El complejo reto de sellar el agujero negro de la seguridad digital en la era de los objetos conectados

«Según nuestros datos, sólo el 5% de los españoles confía en la protección predefinida de fábrica de los dispositivos de IoT que conforman el hogar digital», dice José González, director de ADT, la unidad de negocio residencial de Johnson Controls. González explica que los usuarios tienden a desconfiar de las medidas de ciberseguridad empleadas por los dispositivos IoT por varias razones. Una de ellas es que estos dispositivos están diseñados principalmente para ser fáciles de usar y asequibles en lugar de seguros. En consecuencia, carecen a menudo de contraseñas robustas por defecto y no reciben actualizaciones periódicas de seguridad, lo que socava la confianza de los usuarios en su seguridad y protección.

«Los temores de los consumidores sobre la seguridad de los dispositivos IoT no son infundados. Y es importante que los fabricantes tomen medidas para mejorar la seguridad y privacidad de sus productos», dice González. Uno de los mayores retos a los que se enfrentan las redes y dispositivos IoT en sus inicios es el mismo problema al que se ha enfrentado la industria tecnológica en general, y es que la ciberseguridad no se incluyó inicialmente como elemento de diseño, explica Agustín Muñoz-Grandes, managing director de Accenture Security de España, Portugal e Israel.

Noticia Relacionada

¿Cuánto tarda una inteligencia artificial en robarte tus contraseñas?: esta página te lo dice

R. A.

De acuerdo con la firma de ciberseguridad Home Security Heroes, el 51% de las claves comunes pueden ser descifradas en cuestión de segundos

«Inicialmente existía una percepción de que no eran un objetivo atractivo para los ciberdelincuentes, pero esto ha cambiado y actualmente los ciberataques buscan la interrupción de servicio u operaciones de cualquier tipo de activo o de cualquier tipo de empresa para posteriormente solicitar rescates por 'devolverles el control'. Desde ese punto de vista las redes IoT también pueden ser objeto de ciberataques», dice Muñoz-Grandes.

«El nivel actual de la ciberseguridad IoT varía según el dispositivo y el sistema IoT en cuestión. Mientras que algunos fabricantes implementan medidas de seguridad sólidas en sus productos, otros priorizan por delante de la seguridad aspectos como la rapidez en poner su producto en el mercado o la economía de costes, lo que lleva a la fabricación de dispositivos vulnerables», precisa Jesús Romero, socio responsable de Seguridad de Negocio de PwC, quien precisa que «también se observan diferencias en la madurez en la gestión de los riesgos de ciberseguridad por parte de las distintas organizaciones propietarias de las redes IoT».

Estos dispositivos, que están en todas partes, tienen la particularidad de que ponen en contacto directo el mundo digital y el mundo físico. Por lo tanto, este tipo de producto puede permitir a quien tenga acceso al dispositivo actuar sobre la realidad física que gobierna el dispositivo propuesto, explica Vicente Segura, responsable de seguridad IoT y OT en Telefónica Tech.

«Recomendamos incorporar desde el inicio de cualquier proyecto de transformación digital la componente de ciberseguridad, empezando por una identificación y análisis de los riesgos del producto o servicio que se pretenda construir y acompañando su implementación y explotación de soluciones que permitan gestionar los riesgos», afirma Segura.

Según un reciente informe de ADT, el 68% de los españoles es consciente de que los dispositivos inteligentes de su hogar (altavoces inteligentes, bombillas inteligentes, persianas inteligentes, purificadores de aire, enchufes inteligentes, entre otros) pueden sufrir un ciberataque. Sin embargo, el 38% de ellos no sabe que existen servicios especializados en la protección de dispositivos inteligentes. «Si este tipo de productos no cuentan con una fuerte seguridad, serán para los ciberdelincuentes una puerta trasera que les permita entrar fácilmente en su red doméstica», dice Luis Corrons, security evangelist en Avast.

Varias empresas ofrecen soluciones que analizan la red doméstica y advierten de cualquier problema de seguridad que pueda existir. De este modo, se puede salvaguardar la seguridad de los dispositivos IoT. «Uno de los mayores retos es la falta de estándares de seguridad. Muchos dispositivos IoT son fabricados por empresas pequeñas que no tienen la experiencia o los recursos para implementar medidas de seguridad adecuadas. Además, los dispositivos IoT a menudo se conectan directamente a internet sin protección, lo que los convierte en objetivos fáciles para los atacantes», dice Corrons, quien aboga por la importancia de contar con soluciones que permitan proteger la red doméstica de posibles ataques.

