Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Las tecnologías emergentes en el Mes Europeo de la Seguridad

Fecha de publicación 15/10/2019
Autor
INCIBE (INCIBE)
Las tecnologías emergentes en el Mes Europeo de la Seguridad

Nos encontramos en pleno Mes Europeo de la Ciberseguridad. Desde el año 2012, octubre es el mes elegido para sensibilizar y concienciar sobre la importancia que tiene la ciberseguridad en entornos TIC, ya sea a nivel empresarial o en el terreno particular. Este año, las primeras dos semanas han estado orientadas a incidir y concienciar en buenos hábitos o medidas rutinarias que cualquier empresa debe mantener para proteger y asegurar la información que maneja. En estas dos siguientes semanas, será la ciberseguridad orientada a las tecnologías emergentes la que tome un especial protagonismo.

La tendencia actual en tecnologías emergentes cubre un amplio espectro: robótica, energía nuclear, avances en materia de salud, —con investigación en nuevas vacunas y  tratamientos o en la tecnología asociada (sondas, electrocardiogramas a través de relojes inteligentes,…) —, inteligencia artificial basada en asistentes (Siri, Alexa, Cortana, etc.), almacenamiento masivo de datos, etc. 

En todo caso, se trata de tecnologías que dependen de componentes que se encuentran interconectados entre sí y, en ocasiones, a Internet, por lo que también están expuestos a riesgos de ciberseguridad. Hoy en día, a nadie le resulta extraño que se pueda controlar a distancia un dispositivo determinado, como una cámara de seguridad, o acceder a grandes bases de datos ubicadas geográficamente en diversos lugares.

Pero en muchas ocasiones tendemos a relacionar la seguridad solo con componentes informáticos sin pararnos a pensar en que cualquier dispositivo conectado a Internet debe estar sujeto a las mismas políticas de seguridad que el resto de dispositivos de la empresa e incluidos en el Plan Director de Seguridad. Si tomamos como ejemplo en un laboratorio médico un centro de investigación científica, los datos de análisis podrían enviarse en tiempo real a otros centros médicos ubicados en la otra punta del planeta. Adicionalmente, las cámaras de seguridad que los vigilan o el control a distancia de la temperatura que regula una determinada cámara frigorífica de almacenaje podrían estar expuestos a usos ilícitos, solo por el hecho de disponer de elementos conectados a Internet (control de cámaras, termostatos, etc.).

Todo este conglomerado de dispositivos interconectados conforma lo que se conoce como el Internet de las Cosas o IoT (por sus siglas en inglés Internet of Things). Este tipo de dispositivos no están exentos de sufrir ataques por parte de un ciberdelincuente. Una simple impresora en red ubicada en las oficinas de este laboratorio  podría convertirse en un punto de entrada a la red de la empresa, y por tanto a toda la información que en ella se maneja. Por lo tanto, al igual que en ordenadores y móviles, para los dispositivos IoT tomaremos algunas medidas de seguridad:

Acceso seguro al dispositivo.

En la mayoría de las ocasiones, la interfaz de acceso a los dispositivos IoT es la parte más crítica y vulnerable. Esto es debido a que estos dispositivos suelen estar preparados para ser fáciles y rápidos de instalar, primando la usabilidad por encima de la seguridad. Si un ciberdelincuente consiguiera tener acceso al dispositivo, podría controlarlo en su totalidad, así como el resto de dispositivos de la red. 

Si la interfaz de acceso cuenta con un usuario y contraseña por defecto y el desarrollador no ha habilitado el cambio en su primer uso, se recomienda considerar las siguientes directrices:

  • Crear, si lo permite, un nuevo usuario administrador utilizando un nombre de usuario que no sea genérico, evitando nombres como «Admin», «root», «Administrador», etc. 
  • Eliminar el usuario administrador por defecto y, en caso de que no fuera posible, cambiar la contraseña por una más robusta que combinen minúsculas, mayúsculas, números y caracteres especiales. 
  • En cualquier caso, asegurarse al cambiar la contraseña, de utilizar contraseñas robustas, siguiendo las directrices anteriores. 
  • Utilizar la autenticación de doble factor (2fA), siempre que sea posible.
  • Si el dispositivo cuenta con aplicación móvil, asegurarse de descargar la aplicación legítima desde la tienda oficial (App Store o Play Store).

Comunicaciones seguras

La interfaz de acceso al dispositivo nos ofrece una forma de comunicación con el mismo y con su funcionalidad. Además de contar con unas credenciales de acceso robustas, cuando sea posible, elegiremos dispositivos que utilicen en sus comunicaciones técnicas criptográficas que permitan asegurar la privacidad, confidencialidad e integridad de la información. Tomaremos además las siguientes medidas:

  • Cuando se acceda al dispositivo mediante un navegador web, asegurarse que la dirección comienza por «https».
  • En caso de hacer uso de una aplicación móvil, al elegirla en la tienda online comprobar las especificaciones para verificar que utiliza mecanismos de comunicación seguros. 
  • En caso de no contar con comunicación cifrada, utilizar redes privadas virtuales o VPN (por sus siglas en inglés Virtual Private Network).
  • Deshabilitar cualquier servicio que no sea estrictamente necesario para su administración o uso.

Actualizaciones de seguridad

Se trata de una de las principales defensas contra el malware con las que cuenta cualquier dispositivo. Por lo tanto, es prioritario mantener todos los sistemas y aplicaciones actualizados, independientemente de si son dispositivos IoT o no, tanto en software como en firmware.

Es recomendable asegurarse de que las actualizaciones provienen del sitio web oficial del fabricante. Nunca se han de instalar actualizaciones que provengan de sitios que no sean el oficial, o de ficheros adjuntos a correos electrónicos.

Dispositivos de seguridad perimetral

Aunque los dispositivos IoT no cuenten con este tipo de seguridad, es recomendable que tu empresa cuente con un cortafuegos o firewall. De esta forma se podrá realizar un filtrado de conexiones desde y hacia el dispositivo en cuestión, reduciendo considerablemente su exposición y sus riesgos asociados. 

También se puede segmentar la red y ubicar estos dispositivos en una zona que no cuente con acceso a los recursos o a la información confidencial o zona desmilitarizada «DMZ». 

Despedimos así el Mes Europeo de la Seguridad incidiendo una vez más en la necesidad de comprender que el primer paso para proteger los dispositivos de cualquier organización es ser conscientes de los riesgos asociados a su uso. La ciberseguridad debe convertirse en una prioridad para cualquier empresa u organización.