucho más acusada, al punto de que la conectividad de todo tipo de dispositivos se ha convertido en un factor clave para muchos servicios. Desde elementos de ciudad conectada hasta los surtidores de carga de muchas estaciones de servicio, TPVs de comercios, vehículos conectados y un sinfín de usos industriales son una prueba de la implantación actual de IoT.
Sin embargo, pese a que la velocidad de su despliegue es más que evidente, todavía quedan muchas reservas a la hora de su adopción, y en esto incide la percepción generalizada de que los dispositivos no ofrecen los niveles de seguridad necesarios como para conectarlos a una infraestructura sin poner ésta en peligro. Y es comprensible, puesto que cada cierto tiempo se producen noticias relacionadas con ataques exitosos a infraestructuras IoT.
En este punto se da, sin embargo, una curiosa paradoja, y es que si bien casi dos tercios (64%) de las organizaciones de todo el mundo emplean soluciones basadas en IoT, más de cuatro de cada diez (el 43%) no adoptan las medidas para protegerlas por completo frente a las amenazas. Una falta de seguridad que se traduce en incidentes que trascienden públicamente, dando una imagen de inseguridad que repercute en el ritmo de adopción de IoT. Esta es la razón por la que decía que es paradójico.
Según un informe publicado por Kaspersky, no podemos señalar a una única causa para estas deficiencias de seguridad. Entre los causantes encontramos que la gran diversidad del universo IoT ocasiona que, en bastantes ocasiones, haya problemas de compatibilidad entre dispositivos y soluciones de seguridad, elevados costes dificultades por parte de los departamentos de IT a la hora de justificar la inveersión y la falta de personal y / o formación específica sobre seguridad IoT.
De este modo, por una parte nos encontramos con un parque de dispositivos ya instalados que no en todos los casos cuentan con las medidas de seguridad necesarias, y por otra parte con empresas que no se atreven a dar el salto a IoT a consecuencia de los riesgos que plantea una infraestructura con deficiencias de seguridad.
Ante dichas circunstancias, la compañía de seguridad plantea, entre otras, las siguientes recomendaciones:
- Evaluar el estado de la seguridad de un dispositivo antes de implantarlo. Se debe dar preferencia a los dispositivos con certificados de ciberseguridad y a los productos de los fabricantes que prestan más atención a la seguridad de la información.
- Utilizar una política de acceso estricta, la segmentación de la red y un modelo de confianza cero. Esto ayudará a minimizar la propagación de un ataque y a proteger las partes más sensibles de la infraestructura.
- Adoptar un programa de gestión de vulnerabilidades para recibir regularmente los datos más relevantes sobre las vulnerabilidades de los Controladores Lógicos Programables (PLC), los equipos y el firmware, así como aplicar parches o utilizar cualquier solución de protección.
Adicionalmente, Kaspersky también recomienda consultar el «Modelo de madurez de la seguridad del IoT» y emplear un gateway IoT dedicado, para lo que la compañía recomienda su propusta al respecto, el Kaspersky IoT Secure Gateway 100.
Sea como fuere, es indiscutible que lo que IoT puede ofrecer a las organizaciones es demasiado como para dejarlo pasar. Ahora bien, hacerlo sin preocuparse por la seguridad significa comprometer toda la infraestructura, con los riesgos que esto supone.