La Revolución del Internet de las Cosas

Cybersecurity
La Revolución del Internet de las Cosas
 

​To read in English, click here​.

Prepárense: la explosión del Internet de las Cosas (IoT por sus siglas en inglés) está llegando. Hace seis años el número de dispositivos conectados a Internet superó el número de personas en el planeta. Y los expertos estiman que a finales de 2015 habrá 25 billones de dispositivos conectados en el mundo, que crecerán a 50 billones en 2020, según la Comisión Federal de Comercio (CFC).

"Todo está siendo fabricado con sensores -todo lo que llevamos, todo lo que hacemos está conectado de alguna manera o va a estar conectado a la red, la red global, y a la nube", dice Andrew Lee, CEO de ESET, una compañía de antivirus y software de seguridad.

Con este aumento de la interconectividad también viene un aumento en la cantidad de datos recogidos y compartidos en todo el mundo, añade, muchos no saben lo que se colecta, quien lo está colectando, quién es el dueño, o donde está almacenado. 

"Usted se pone de pie y se mira en el espejo y piensa, 'Oh, Dios mío, tengo todo el pelo gris y todas esas cosas", pero Usted puede ver todo lo que está en el espejo ", explica Lee. "Pero cuando Usted se mira en el espejo digital, ni siquiera sabe donde están todos sus miembros".  

Y cuando esos datos digitales caen en las manos equivocadas o los dispositivos colectándolos están comprometidos, puede ser problemático para todos.  Las amenazas incluyen el acceso no autorizado y el uso indebido de la información personal, ataques a otros sistemas, y riesgos para la seguridad personal, que la CFC resume en un informe, Internet de las Cosas: Privacidad y Seguridad en un Mundo Conectado, lanzado a principios de este año.

Una de las preocupaciones específicas que la CFC planteó es que la IoT se utilice para poner en marcha a gran escala ataques de negación de servicio.  "Los Ataques de negación de servicio son más eficaces mientras más sean los dispositivos que el atacante tenga bajo su control; al proliferar los dispositivos IoT, las vulnerabilidades podrían permitir a estos atacantes orquestar que un gran número de dispositivos sean utilizados en este tipo de ataques ", dijo el informe de la comisión.

Los sensores conectados a la IoT -tales como los utilizados para control de acceso a edificios- son especialmente vulnerables porque son típicamente dispositivos de baja potencia y bajo costo.  Esto significa que no hay mucho que se pueda hacer para instalar software en ellos para mejorar su seguridad, dice Lee.

Y los dispositivos personales, como los FitBits y las aplicaciones de medios sociales de teléfonos inteligentes, pueden ser tan vulnerables a los ataques, a menudo proporcionando información logística acerca de sus usuarios si fuesen comprometidos.  "Si se puede poner en riesgo [el GPS] y un empleado está trabajando en una instalación secreta, ahora Usted puede mapear la forma aproximada de las instalaciones, rastreando a las personas alrededor y donde se congregan", explica Lee.  "Así que sin tener que ir al interior del edificio, se podría construir una imagen de como es realmente, y ese es el tipo de efecto secundario no deseado del Internet de las Cosas".

Para evitar que la información confidencial termine en las manos equivocadas, la CFC ha instado a los fabricantes de dispositivos para limitar la cantidad de datos que recogen y comparten con los demás -a lo que denominan minimización de los datos. "Las empresas deben examinar sus prácticas acerca de datos y las necesidades del negocio, y desarrollar políticas y prácticas que impongan límites razonables a la recolección y retención de los datos del consumidor", dijo la CFC en su informe.  Esto no sólo protege los datos de los consumidores, sino que también hará a las empresas menos atractivas para los ladrones de datos que quieran introducirse en sus redes para robar esa información, explicó la comisión.

Lee también dice que los usuarios necesitan observar cómo los dispositivos, tales como sensores y rastreadores GPS, trabajan, mapear cómo la información que recogen viaja por la red, y analizar como se ve la actividad normal.  Esto ayudará a los usuarios para ver si un dispositivo se ha visto comprometido y les permite responder a un ataque más rápido, añade.​

Soporte de dispositivos.

También hay que hacer más para alentar a los fabricantes de dispositivos para hacer dispositivos más seguros desde el inicio y mantener el apoyo a lo largo de su ciclo de vida, dice Eric Kobrin, director de resiliencia adversaria para Akamai Technologies, un proveedor de servicios de Nube.  "Lo que tenemos que conseguir en el largo plazo es que los fabricantes se comprometan a dar soporte al dispositivo durante todo su ciclo de vida --necesitamos tener esto por adelantado cuando usted lo compra", dice Kobrin. 

El soporte para dispositivos de la IoT se está volviendo más importante, ya que son cada vez más viejos, sobre todo en Estados Unidos.  A nivel mundial, el 53 por ciento de los dispositivos conectados a la red están ya sea envejeciendo, lo que significa que no son la más nueva o actual versión del dispositivo, o en desuso, lo que significa que el soporte del proveedor ya no está disponible.  Pero en los Estados Unidos, el 64 por ciento de los dispositivos actualmente están envejeciendo o son obsoletos, según el Informe de Dimension Data, Barómetro de la Red, publicado a principios de este año. 

"Lo primero que pensamos fue que había algo mal con nuestros datos, ya que el número de Estados Unidos es demasiado alto", dice Andre Vanschalkwyk, gerente de grupo de práctica de la consultoría y de redes de Dimension Data, proveedor de servicios de infraestructura de TI.  "Pero luego de analizar un poco más detenidamente, el área que realmente sobresale como un pulgar inflamado era específicamente en torno a espacios públicos  --infraestructura pública, educación y gobierno. Vimos que en realidad estas redes se están volviendo muy, muy viejas”.