Uno de los tipos más comunes de ataques es el uso de 'botnets', que son redes de dispositivos comprometidos que pueden utilizarse para llevar a cabo una serie de actividades maliciosas. Estas pueden incluir el envío de spam, el lanzamiento de ataques distribuidos de denegación de servicio (DDoS) o el robo de datos confidenciales de los usuarios, explica Marc Rivero, senior security researcher de Kaspersky. «También es muy habitual el ransomware que bloquea el acceso de los usuarios a sus dispositivos IoT para luego exigir un rescate», dice Rivero. Estos ataques pueden tener graves consecuencias, como pérdidas económicas, usurpación de identidad y daños a la reputación personal o empresarial

El tamaño del mercado mundial de seguridad IoT se valoró en 2.221 millones de dólares en 2019 y se prevé que alcance los 20.776 millones en 2027, según un informe de Fortune Business Insights. Esto representa un mercado gigantesco para el que cada vez hay más clientes, ya que, según un estudio de Kaspersky, al 69% de los usuarios españoles les preocupa poder acceder a la red WiFi doméstica y ser espiados a través de las cámaras de sus dispositivos. «Los consumidores necesitan confiar en que sus dispositivos son seguros y no comprometen su privacidad», dice Rivero, quien considera que de lo contrario se retrasará la adopción de este tipo de productos.

Sin embargo, existen varios retos para mejorar la ciberseguridad de estos dispositivos. Según González, de ADT, algunos de ellos son la falta de educación en seguridad IoT, la diversidad de dispositivos y protocolos, la falta de actualizaciones y la complejidad de una cadena de suministro en la que los dispositivos suelen ser fabricados por varios proveedores y ensamblados por terceros. «Mejorar la ciberseguridad de los dispositivos IoT requiere un enfoque colaborativo y holístico que involucre a fabricantes, usuarios finales, reguladores y otros actores relevantes para abordar estos desafíos», afirma.

Otro factor clave para mejorar la seguridad en torno al IoT es que en este proceso intervienen al menos cuatro elementos, según explica Segura, de Telefónica Tech. Estos son dispositivo IoT, red de comunicaciones, plataforma IoT y aplicaciones, dice el experto. «Hay que tener en cuenta que, aunque pueda haber un modelo canónico o estándar, los servicios que aplican a cada segmento o sector pueden tener importantes variaciones. Ha habido un gran avance en la definición de modelos y referencias genéricas, pero queda mucho camino por recorrer en cuanto a la particularización de modelos para sectores o segmentos específicos y en cuanto a la implantación de soluciones de ciberseguridad», indica Segura.

En cuanto a las cuestiones normativas que rodean a la IoT, el principal debate se refiere a la protección de la privacidad de los consumidores, dado que estos dispositivos tienen el potencial de revelar datos personales sensibles de sus usuarios, señala Muñoz-Grandes, de Accenture Security. «El principal reto a nivel regulatorio sigue siendo conseguir que las nuevas leyes acompañen el vertiginoso ritmo con el que se está desplegando infraestructura, redes y dispositivos IoT, y tengan en cuenta la realidad de toda la base instalada, de los fabricantes de estos dispositivos y de los usuarios», añade.

La Unión Europea (UE) ha trabajado activamente en los últimos años para impulsar la protección de los consumidores cuando usa dispositivos IoT. Una de ellas es la estrategia de ciberseguridad de la UE (2020) para la década digital, cuyo objetivo es establecer normas comunes de ciberseguridad para los productos, especialmente los conectados a internet. Con ello se pretende garantizar que sean seguros y resistentes a los ciberataques.

En septiembre del año pasado, la UE aprobó la Ley de Ciberresiliencia (CRA) para su debate en el Parlamento Europeo. Esta legislación pretende mejorar y garantizar un alto nivel de ciberseguridad para los productos digitales, incluidos los que entran en la categoría de IoT. La CRA impone obligaciones a las empresas y entidades que fabrican o utilizan tales dispositivos, además de requisitos esenciales de ciberseguridad. «Además de los requisitos esenciales de ciberseguridad, la iniciativa impondría obligaciones a las empresas y entidades que fabriquen y/o hagan uso de dichos dispositivos», dice Muñoz-Grandes.

Son pasos adelante, pero Jesús Romero (PWC) tiene claro que «aunque en los últimos años se han tomado medidas para mejorar la seguridad de los dispositivos, aún queda mucho camino por recorrer antes de que podamos decir que en general tenemos un ecosistema IoT seguro».