Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

TemáTICas IoT

Imagen de cabecera de la tematica iot

El término Internet de las cosas o Internet of Things (IoT) hace referencia a la digitalización de todo tipo de dispositivos comunes, como vehículos, cámaras de grabación, implantes médicos, ropa, etc. Los dispositivos IoT permiten enviar y recibir información a través de una red, generalmente Internet, aunque pueden utilizar otras tecnologías, como Zigbee o Bluetooth.

En el mundo empresarial los dispositivos IoT pueden suponer una gran mejora en diversas áreas de negocio, como son la seguridad, gestión de inventarios, logística, etc. Los datos obtenidos tendrán multitud de usos, como la monitorización de activos o el diagnóstico de posibles fallos, permitiendo así mejorar la productividad empresarial.

Índice de contenidos

  1. Riesgos en el uso de dispositivos IoT
  2. Conoce a tu enemigo, principales vectores de ataque
  3. Medidas de seguridad

Riesgos en el uso de dispositivos IoT

Los dispositivos IoT desde su instauración han sido un objetivo para los ciberdelincuentes. Desde que su uso se ha extendido, pueden utilizar este tipo de dispositivos como punto de entrada a las redes de la organización o directamente para aprovecharse de sus recursos. El ciberataque y compromiso de estos dispositivos pueden provocar consecuencias graves para la seguridad de la empresa. La conectividad a Internet de los dispositivos IoT es su principal característica, pero también su punto débil. En caso de que el dispositivo cuente con configuraciones de seguridad deficientes o vulnerabilidades, así como contraseñas débiles o por defecto, cualquiera podría acceder al dispositivo si se dieran las circunstancias idóneas, comprometiendo así su seguridad y posiblemente la de la empresa.

Los dispositivos IoT son utilizados por los ciberdelincuentes para formar una botnet, conjunto de dispositivos controlados por los ciberdelincuentes para llevar a cabo otro tipo de ataques, como envío de spam, lanzamiento de ataques de denegación distribuida de servicio o DDoS, distribución de malware, etc.

Además de poner en riesgo la seguridad de la empresa o ser utilizados para llevar a cabo nuevos ataques, los dispositivos IoT pueden poner en riesgo la privacidad de los usuarios. Este tipo de dispositivos gestionan multitud de información de carácter confidencial, que si cayera en manos de los ciberdelincuentes podría afectar gravemente a la privacidad de los usuarios.

Cómo afectan las botnets a tu empresa y cómo protegerte de ellas

Cómo afectan las botnets a tu empresa y cómo protegerte de ellas

Blog

Consecuencias que puede tener para tu empresa el formar parte de una botnet y qué medidas de protección hay que tener en cuenta para evitar la amenaza.

Qué es una botnet y cómo saber si tu empresa forma parte de ella

Qué es una botnet y cómo saber si tu empresa forma parte de ella

Blog

Las botnet son un tipo de amenaza que puede afectar a tu empresa sin que seas consciente, aprende más sobre qué son y cómo protegerte de ellas.

Medidas de prevención contra ataques de denegación de servicio

Ataques DDoS: ¿qué son y qué puedo hacer para proteger mi empresa?

Blog

Se aprenderán las diferencias entre la denegación de servicio y la denegación de servicio distribuida, las formas típicas de abordar este ataque y recomendaciones.

Conoce a tu enemigo, principales vectores de ataque

Los vectores de ataque son los métodos que utilizan los ciberdelincuentes para hacerse con su objetivo, como por ejemplo, obtener información o tomar el control del dispositivo. Los principales vectores de ataque que afectan a los dispositivos IoT son:

  • Errores en la implementación de los dispositivos IoT dentro de la red empresarial. El principal error que se comete es no segmentar adecuadamente la red, evitando que ante un acceso no autorizado al dispositivo IoT, se tenga además acceso a otros recursos de la empresa.
  • Si un ciberdelincuente consigue acceso a la red local o LAN, donde se encuentra el dispositivo IoT, o al receptor de la información, podría acceder a esta llegando incluso a modificarla. A este tipo de ciberataques se les conoce como hombre en el medio o MitM, por sus siglas en inglés Man-in-the-Middle.
  • Acceso no autorizado a la plataforma de administración. Los dispositivos IoT suelen contar con una interfaz web o aplicación móvil para su administración. Si estas cuentan con vulnerabilidades o configuraciones de seguridad deficientes, se podría producir un acceso no autorizado y los ciberdelincuentes podrían controlar el dispositivo a su antojo.
  • El acceso físico a los dispositivos IoT por parte de los ciberdelincuentes puede ser el origen de un incidente de seguridad. En algunos casos, estos dispositivos se encuentran expuestos a posibles accesos no autorizados a la información que gestionan, robos o vandalismo.
  • Los usuarios también conforman un factor muy importante en cuanto a la ciberseguridad de los dispositivos IoT de la empresa. Los ciberdelincuentes pueden llevar a cabo ataques de ingeniería social, con los que fuerzan a las posibles víctimas a realizar acciones maliciosas, como facilitar las credenciales de acceso al dispositivo o instalar actualizaciones fraudulentas que contienen algún tipo de malware.
Seguridad en la instalación y uso de dispositivos IoT: una guía de aproximación para el empresario

Seguridad en la instalación y uso de dispositivos IoT: una guía de aproximación para el empresario

Guías

Los dispositivos IoT son cada vez más utilizados por pymes y autónomos. Para muchas empresas se han convertido en elementos esenciales para su negocio. Su utilización debe hacerse respetando una serie de medidas de seguridad si no se quiere ser víctima de un incidente de seguridad.

