El Internet de la Cosas y la ciberseguridad de infraestructuras

La palabra “IoT” (Internet de las Cosas) ha sido una palabra muy de moda durante los últimos años. Estamos en la era en la que los electrodomésticos y los coches están conectados a Internet, y en la que muchos negocios ven grandes oportunidades aquí. Y al mismo tiempo, la gente ha empezado a preguntarse si esos dispositivos y coches están a salvo de las amenazas online.

Eugene Kaspersky reformuló el IoT como “El Internet de las Amenazas” en su entrevista para el USA TODAY en noviembre de 2014. Esto coincide con los comentarios de Edith Ramírez, Presidenta de la Comisión Federal de Comunicaciones en el CES 2015 de Las Vegas, también es verdad que se habló sólo del tema de la seguridad. Nadie ha encontrado hasta ahora la mejor solución para responder a este GRAN problema de seguridad, como tampoco a otros problemas de seguridad típicos a los que nos enfrentamos hoy en día.

De hecho, el Internet de las Cosas ha sido reconocido como un “Nuevo Mercado” con gran potencial. De acuerdo con el artículo de FORBES de agosto de 2015, Cisco declaró que su valor económico subiría a 19 trillones de dólares para 2020, llamándolo el “Internet del Todo”. Gartner estima que los proveedores de producto/servicio del IoT alcanzarán los 300 billones de dólares de beneficio para 2020. El pronóstico de IDC es que el mercado de soluciones del IoT se expandirá de 1,9 $ trillones en 2013 a 7,1$ trillones en 2020, haciéndolo 3,7 veces más grande.

Los dispositivos que graban información personal biométrica, de salud y localización – como todos los dispositivos ponibles tan de moda – también forman parte de la categoría del IoT. Sin embargo, estos no tienen un alto nivel de riesgo.

Tales dispositivos son personales pero no son infraestructuras imprescindibles para nuestras vidas y sociedades. En otras palabras, puedes reducir de manera efectiva el riesgo de fuga de datos dejando de utilizar tu dispositivo ponible o el servicio en la nube mientras haces ejercicio. Depende de ti.

Por otro lado, el verdadero IoT consiste principalmente en sistemas o servicios tradicionalmente llamados “M2M” (Máquina a Máquina). Ésos son los que están integrados (o que se prevé que estén integrados) con infraestructuras ambientales/sociales, por lo tanto, la seguridad cibernética es tan crítica como lo es esta infraestructura.

Por ejemplo, algunos de vosotros habéis oído hablar sobre las redes o microredes inteligentes. Son sistemas que gestionan el consumo de energía regional, equilibrando el consumo de electricidad en el hogar y la generación de electricidad por medio de energía solar o sistemas de cogeneración de gas. Los contadores inteligentes están configurados para cada casa con este propósito de monitorizar. Se ha informado de que la compañía de electricidad de Tokyo Electric Power Company ya ha instalado miles de contadores inteligentes. Se puede decir que éste es el primer paso para el lanzamiento de redes eléctricas en el futuro.

¿Qué podrán hacer los cibercriminales para abusar del mecanismo? Por ejemplo, reducir o incrementar los pagos al dar información errónea del consumo de energía al contador inteligente.

No es difícil pensar en diferentes escenarios posibles de ataques a infraestructuras críticas. Al tomar el control de los sistemas de control de tráfico puedes hacer que éste entre en pánico, provocar un accidente, o hasta interrumpir los sistemas de transporte público. Estos ataques pueden afectar nuestra vida diaria, incluso nuestra economía.

Solía existir una lista de causas de interrupción de servicios incluyendo un virus/desorden en el software/sistema, o un desastre natural. Ahora, tenemos en la lista los ciberataques.

Tenemos que aprender de los errores, luego implementar mecanismos mucho más seguros para los sistemas del IoT que operaban como parte de las infraestructuras sociales/de la vida. Para ser más precisos, los operadores y creadores de sistemas del Internet de las Cosas deberían hacerse estas preguntas:

  1. ¿Doy más prioridad a la facilidad de uso que a la seguridad?

Es importante reducir la usabilidad para los atacantes y así poder aumentar la seguridad del sistema. La facilidad de uso significa lo mismo para los atacantes. El año pasado se informó que las cámaras web configuradas de manera predeterminada sufrieron violación de privacidad. Tras este error queda claro que los fabricantes de dispositivos deberían mantener la seguridad en mente. Por favor, no os olvidéis de cifrar los datos y la comunicación.

  1. ¿Creo que el modo de solo lectura es seguro?

No es seguro. De todas maneras las aplicaciones se ejecutan en la memoria, por lo tanto, un atacante puede encontrar la manera de entrar. Los dispositivos de red suelen ser creados con el sistema operativo de Linux, y se sabe que Linux OS tiene un montón de vulnerabilidades explotables. Una vez que el atacante ya tenga el control del dispositivo, puede hackear el sistema completo del IoT.

  1. ¿Creo que mis dispositivos nunca serán hackeados?

Cualquier dispositivo puede ser hackeado. Por lo tanto, es muy importante controlar la salud de todo el sistema, incluyendo los nodos conectados. También es importante tomar las medidas necesarias para detectar anomalías con cada nodo. Recordad cómo Stuxnet penetró dentro en las instalaciones iraní es que deberían haber estado bien protegidas.

  1. ¿He disminuido el coste de prueba?

Las pruebas de penetración son muy importantes. Estos tests deberían organizarse cuidadosamente de acuerdo con los requerimientos de tu sistema de seguridad. Se recomienda encarecidamente implementar estas pruebas en tu proceso normal de desarrollo.

  1. ¿Creo que la seguridad no es un requerimiento?

La seguridad es uno de los requerimientos cruciales. Pensemos en ella desde el mismo inicio de la planificación/desarrollo de tu sistema o dispositivo. Sin las suficientes medidas de seguridad, el IoT no puede ser parte de las infraestructuras sociales/vida segura.

Si la respuesta a alguna de estas preguntas ha sido positiva, es posible que se convierta en un gran problema no solo para la persona o la propia compañía, sino también para muchas otras personas.

Fuente> blog.kaspersky.es/

*