A fondo: Cuando el internet de las cosas no tiene por qué ser el internet de las amenazas
Aunque los ciberdelincuentes han tomado la delantera en IoT a fabricantes y expertos de la industria, aún no se ha dicho la última palabra en cuestión de seguridad. Existe una serie de pautas que se pueden implementar para minimizar el impacto de los ataques.
En la primera parte de nuestro reportaje sobre la seguridad de internet de las cosas o IoT (A fondo: Cuando el internet de las cosas se convierte en el internet de las amenazas), el director de Seguridad en Cisco España, Eutimio Fernández, y el director general de Kaspersky Lab Iberia, Alfonso Ramírez, aportan sus conocimientos acerca de cuál es el estado actual de los dispositivos conectados, cómo se aprovechan de ellos los ciberdelincuentes y qué objetivos son los más jugosos. Ahora estos mismos expertos nos ayudan a adentrarnos en el futuro y exponen las medidas a implementar para rebajar el nivel de las amenazas.
Los ciberdelincuentes han tomado la delantera a las empresas, y también a los usuarios, en el ámbito de internet de las cosas. Y es que no en una, sino en varias ocasiones, se ha comprobado lo susceptibles que son al hackeo los numerosos dispositivos conectados que han comenzado a desplegarse por el mundo y que se establecen como puerta de entrada para las infecciones por malware, para el robo de información sensible y para poner incluso en riesgo la vida de las personas. Así lo advierten desde Cisco y Kaspersky Lab su director de Seguridad para España y su director general para Iberia, respectivamente. Eutimio Fernández y Alfonso Ramírez han compartido con Silicon.es su visión de la problemática IoT y, a pesar de las dificultades, ambos consideran que existen soluciones al alcance de la industria, y de la propia sociedad, para evitar que el internet de las cosas se convierta definitivamente en el internet de las amenazas.
A la hora de analizar el caso, Eutimio Fernández llega a la conclusión de que se trata de “un problema tanto tecnológico como humano, ya que los ciberdelincuentes combinan ingeniería social con técnicas que aprovechan las vulnerabilidades de los dispositivos”. Aquí, “el gran problema es que el modelo de seguridad de red actual fue diseñado para conectar ordenadores de propósito general, y no miles de millones de dispositivos de propósito específico”, evalúa Fernández. ¿Qué quiere decir esto? Principalmente, que a lo que nos enfrentamos es “a un falta de estándares o de normalización, algo que los proveedores estamos tratando de resolver trabajando en grupos de estandarización de redes como OCF, que resulta de la reciente fusión de la Fundación de Conectividad Abierta con la Alianza AllSeen”, responde este directivo, que apuesta por el trabajo mano a mano con diversos fabricantes “para certificar” sus dispositivos, que éstos y la red “actúen conjuntamente” y que la propia “red se encargue de tenerlos completamente actualizados y protegidos”.
En cuanto a la parte humana, también se puede cubrir. Es posible erradicar el fallo humano para mantener a los hackers a raya. O cuanto menos “se puede minimizar”, tal y como determina Alfonso Ramírez, “con formación y concienciación sobre ciberseguridad”. Fernández coincide en que “el fallo humano se subsana con formación”. Aunque “aún queda un largo camino por hacer”, matiza Ramírez. De acuerdo con la última edición del informe de ciberseguridad que publica Cisco de forma anual, lo bueno es que se están registrando avances. Habría cierta toma de conciencia. No todo son datos negativos. “Cada vez se presta más importancia a la formación: el 90 % de empresas realizan planes de formación al menos una vez al año”, celebra el director para temas de seguridad de esta compañía en España.
Consejos que todo el mundo debería seguir
Si hablamos de medidas concretas, ¿cómo habría que proteger IoT? ¿Qué recomendaciones deberían seguir empresas, y también los propios consumidores, para permanecer a salvo de lo que se nos viene encima a todos con los dispositivos conectados? En Kaspersky Lab ofrecen “tres consejos básicos”, empezando por investigar aquello que ha despertado el interés y se quiere comprar. “Antes de comprar cualquier dispositivo inteligente, busca en internet noticias sobre vulnerabilidades del mismo”, anima Alfonso Ramírez. “Internet de las cosas es un tema muy candente y un montón de investigadores están haciendo un gran trabajo encontrando problemas de seguridad en los productos de este tipo: desde monitores de bebés a frigoríficos controlados por apps”. Y, si cuentan con un agujero no parcheado, lo mejor es alejarse de él y decantarse por otra alternativa más segura.
En segundo lugar, Ramírez se inclina hacia los aparatos con cierto recorrido. “No siempre es una buena idea comprar los productos más recientes lanzados al mercado”, razona. “Junto con los errores estándar que se dan en nuevos productos, estos dispositivos podrían tener problemas de seguridad que aún no han sido descubiertos por los analistas de seguridad”. Por tanto, “el mejor consejo” que se puede dar en estos casos “es comprar productos que ya han tenido varias actualizaciones de software” porque las garantías de buen funcionamiento y protección aumentan. Además, “al elegir qué parte de tu vida vas a hacer un poco más inteligente, ten en cuenta los riesgos para tu seguridad”, completa el director general de Kaspersky Lab Iberia al emitir sus recomendaciones.
