Seguridad: Los dispositivos de IoT son los enlaces más frágiles
En una entrevista a IoTSWC, Mikko Hyppönen, director de investigación de F-Secure, destacó la necesidad de que el ecosistema IoT adopte medidas de seguridad propias para hacer frente a cualquier ciberamenaza. Hyppönen apela a la profesionalización de las instalaciones de IoT y a un cambio radical de los sistemas tradicionales de ciberprotección.
Hyppönen, uno de los mayores expertos en seguridad informática y privacidad del mundo, es conocido por la Ley de Hypponen, que se resume en la máxima: “Cualquier objeto calificado como smart es vulnerable”.
Para el especialista, en la mayoría de las redes instaladas tanto en la industria como en empresas y hogares, los dispositivos de IoT son los enlaces más frágiles. Los atacantes externos tienen más dificultades para acceder al interior de las redes a través de servidores o de estaciones de trabajo. Sin embargo, entrar a través de una cámara de seguridad, una impresora, un sensor o cualquier otro dispositivo de IoT resulta una operación mucho más sencilla. Asimismo, en los entornos corporativos se añade otra problemática de seguridad: la instalación y la conexión de los dispositivos de IoT son operaciones que realizan los propios empleados, en lugar de dejarlo en manos de profesionales.
Hyppönen explicó que los dos problemas de seguridad más habituales que presentan los dispositivos de IoT se concentran en las interfaces de administración y en las vulnerabilidades de seguridad del propio sistema. En el caso de las interfaces de administración, los atacantes consiguen penetrar en la plataforma a través de un dispositivo de IoT que les permite acceder a los parámetros de configuración del sistema. Esto podría deberse a que la red no está correctamente segmentada -porque las cuentas de los usuarios no están bien configuradas-, o, tal vez, porque las credenciales estándar no han sido modificadas. Sin embargo, los problemas de vulnerabilidad de la seguridad parten de una base distinta: su inicio tiene lugar en un error de programación en la fase de desarrollo. A partir de aquí, los atacantes utilizan estas vulnerabilidades para entrar en el sistema.
En la actualidad, de acuerdo con el especialista, las infraestructuras críticas son los objetivos más buscados, pero no suelen ser atacadas por cibercriminales sino promovidas por los gobiernos de algunos países. Asimismo, los vehículos conectados pueden ser un gran objetivo para los cibercriminales, ya que resulta fácil imaginar cómo un vehículo autónomo puede llegar a convertirse en un coche que se autosecuestra.
De cara al futuro, Hyppönen entiende que los fabricantes tienen la responsabilidad de garantizar que sus dispositivos se mantengan protegidos y sean, al mismo tiempo, elementos seguros. “No podemos proteger los dispositivos de IoT a la manera tradicional, del mismo modo que nunca instalaríamos un programa antivirus en una lavadora. Por consiguiente, los dispositivos de IoT han de integrar mecanismos de seguridad en el mismo momento de su desarrollo”, sentenció.
