La inversión en IoT ha aumentado y la resistencia a la adopción ha disminuido, según una encuesta realizada por Zebra Technologies Corporation. Sin embargo, a pesar de ese aumento, el temor ante la inseguridad de los dispositivos IoT sigue presente. En octubre de 2016, la botnet Mirai amasó un ejército masivo de botnet de dispositivos conectados, que finalmente se usó en un ataque distribuido de denegación de servicio (DDoS) que superó las capacidades de algunos de los proveedores de Internet más grandes del mundo y derribó Internet a través de la costa este de Estados Unidos.
Los autores de Mirai comenzaron a construir su herramienta cuando eran adolescentes, acumulando una horda de zombis de IoT usando técnicas conocidas (y fácilmente evitables) durante décadas. Desafortunadamente, la norma para los dispositivos de IoT es la seguridad laxa: contraseñas simples, codificadas (no modificables) y sistemas operativos que no pueden ser parcheados o actualizados con protección de seguridad.
Ese mismo año, el parlamento de la Unión Europea instituyó el Reglamento General de Protección de Datos (GDPR) y proporcionó una transición de dos años para su implementación. Mayo de 2018 marcó el inicio del incumplimiento y la implementación de sanciones y multas estrictas.
Sin embargo, un estudio exhaustivo de investigación realizado en 2018 por Cybersecurity Insiders indicó que solo el 7% de las organizaciones encuestadas cumplían plenamente. Casi el 60% infringió las normas en la fecha de la encuesta e indicó además que carecían de personal experto o del presupuesto para implementar los cambios necesarios.
A nivel particular
A nivel particular, la adopción de dispositivos IoT destaca en la zona Asía-Pacífico, donde según una encuesta realizada por Internet Society, siete de cada diez encuestados afirmaron que ya tenían al menos un dispositivo IoT y casi la mitad dijeron que tenían al menos tres.
La seguridad de los datos, sin embargo, fue una preocupación importante. Alrededor del 60% de los encuestados que actualmente no poseían un dispositivo de IoT, cita la falta de certeza de que sus datos personales se protegerían como una razón para no poseer uno.
La mayoría de los encuestados expresan preocupación por lo siguiente:
- Al 81% le preocupa que su información personal sea filtrada.
- Al 73% le preocupa que los piratas informáticos tomen el control de su dispositivo y lo utilicen para cometer delitos.
- El 72% está preocupado por los piratas informáticos que obtienen acceso a información personal.
- Al 71% le preocupa ser monitoreado sin su conocimiento o consentimiento.
A pesar de las graves preocupaciones sobre la seguridad y la privacidad de IoT, muchos de los encuestados no han tomado ninguna medida para proteger a sí mismos de las amenazas de IoT. Solo la mitad de los que poseen al menos un dispositivo IoT han cambiado la contraseña predeterminada en todos sus dispositivos IoT, y solo uno de cada tres han leído la política de privacidad que venía con el dispositivo.
Entre los que no han cambiado la contraseña predeterminada en su dispositivo, el 30% tomó la decisión de no usar una contraseña y el 10% no sabía cómo cambiarlo. Aproximadamente la mitad de los encuestados afirman que sus dispositivos no tienen una contraseña, pero también podría ser posible que no fueran conscientes de que sus dispositivos si cuentan con ella.
Aunque puede haber una mayor conciencia acerca de la necesidad de seguridad y privacidad de IoT, también se deben hacer esfuerzos para capacitar a los consumidores con opciones, herramientas y capacidades para tomar control de su seguridad y privacidad. Los dispositivos incluyen instrucciones claras sobre cómo cambiar la contraseña predeterminada y ajustar la configuración de seguridad y privacidad, así como presentar avisos de privacidad y opciones fácilmente comprensibles para los clientes en la configuración o compra de un dispositivo IoT.
Rajnesh Singh, director de Asia-Pacífico de Internet Society, dijo:
«Existe la necesidad de garantizar que los fabricantes y proveedores de productos y servicios de IoT protejan a los consumidores y la privacidad de sus datos. Actualmente, las medidas vigentes no coinciden con el grado de preocupación de los actuales y futuros propietarios de dispositivos IoT».
A nivel empresarial
Como se ha comentado anteriormente, la adopción de dispositivos IoT en las empresas está aumentando, sin embargo, existe una gran disparidad entre la medida en que las organizaciones están adoptando la IoT y su disposición desde un punto de vista de seguridad cibernética.
Aunque la mayoría de las organizaciones planean aumentar la adopción de tecnologías de IoT, solo el 28% considera que las estrategias de seguridad específicas de IoT son «muy importantes», según el Informe de preparación de ciberseguridad de IoT, publicado por Trustwave.
El informe también ofrece pruebas sólidas de la expansión de la IoT. El 64% de las organizaciones encuestadas ha implementado algún nivel de tecnología IoT, mientras que otro 20% planea hacerlo en los próximos 12 meses.
Irónicamente, el 57% cita las preocupaciones de seguridad como la barrera número uno para una mayor adopción de IoT, seguido de «no es relevante para las operaciones» en un 38%, y la «falta de presupuesto» en un 27%.