“Si tu casa es un lugar donde se guardan muchos objetos de valor material, probablemente sea buena idea elegir un sistema de alarma profesional, que puede reemplazar o complementar el sistema de alarma doméstico controlado por una aplicación ya existente”, argumenta este experto. Otra posibilidad consiste en “configurar el sistema existente de tal manera que cualquier vulnerabilidad potencial no afecte a su funcionamiento”. Igualmente, al encontrarse en la encrucijada de “elegir un dispositivo que recopilará información acerca de tu vida personal y la vida de tu familia, como un monitor de bebé, puede ser conveniente elegir el modelo RF más simple del mercado, uno que sólo sea capaz de transmitir una señal de audio, sin conexión a internet” y así curarse en salud sobre lo que podría suceder.
“Teniendo en cuenta que cada vez hay más dispositivos conectados en el hogar”, añade por su parte el representante de Cisco con el que ha hablado Silicon.es, los consumidores deben utilizar contraseñas sólidas y de doble factor” con sistemas de verificación en dos pasos que aporten un nivel extra de protección, “actualizar los navegadores” y “el software” de los dispositivos “y realizar descargas de aplicaciones siempre desde la página oficial, además de contar con herramientas de seguridad como antivirus y firewall” que contribuirán a luchar contra las amenazas. En el extremo de que el dispositivo ya haya sido “hackeado, lo mejor es contar con una copia de seguridad para poder restablecerlo de fábrica y después realizar una recuperación del sistema anterior al fallo o la intrusión”.
Eutimio Fernández, considera que “los modelos de ciberseguridad deben cambiar radicalmente. Se necesita un nuevo modelo de seguridad centrado en las amenazas tan ubicuo como el IoT, que abarque un amplio abanico de vectores de ataque durante todas sus etapas y garantice unas operaciones ininterrumpidas y la privacidad”. Para montar “este modelo”, que se define como “menos complejo y más inteligente”, habría que acometer su sujeción sobre “tres pilares” bien definidos. Estos pilares no son otros que la “visibilidad”, la “consciencia de las amenazas” y las cualidades combinadas de “integrado y ágil”. Fernández defiende concretamente una “visibilidad en tiempo real de dispositivos, datos y la relación entre ellos”. Algo así “como si se tratara de una torre de control aéreo, que visualiza cada avión en el aire y conoce su identidad, altitud, velocidad, plan de vuelo” y demás, “lo que requiere automatización y analítica de datos, inteligencia global en el cloud y correlación para identificar los ataques de día cero”.
Aparte, hay que comenzar a “identificar las amenazas en función de comportamientos normales y anómalos (contexto y comportamiento), analizar indicadores de compromiso y responder con rapidez”, nos cuenta el director de Seguridad en Cisco España. Y, a mayores, avanzar hacia una reducción de “la complejidad generada por la adopción de múltiples soluciones puntuales”. ¿Cómo? “Mediante una plataforma unificada con políticas y gestión común que abarca la red, los dispositivos y el cloud”. Una plataforma “que permita actuar con rapidez”. Una plataforma que es posible conseguir. Para todo esto hay solución. “La respuesta a este modelo está en la propia red, que permite consolidar, integrar y automatizar la prevención, detección y remediación de amenazas”, describe Eutimio Fernández, que tiene en mente una red que permita “integrar los entornos de TI (switches, redes, servidores, dispositivos móviles, entornos virtuales, cloud…), las redes de OT (Operation Technology: sistemas de control y gestión) y sus espacios físicos (cámaras de videovigilancia, accesos, etc.)”.
¿Qué futuro cabe esperar?
Si los cálculos de los especialistas no fallan, en poco más de tres años, en 2020, habrá 210 módulos M2M en España. Representarán un 62 % de todos los dispositivos y conexiones que se prevé que existan entonces en nuestro país, llegando a generar el 5 % del tráfico IP. De forma global, esto es, en todo el mundo, supondrán un 46 % de las conexiones para 2020. Alcanzarán la cifra de 12.200 millones. Partiendo de estos números, Eutimio Fernández cree que el internet de las cosas “seguirá siendo una amenaza”. Lo será porque “los defensores no están protegiendo los sistemas de una forma que iguale a los métodos de los atacantes, quienes siguen disfrutando de demasiado tiempo para actuar. Esta incapacidad para reducir el margen de actuación de los adversarios se debe principalmente a la falta de visibilidad, a una frágil infraestructura” que no está parcheada o se encuentra sin soporte, “redes infectadas” a lo largo de “meses e incluso años y un lento ratio de detección de nuevas amenazas”. La media de la industria en cuanto a detecciones va “de 100 a 200 días”.
Ahora lo que hay que hacer es tomar el internet de las cosas, que comienza convertirse en el internet de las amenazas tras haberse registrado diferentes ataques de ciberdelincuencia, con la seriedad que demanda la situación. Abrir los ojos, comprender la realidad actual y comenzar a corregir actitudes. “Todos los implicados en el proceso de creación de estos aparatos”, cosas o “dispositivos deben concienciarse sobre lo peligroso que es no tener en cuenta la ciberseguridad y las consecuencias que pueden derivar de esa desprotección”, resuelve el director general de Kaspersky Lab Iberia, Alfonso Ramírez. “Solo así evitaremos” que se produzcan males mayores y frenaremos “el cibercrimen que avanza cada vez más y que ha visto en IoT un claro filón para hacerse con datos de usuarios y obtener datos comprometidos”.