¿Por qué este aumento en antigüedad está sucediendo, específicamente en los Estados Unidos? Mucho de esto tiene que ver con los hábitos de tecnología del sector gobierno de Estados Unidos cuando envía licitaciones para nuevos productos y servicios vinculados a un contrato de cinco o siete años. Durante el período de contrato, el equipo y los dispositivos no se cambian o reemplazan, a menos que haya un fallo del dispositivo, Vanschalkwyk explica. 

"La mayoría de dichos contratos son por lo general de siete años, y lo que hemos visto en realidad es que en los últimos dos años, esos contratos están siendo empujados a pasar de un periodo de siete años a un período de 10 años, lo que significa que cuando usted compra una dispositivo en 2010, sólo va a ser reemplazado en el 2020 ", dice.

Esto quiere decir que la mayoría de estos dispositivos permanecen bastante estáticos, y durante ese ciclo de vida de 10 años, el vendedor muy probablemente ya no de soporte a ese dispositivo así que parches de software no serán liberados para el mismo. 

"Al final del día, esto tiene un impacto en la seguridad", Vanschalkwyk añade, ya que los dispositivos envejeciendo son más vulnerables que los dispositivos actuales, o incluso que los obsoletos.  Esto se debe a que los investigadores de seguridad han tenido tiempo para probarlos, descubrir algún error en el dispositivo, y explotarlo.  (Los usuarios abandonan más rápidamente los dispositivos obsoletos, lo que significa que hay menos de ellos en el mercado.) 

Además, debido a que algunos parches todavía salen para dispositivos envejeciendo, los usuarios pueden crear inadvertidamente más vulnerabilidades, cada vez que dejan de instalar un parche.  "El hecho de que en realidad estamos viendo dispositivos envejeciendo con una mayor cantidad de vulnerabilidades que otros debido a las fases del ciclo de vida, realmente significa que los clientes no están instalando parches en la infraestructura de red", dice Vanschalkwyk. 

Contrariamente al sector público de Estados Unidos, sin embargo, el sector privado está haciendo un trabajo mucho mejor de actualización y sustitución de dispositivos. "Estamos empezando a ver pequeños grupos en los Estados Unidos, Australia, y en algunas partes de Europa, donde los clientes están empezando a presionar por ciclos de cinco años a ciclos de tres años para la actualización equipos en red", explica.​

Vulnerabilidad Wi-Fi

Afectando también la seguridad de la IoT están las redes Wi-Fi a las que los dispositivos están conectados, las cuales se están convirtiendo cada vez más comunes a medida que las empresas hacen sus instalaciones más inalámbricamente amigables. 

"Si vemos hace cinco años, si se implementaba una nueva red, el 80 por ciento del acceso a esa red sería cableado y el 20 por ciento sería inalámbrico", dice Vanschalkwyk.  "Y en realidad estamos empezando a ver un completo cambio hacia el otro lado donde estamos viendo que el 20 por ciento está siendo por cable y el 80 por ciento es inalámbrico."

Si bien esto puede hacer la vida más fácil para los empleados y los trabajos, el acceso inalámbrico también viene con sus propias vulnerabilidades -84 por ciento de los "puntos de acceso inalámbricos descubiertos fueron puntos finales de acceso pre-2011", explica Vanschalkwyk.  "Así que estos son puntos de acceso muy, muy antiguos que no soportan un alto rendimiento y no son compatibles con una gran cantidad de clientes."  Con el inicio de la IoT, "sentimos que la conexión inalámbrica va a ser cada vez más crítica," por lo que es crucial asegurar que se "despliegue correctamente y que la red subyacente pueda apoyar realmente los dispositivos conectados a ella", dice. 

Una cosa que será clave para este esfuerzo es el despliegue de Protocolo de Internet versión 6 (IPv6), que proporciona un sistema de identificación y localización de los dispositivos en las redes y las rutas de tráfico a través de Internet. Fue desarrollado por la Fuerza de Tarea de Ingeniería de Internet para "hacer frente al problema largamente esperado de agotamiento de la dirección IPv4", y está diseñado para reemplazar al IPv4, según el Informe Barómetro de Red.

Dimension Data está viendo poco a poco a los usuarios desplegar IPv6 internamente, pero pocos proyectos lo están desplegando en los Estados Unidos, y sólo alrededor del 20 por ciento de los equipos de red es capaz de soportar IPv6, dice Vanschalkwyk.  

"En la mayoría de los casos, sólo necesitan una actualización de software para tener capacidad de IPv6", explica. "Si los clientes en realidad hubieran parchado a lo largo de los últimos tres años, las posibilidades serían bastante buenas de que simplemente a través del ciclo de parches tuvieran la capacidad de soportar IPv6 dentro de su red."

Los usuarios que no implementan IPv6 se exponen a un riesgo innecesario porque no van a ser capaces de supervisar y gestionar los dispositivos que operan en ese protocolo. 

"La falta de visibilidad de este tráfico, y su perfil de comunicaciones asociado, presenta un riesgo significativo de seguridad ya que estos controles se desarrollan basados en perfiles de dispositivos, tolerancia al riesgo, y la visibilidad necesaria para mantener el dispositivo", dijo el informe. "Los controles más antiguos pueden no ser compatibles con IPv6, ni ser capaces de proporcionar la visibilidad y control necesarios para proteger eficazmente los datos."

--

José Luis Hernández,  CPP is the security manager at Imaging Software and Solutions.