El código del buen uso
Llegados a este punto y evitando repetir la situación de Asía-Pacifico, el 14 de octubre de 2018, en Reino Unido el Departamento Digital, Cultura, Medios y Deporte (DCMS) publicó su «Code of Practice for Consumer IoT Security.»
Desarrollado durante dos años, en conjunto con el National Cyber Security Centre (NCSC). El documento busca «apoyar a todas las partes involucradas en el desarrollo, la fabricación y la venta al por menor del IoT destinado a consumidores individuales» y crear un entorno donde los productos estén «seguros».
Con este fin, el código establece trece pasos prácticos y centrados en los resultados que las organizaciones pueden seguir para implementar soluciones de seguridad adecuadas para sus productos.
Es importante destacar que, al desarrollar las directrices, el DCMS aprovechó las normas y la orientación existentes del sector privado, el gobierno y la academia, incluido el resumen de la edición de 2016 del Consejo Atlántico, “Hogares inteligentes e Internet de las cosas”.
Mapeo del informe
El código destaca sus tres primeras pautas: contraseñas únicas, implementación de una política de divulgación de vulnerabilidades y mantenimiento del software actualizado, como prioridades. Del mismo modo, el resumen de Smart Homes señala estos tres principios, ya que ofrecen los mayores beneficios de seguridad a corto plazo.
El documento contiene mapas de las directrices del código para: «mantener el software actualizado», «garantizar que los datos personales estén protegidos», «facilitar la instalación y el mantenimiento de los dispositivos de IoT», «minimizar las superficies de ataque expuestas» y «hacer que los sistemas sean resistentes a las interrupciones.”
Finalmente, a un nivel de política más amplio, el problema de las Smart Homes que es evidente en el código es que los productos futuros de IoT deben seguir la filosofía de «seguro por diseño». El resumen del problema indica que la seguridad que no está «incorporada» debe ser incluida después de solucionar el problema, y la seguridad que simplemente está «prendida» es más costosa y menos efectiva que la seguridad incorporada desde el inicio del ciclo vital de un producto.
Una filosofía de diseño seguro da mayor control al consumidor, aumenta la confianza entre los consumidores y los productores y facilita el desarrollo continuo de la industria. El código se hace eco de estos sentimientos y explica en su resumen ejecutivo que el objetivo del Código es «garantizar que los productos sean seguros por diseño y facilitar que las personas se mantengan seguras en un mundo digital».
La implementación por parte del gobierno de Reino Unido
Las ambiciones más amplias del DCMS muestran la intención de implementar el código a través de medios voluntarios y regulatorios. Es importante destacar que los socios de la industria HP y Centrica ya han firmado formalmente el código y muchos dispositivos ya implementan algunos o todos estos elementos.
Bajo un esquema de etiquetado voluntario, los productores proporcionarían a los consumidores la información importante de la que carecen actualmente. Continuando con la tendencia de la educación del consumidor, el gobierno del Reino Unido planea respaldar a las organizaciones de consumidores mediante el uso del código como la base para la calificación de los productos, las guías de compra y la guía de seguridad para evaluar los productos de IoT en cada etapa de su ciclo de vida.
Además, al igual que los Estados Unidos, el Reino Unido ha identificado una importante escasez de profesionales capacitados en seguridad cibernética. Esto, combinado con el rápido desarrollo de la tecnología IoT, significa que hay una falta de capacidad para proteger los productos y servicios de IoT de amenazas de seguridad cibernética cada vez más complejas.
Por ello, a través de sus cursos de verano CyberFirst, el gobierno británico pretende educar a la próxima generación de profesionales de la tecnología en seguridad de IoT.
Si bien los esquemas no vinculantes son útiles, el gobierno británico también planea colocar ciertas pautas en una base regulatoria. La octava directriz «garantizar que los datos personales están protegidos», ya se puede hacer cumplir legalmente a través de la Ley de protección de datos. El código también se puede utilizar como base para tomar medidas reglamentarias contra productos específicos, como el hecho de que Alemania prohíba los relojes inteligentes para niños, a los que considera dispositivos de espionaje sin garantía.
Finalmente, el gobierno británico tiene la intención de colaborar con socios internacionales en la industria, los organismos de normalización y los gobiernos. Basándose en Estados Unidos, donde ya se puede ver una armonización a través de leyes como el proyecto de ley similar, la Ley de mejora de la ciberseguridad de Internet of Things (IoT) de 2017, que se aplica a los dispositivos IoT adquiridos por el gobierno.
Conclusión
El hecho de que tan pocas organizaciones parezcan dar mucha importancia a las políticas y tecnologías de seguridad específicas de IoT es alarmante, sobre todo porque los proveedores empresariales han estado advirtiendo de los peligros durante años. Es lógico que la superficie de ataque del IoT sea grande y siempre se expanda, lo que abre la red no solo a ataques dirigidos a organizaciones individuales, sino también a tipos de dispositivos en todo el IoT.
Todas las políticas de seguridad deben abarcar el IoT, especialmente cuando las regulaciones entrantes, como GDPR, impongan sanciones económicas graves por violaciones de datos. El hecho de que algunos puedan ocurrir a través del IoT no será una excusa.
