El control, clave ante la inseguridad de la Internet de las cosas

“Todo dispositivo IoT puede ser vulnerable a ataques informáticos. Si bien hemos progresado satisfactoriamente en el desarrollo de un número ilimitado de dispositivos inteligentes y autónomos, podemos observar un retroceso en la implementación de medidas de seguridad en dichos dispositivos”, sostuvo Fernando Spettoli, vicepresidente de Seguridad para Latinoamérica de la empresa de soluciones de información Equifax. “Tener claridad en este asunto es de vital importancia para preservar, tanto nuestra privacidad como posibles inconvenientes por los vacíos legales existentes en la materia”, afirmó.

El experto señaló que los aparatos conectados a Internet son “alrededor de entre 10.000 y 13.000 millones, según las proveedoras, y para 2020 serán entre 30.000 y 50.000 millones, a nivel global”. Estos dispositivos, analizó, “maximizan las facilidades de manera casi imperceptible”; a todo momento las personas entregan datos sin darse cuenta: al bajar una aplicación, al subir una foto a la nube, haciendo publicaciones en las redes sociales.

Según Spettoli, la gratuidad de muchos de estos procesos es en base a la información que brindan las personas, por lo que es “fundamental” cobrar conciencia de los miles de datos de la vida privada que se entregan y transmiten casi sin percatarse.

Además del peligro hacia los datos personales, la falta de seguridad en los dispositivos IoT hace posible que se los infecte con malware, se los controle y se los use para, por ejemplo, lanzar ataques de denegación distribuida de servicio (DDoS) -cuando se satura un servidor por exceso de consumo de ancho de banda y se lo voltea-, como los que a finales de octubre afectaron durante varias horas a buena parte de los principales sitios y servicios online del mundo (como Twitter, Spotify, The Guardian y Netflix, entre muchos otros).

El experto indicó que la mayor parte de las complicaciones que estos aparatos presentan están basadas en métodos de autenticación débiles, falta de cifrado en la trasmisión de datos a través de las redes, credenciales por defecto, falta de prácticas seguras de programación y debilidades en la protección de la privacidad, tanto individual como corporativa.

Las principales vulnerabilidades están en “las contraseñas, que son texto plano y están hardcodeadas (incrustadas directamente en el código fuente), o en que la comunicación no está cifrada entre el dispositivo y el router”, precisó.

En general, esto sucede por “una cuestión de costo-beneficio”, una ecuación en la que “los fabricantes se centran en que a los equipos les dure la batería y no mucho más. Por otro lado, es una cuestión del grado de madurez: cuando generás un producto, lo que querés es poner una masa crítica en el mercado que te permita crecer, recién después te preocupás por la seguridad”, describió el experto.

Ante esto, las recomendaciones y medidas de seguridad que se deben afrontar para mitigar y minimizar los riesgos potenciales son múltiples, afirmó Spettoli, y explicó que se puede comenzar estableciendo las bases, mediante políticas y procedimientos que ordenen la gestión de dispositivos.

Al mismo tiempo, “se debe restringir la comunicación de estas herramientas, cambiar contraseñas y credenciales por default”, y precisó que hay procesos que se pueden emplear para restringir el alcance y la interacción de esos dispositivos al mínimo indispensable para operar.