Medidas de seguridad

En los dispositivos IoT, debido a sus reducidas capacidades de cómputo, no se pueden implementar las soluciones habituales de seguridad, como los antivirus. Para suplir estas carencias es necesario aplicar otras medidas de seguridad, que protegerán tanto al propio dispositivo IoT como a la red empresarial.

  • Establecer un acceso seguro a la interfaz de administración del dispositivo, especialmente si esta es accesible desde Internet. Algunas de las pautas a tener en cuenta son:
    • Utilizar como mínimo mecanismos basados en la dupla usuario y contraseñas, y siempre que sea posible, habilitar un segundo factor de autenticación.
    • Evitar nombres de usuario genéricos, como root, administrador, administrator, etc.
    • Establecer una contraseña robusta, que cuente con ocho caracteres como mínimo e incluya mayúsculas, minúsculas, números y símbolos, teniendo siempre en cuenta que cuanto más larga sea mejor.
  • En caso de utilizar una app móvil, se debe descargar de repositorios oficiales y siempre mantenerla actualizada a la última versión disponible.
  • Implementar canales seguros de comunicación que utilicen técnicas criptográficas para cifrar la información que se envía y recibe desde el dispositivo IoT; por ejemplo, cuando se utilice el navegador web se verificará que el protocolo es “https”. Como alternativa se puede optar por una VPN o red privada virtual para crear un medio seguro de comunicación.
  • Aplicar las últimas actualizaciones y parches de seguridad tan pronto como sea posible. Los dispositivos IoT deben estar contemplados en la política de actualizaciones de software de la empresa, contemplando todas las casuísticas posibles, ya que en muchas ocasiones la disponibilidad es clave. Es recomendable comprobar regularmente la web del fabricante del dispositivo para verificar si se está utilizando la última versión de software.
  • Dispositivos de seguridad perimetral, como un cortafuegos que filtre las conexiones que se establecen desde y hacia el dispositivo. Además, es recomendable ubicar los dispositivos IoT en una zona aislada de la red empresarial, denominada DMZ o zona desmilitarizada, y siempre que no sea imprescindible, se deben desactivar las funciones de administración a través de Internet.
  • La seguridad física del dispositivo también debe tenerse en cuenta. Por ello, se deben implementar medidas que eviten accesos no autorizados, modificaciones fraudulentas, robo o destrucción.
  • Formación y concienciación en ciberseguridad. Los usuarios que gestionan y utilizan los dispositivos IoT deben estar formados en materia de ciberseguridad para evitar situaciones que puedan poner en riesgo la seguridad de la empresa.
UTM, un firewall que ha ido al gimnasio

UTM, un firewall que ha ido al gimnasio

Blog

¿Sabes qué es un UTM y cómo un único elemento puede ayudarte a proteger la seguridad de tu organización? Hoy te lo explicamos.

Qué es una DMZ y cómo te puede ayudar a proteger tu empresa

Qué es una DMZ y cómo te puede ayudar a proteger tu empresa

Blog

Una zona desmilitarizada o DMZ segmenta la red de la organización para proteger los recursos internos de aquellos publicados en Internet como servidores web o de correo.

Conéctate a tu empresa de forma segura desde cualquier sitio con una VPN

Conéctate a tu empresa de forma segura desde cualquier sitio con una VPN

Blog

Conectarse en remoto a la empresa es hoy en día una necesidad pero no tenemos que perder de vista la seguridad. Podemos usar una Red Privada Virtual que establezca un túnel entre nosotros e internet. ¿Sabes cómo seleccionarla?

Dos mejor que uno: doble factor para acceder a servicios críticos

Dos mejor que uno: doble factor para acceder a servicios críticos

Blog

Desde finales del siglo pasado, cuando en las empresas se empezaron a utilizar ordenadores personales y software de oficina para automatizar algunas tareas.

Actualizaciones de software

Actualizaciones de software

Políticas de seguridad para la pyme

Las aplicaciones actualizadas son menos vulnerables. Revisa si tienes todo el software al día. ¡Qué no se te pase ni una!

Concienciación y formación

Concienciación y formación

Políticas de seguridad para la pyme

Nada más importante que conocer los riesgos para poder evitarlos: ¡enseña para prevenir!