Hay un problema con Internet de las cosas: es increíblemente inseguro.
Este no es un problema inherente a la idea de los dispositivos inteligentes. Los dispositivos portátiles, las casas inteligentes y las aplicaciones de seguimiento de actividad física pueden ser seguros, o al menos más seguros de lo que son actualmente.
El problema, en cambio, es uno que ha sido creado en gran medida por las empresas que fabrican
Dispositivos IoT. Muchos de estos dispositivos son fabricados por compañías relativamente pequeñas y relativamente nuevas con poca experiencia en lo que respecta a la ciberseguridad. Sin embargo, incluso las grandes empresas e incluso las que producen miles de
televisores inteligentes pirateables al año, no se pueden perdonar tan fácilmente.
En verdad, cuando se trata de
Internet de las Cosas, muchas empresas han priorizado la conectividad y la "innovación" (leer características populares pero inseguras) sobre la seguridad cibernética.
Estos enfoques han llevado a una variedad de vulnerabilidades de seguridad en dispositivos IoT.
Pruebas y actualizaciones insuficientes
Quizás el mayor problema cuando se trata de la ciberseguridad de los dispositivos IoT es que muchas empresas simplemente no los admiten después del lanzamiento. De hecho, muchos dispositivos IoT ni siquiera tienen la capacidad de actualizarse, incluso en comparación con la mayoría
tipos comunes de ciberataque
Esto significa que incluso un dispositivo que era seguro cuando se lanzó rápidamente puede volverse altamente vulnerable. Los fabricantes a menudo están más centrados en lanzar su nuevo dispositivo que en dedicar tiempo a reparar fallas de seguridad "históricas". Esta actitud puede dejar estos dispositivos en un estado permanentemente inseguro.
No actualizar estos dispositivos es un gran problema, y no solo para los consumidores a los que les roban sus datos. También significa que los dispositivos de una empresa pueden ser víctimas de un ataque cibernético único y grande que podría arruinar su reputación y borrar su rentabilidad.
Contraseñas predeterminadas
Un segundo problema importante, y evitable, con los dispositivos IoT es que se envían con contraseñas predeterminadas y no se recuerda a los usuarios que las cambien en orden
para asegurar sus redes domésticas de IoT. Esto a pesar de los consejos de la industria y del gobierno contra el uso de contraseñas predeterminadas.
Esta vulnerabilidad condujo al pirateo de IoT de más alto perfil hasta la fecha, la botnet Mirai, que comprometió a millones de dispositivos IoT por el simple método de usar sus contraseñas predeterminadas.
Aunque algunos servidores web basados en el Reino Unido
detectó el ataque e impidió que llegara a dispositivos de consumo, decenas de fabricantes hicieron que sus dispositivos fueran pirateados de esta manera. Sin embargo, en ausencia de requisitos legales contra el uso de contraseñas predeterminadas, continúan haciéndolo.
Nuevos tipos de ransomware
Los dispositivos IoT son particularmente susceptibles a la piratería por una razón más compleja: están integrados en las redes domésticas y corporativas en un grado sin precedentes en los sistemas tradicionales.
Los dispositivos de IoT generalmente tienen un proceso de desarrollo muy rápido, y durante este apuro parece que no hay tiempo para pensar a qué dispositivos realmente necesitan acceder. Como resultado, un dispositivo o aplicación de IoT típico solicitará muchos más privilegios de los que necesita para completar sus funciones básicas.
Ese es un gran problema, porque puede significar que
spyware en el IoT puede acceder a mucha más información de la que debería poder.
Tomemos un ejemplo. Las cámaras IP generalmente se venden como dispositivos IoT para hogares inteligentes, o para su uso como cámaras web. El fabricante del dispositivo generalmente lo enviará sin firmware reforzado o actualizado, y con contraseñas predeterminadas (ver arriba). El problema es que si los piratas informáticos conocen esta contraseña predeterminada (y lo hacen, confíen en mí), es sencillo acceder a la alimentación desde la cámara.
Se pone peor. Usando la cámara, un pirata informático puede capturar información confidencial, como detalles de tarjetas de crédito, contraseñas o imágenes destinadas a "uso personal". Esto puede usarse para ejecutar un hack más grande o chantajear a la víctima.
AI y automatización
Un problema más exótico con la seguridad de IoT se debe al hecho de que las redes de IoT ya son tan grandes y complicadas que se administran a través de algoritmos de inteligencia artificial en lugar de por personas. Para muchas empresas, el uso de IA es la única forma de manejar la gran cantidad de datos producidos por los dispositivos de los usuarios, y su rentabilidad depende de esta funcionalidad.
El problema aquí es que las IA pueden tomar decisiones que afectan la vida y la seguridad de millones de usuarios. Sin el personal o la experiencia necesarios para analizar las implicaciones de estas decisiones, las empresas de IoT pueden, aunque sea accidentalmente, comprometer sus redes de IoT.
De todos los problemas en esta lista, podría decirse que es el más preocupante. Esto se debe a que los sistemas IoT impulsados por IA ahora manejan muchas funciones críticas en la sociedad, desde
software de seguimiento de tiempo solía pagar a los empleados a las máquinas que mantienen vivos a los pacientes en su hospital local.
Las soluciones
Sin embargo, las acciones de empresas individuales o consumidores individuales no van a resolver este problema. En cambio, debe haber un cambio de paradigma en la industria. Es revelador que ninguna compañía (respetable) venda, digamos, software de seguimiento de tiempo sin comprometerse a mantenerlo actualizado. No hay razón para que esta idea no sea igualmente absurda cuando se trata de dispositivos físicos.
De hecho, muchos de los problemas mencionados aquí, el uso de contraseñas predeterminadas o un enfoque descuidado de los permisos de aplicaciones, se superaron hace mucho tiempo en relación con el software tradicional. Lo que se requiere, entonces, podría ser solo un enfoque de sentido común para bloquear dispositivos IoT.
Las opiniones expresadas en este artículo son las del autor y no reflejan necesariamente los puntos de vista de ECT News Network.
Sam Bocetta ha sido columnista de ECT News Network desde 2019. Periodista independiente que se especializa en diplomacia estadounidense y seguridad nacional, el énfasis de Bocetta son las tendencias tecnológicas en guerra cibernética, defensa cibernética y criptografía.