El mercado mundial del Internet de las Cosas (IoT) ha experimentado un importante crecimiento en los últimos años. Actualmente se utilizan más de 8.400 millones de dispositivos y se espera que esta cifra aumente a 25.000 millones en 2020.
La Internet de los objetos se refiere a todos los dispositivos físicos de todo el mundo que ahora están conectados a Internet, recogiendo y compartiendo datos.
Los dispositivos IoT pueden incluir cualquier cosa, desde microondas, monitores de bebés y altavoces inteligentes hasta operaciones de fabricación a gran escala. Muchas industrias mundiales están adoptando ahora la tecnología IoT como medio para mejorar la eficiencia y aumentar los beneficios.
Sin embargo, a medida que el uso de estos dispositivos ha aumentado, también lo han hecho los riesgos de ciberseguridad asociados al IoT. El problema con los dispositivos IoT es que tienen muy poca seguridad, y muchos carecen de la capacidad de ser actualizados, lo que proporciona a los ciberdelincuentes puntos de acceso fáciles de explotar.
Los hackers intentarán comprometer los dispositivos IoT con autenticación débil, firmware sin parches u otras vulnerabilidades de software. Si estas tácticas no funcionan, aplicarán ataques de fuerza bruta utilizando nombres de usuario y contraseñas por defecto.
Para 2020, se estima que el 25% de todos los ciberataques tendrán como objetivo los dispositivos IoT, y con más industrias adoptando tecnologías IoT, podemos esperar ver un aumento continuo de estos ataques a menos que los fabricantes prioricen las características de seguridad de estos dispositivos.
Peligros de los dispositivos IoT no seguros
Los dispositivos IoT inseguros son una forma fácil de que los ciberdelincuentes se infiltren en una red. El infame ataque de la red de bots Mirai de 2016 demuestra la facilidad con la que estos dispositivos cotidianos pueden ser utilizados como armas por los atacantes.
El ataque sigue siendo uno de los mayores ataques de denegación de servicio distribuido (DDoS ) de la historia. Utilizando un malware llamado Mirai, los hackers crearon una red de bots masiva de 100.000 dispositivos IoT. Los dispositivos incluían radios, televisores inteligentes e impresoras, y todos ellos estaban programados para enviar solicitudes a Dyn y abrumarla con tráfico.
El ataque fue enormemente perturbador e hizo caer los sitios web de más de 80 de sus clientes, entre ellos Amazon, Netflix, Airbnb, Spotify, Twitter, PayPal y Reddit. Se calcula que los daños causados por el ataque costaron 110 millones de dólares y, a pesar de que se contuvo en un día, más de 14.500 dominios abandonaron los servicios de Dyn inmediatamente después del ataque.
Sin embargo, el compromiso de los dispositivos IoT no se limita a los ataques DDoS. Los hackers se dirigen cada vez más directamente a los consumidores para robar sus datos personales. Estos dispositivos pueden transmitir enormes cantidades de datos sensibles que pueden ayudar a los delincuentes a construir una imagen detallada de su víctima. La información puede utilizarse entonces en la elaboración cuidadosa de un ataque de ingeniería social o los delincuentes pueden utilizar los datos para cometer un fraude de identidad.
Seguridad de los dispositivos IoT
El rápido crecimiento del mercado del IoT ha hecho que muchos fabricantes se centren más en los beneficios que en la seguridad de los propios dispositivos. Los ciberdelincuentes se han apresurado a aprovechar este fallo de seguridad explotando las vulnerabilidades de los dispositivos y utilizándolos en ciberataques coordinados.
Este aumento de los ataques ha llevado a varios gobiernos a tomarse el asunto más en serio. California es el primer estado de Estados Unidos que ha introducido una ley de ciberseguridad que regula los dispositivos IoT. La legislación entrará en vigor el 1 de enero de 2020 y exige medidas de seguridad para cualquier dispositivo que pueda conectarse a internet y que tenga una dirección IP o Bluetooth.
El gobierno del Reino Unido también ha establecido directrices para hacer más seguros los dispositivos IoT. Las directrices incluyen el almacenamiento seguro de los datos personales, las actualizaciones periódicas, el cifrado de datos y el uso de contraseñas únicas.
La conclusión es que los fabricantes deben dar prioridad a la seguridad para garantizar que se incorporan las medidas adecuadas a la tecnología de la IO desde el momento en que se desarrolla. Esto ayudará a mejorar la confianza de los consumidores y a reducir la posibilidad de que los dispositivos sean comprometidos por los atacantes.
Principales consejos para mejorar la ciberseguridad del IoT
Los consumidores también pueden ayudar a mejorar la seguridad de sus dispositivos tomando las siguientes medidas:
- Cambiar las contraseñas por defecto: los fabricantes asignan automáticamente un nombre de usuario y una contraseña a cada dispositivo, y los hackers pueden encontrar fácilmente estas contraseñas por defecto en Internet. Los usuarios deberían cambiar inmediatamente el nombre de usuario y la contraseña por defecto por algo más seguro.
- Aplique actualizaciones de software:el firmware de los dispositivos inteligentes, como cualquier otro tipo de software, puede contener vulnerabilidades que los hackers pueden aprovechar. La mayoría de los dispositivos no tienen la opción de una actualización automática, por lo que tendrá que actualizar manualmente el software para asegurarse de que sus dispositivos están protegidos. Los usuarios también deberían visitar regularmente el sitio web del fabricante para comprobar si hay actualizaciones de firmware.
- Active el cifrado de la red inalámbrica: el cifrado es una de las formas más eficaces de proteger los datos de la red.
- Utilice un cortafuegos : un cortafuegos supervisa el tráfico entre una conexión a Internet y los dispositivos para detectar comportamientos sospechosos. Incluso si un dispositivo se infecta, un cortafuegos puede ayudar a evitar que un atacante acceda a otros dispositivos de la misma red.
- Utilice sólo marcas conocidas : las grandes marcas tienden a tomarse más en serio la seguridad de sus productos. Invertirán más tiempo y dinero en garantizar que las características de seguridad se incorporen en la fabricación y el diseño del producto. También lanzarán actualizaciones de software con regularidad para evitar que los hackers exploten las vulnerabilidades del dispositivo.