La vulnerabilidad IoT en entornos empresariales Mikko Hyppönen, uno de los mayores expertos en seguri- dad informática y privacidad del mundo, desde 1990 asesora a los gobiernos de EEUU y de diferentes países europeos y asiáticos. Hyppönen es responsable de investigación en F-Secure, donde ha luchado contra los mayores virus en la historia de Internet. Es también conocido por la Ley de Hypponen, que se resume en la máxima: “Cualquier objeto calificado como smart es vulnerable”. Como ponente destacado en la próxima edición del Internet of Things World Solutions Congress, profundizará en este concepto y en la necesidad de que el ecosistema IoT adopte medidas de seguridad propias para hacer frente a cualquier ciberamenaza. Situación del IoT desde la perspectiva de la seguridad En la mayoría de las redes instaladas tanto en la industria como en empresas y hogares, los dispositivos de IoT son los enlaces más frágiles. Los atacantes externos tienen más dificultades para acceder al interior de las redes a través de servidores o de estaciones de trabajo. Sin embargo, entrar a través de una cámara de seguridad, una impresora, un sensor o cualquier otro dispositivo de IoT resulta una operación mucho más sencilla. Además, en los entornos corporativos se añade otra problemática de seguridad: la instalación y la conexión de los dispositivos de IoT se deja en manos de los propios empleados, en lugar de recurrir a profesionales. Actualmente, los dos problemas de seguridad más habituales de los dispositivos de IoT se concentran en las interfaces de administración y en las vulnerabilidades de seguridad del propio sistema. En el caso de las interfaces de administración, los atacantes penetran en la plataforma a través de un dispositivo de IoT que les permite acceder a los parámetros de configuración del sistema. Esto podría deberse a que la red no está correctamente segmentada o que las credenciales estándar no han sido modificadas. Sin embargo, los problemas de vulnerabilidad de la seguridad parten de una base distinta: su inicio tiene lugar en un error de programación en la fase de desarrollo. A partir de aquí, los atacantes utilizan estas vulnerabilidades para entrar en el sistema. Mikko Hyppönen. Responsable de investigación en F-Secure 44 Oportunidades del IoT a los ciberdelincuentes y sectores industriales vulnerables La mayoría de malhechores que circulan por las redes lo hacen en busca de un beneficio económico. Son expertos informáti- cos que actúan hackeando dispositivos de IoT a través de la creación de botnets que infectan los dispositivos hackeados. Estos botnets pueden llegar a ser muy sofisticados y extremadamente potentes, y suelen utilizarse para lanzar ataques de denegación de servicio, tras los cuales, los ciberdelincuentes demandan un pago de rescate a la propia compañía para detener los ataques. La potencia de computación distribuida puede ser utilizada para extraer criptodivisas como Ethereum, Monero o Litecoin. Llegará el día en que veremos ataques deransomware (cibersesecuestro) dirigidos a infraestructuras IoT que impedirán a los usuarios utilizar sus dispositivos y aparatos hasta que no paguen el rescate. Las infraestructuras críticas son los objetivos más buscados, pero no suelen ser atacadas por cibercriminales sino promovidas por los gobiernos de algunos países. Hemos presenciado algún que otro ataque a infraestructuras críticas de determinadas industrias lanzados por naciones hostiles durante tiempos de crisis. Esto es lo más cerca que hemos estado nunca de una ciberguerra. Asimismo, los vehículos conectados pueden ser un gran objetivo para los cibercriminales, ya que resulta fácil imaginar cómo un vehículo autónomo puede llegar a convertirse en un coche que se autosecuestra. Asegurar la conectividad y plataformas IoT Los fabricantes tienen la responsabilidad de garantizar que sus dispositivos se mantengan protegidos y sean, al mismo tiempo, elementos seguros. No podemos proteger los dispositivos de IoT a la manera tradicional, del mismo modo que nunca instalaríamos un programa antivirus en una lavadora. Por consiguiente, los dispositivos de IoT han de integrar mecanismos de seguridad en el mismo momento de su desarrollo. Si los fabricantes de sistemas IoT no aplican mecanismos de seguridad se deberá implementar una serie de regulaciones normativas para obligarles a hacerlo, algo que nadie desea. Creo que veremos la aparición de algún tipo de sistema de autocertificación por parte de los fabricantes de IoT con el propósito de incrementar la confianza de los usuarios. Marga Verdú. Entrevista para el IoT World Solutions Congress manutencion & almacenaje 524 Tendencias