Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Tecnologías emergentes, IoT y ciberseguridad

Fecha de publicación 23/10/2018
Autor
INCIBE (INCIBE)
Tecnologías emergentes, IoT y ciberseguridad

Cuarta y última semana del Mes Europeo de la Ciberseguridad. En esta ocasión, está orientada a las tecnologías emergentes y la relación que éstas guardan con la privacidad. En un mundo interconectado, cada vez son más los elementos que se pueden controlar a distancia o que se encuentren al alcance de cualquier ciudadano con tan solo un abrir una aplicación. Cualquier elemento conectado a la Red es susceptible de manejarse de forma remota pero también estará expuesto a distintos riesgos. 

Además, es muy común pensar que ciertos aparatos o componentes tecnológicos no requieren de seguridad. Es más, ni tan siquiera nos planteamos que puedan necesitarla. ¿Quién va a creer que un sistema de iluminación remoto o un termostato de un acuario requieran de algún tipo de ciberseguridad? Sistemas con cámaras de vigilancia, termostatos, impresoras, en definitiva cualquier dispositivo con conexión directa a Internet deberá estar bajo la tutela de la política de seguridad de la empresa. Todos estos dispositivos dotados de conectividad a Internet forman parte de lo que se conoce como Internet de las Cosas, o IoT (por sus siglas en inglés Internet of Things).

Aunque a simple vista este tipo de dispositivos parezcan inofensivos en materia de ciberseguridad, al estar abiertos a Internet, son susceptibles de verse comprometidos. Además, no suelen contar con los mecanismos de seguridad de fábrica que pueden tener otros dispositivos de red como:

  • posibilidad de configuración de usuarios y contraseñas de acceso;
  • mecanismos que obliguen al cambio de contraseña;
  • de cifrado de las comunicaciones;
  • páginas de control accesibles en remoto;
  • actualizaciones de seguridad, ya sean de software o firmware;
  • etc. 

Esta problemática suele ser causada por la necesidad que tiene el fabricante de que sus dispositivos sean fáciles y rápidos de instalar, donde prima la usabilidad en lugar de la seguridad. Centran sus esfuerzos en desarrollar funcionalidades que tengan gran acogida entre sus potenciales compradores y siempre con la mayor celeridad posible, descuidando aspectos tan esenciales como la ciberseguridad. Seguramente habrán sido muchas las ocasiones en las que nos hemos encontrado situaciones análogas a la siguiente: «siga las indicaciones del asistente y configure su cámara cloud en tan solo unos clics». 

Como consecuencia, los ciberdelincuentes, conocedores de estas carencias, podrían utilizar este tipo de dispositivos como puntos de entrada a redes corporativas, con importantes consecuencias para la integridad y seguridad de la información, principal activo de una empresa. Pero además, también pueden hacer uso de ciertos recursos en su provecho, como por ejemplo para crear una botnet o minar criptomonedas, conocido como cryptojacking.

Por lo tanto, hay que ser conscientes de las posibles consecuencias que rodean a este tipo de dispositivos y tomar las medidas que sean necesarias para garantizar su seguridad. Deberemos tratarlos como cualquier otro elemento conectado a nuestras redes, incluyéndolos en las políticas desarrolladas en el Plan Director de Seguridad, y adoptando buenas prácticas como las siguientes:

  • cambiar las contraseñas que traen por defecto de fábrica;
  • adquirir productos que cuenten con actualizaciones de seguridad;
  • deshabilitar el acceso remoto a los mismos, siempre y cuando se haga fuera de la red corporativa;
  • configurar los accesos de tal manera que solo pueda acceder el personal autorizado;
  • establecer un canal de comunicación cifrado;
  • desactivar la interfaz web si fuera posible;
  • proteger el dispositivo contra manipulaciones físicas;
  • segmentar la red y ubicarlo en una zona sin acceso a recursos o información confidencial. 

Cualquier precaución es poca si hablamos de seguridad en dispositivos conectados a la red corporativa de una organización, por muy inofensivo que pueda parecer. Es necesario comprender que cualquier dispositivo que se conecte a la red es susceptible de ser comprometido, sobre todo si existe una carencia de medidas de seguridad. El primer paso es ser conscientes de la existencia del peligro y posteriormente, implementar las medidas de seguridad que sean necesarias. 

¡Protege tu información! ¡Protege tu empresa!