¿Qué es la seguridad de IoT?

Aunque sea una disciplina relativamente nueva en el ámbito de la ciberseguridad, el internet de las cosas (IoT) como oportunidad de negocio se ha consolidado en un conjunto de casos de uso bien definido capaz de solucionar los problemas empresariales más apremiantes. Asimismo, ha demostrado ofrecer ventajas operativas y económicas en diferentes sectores como la sanidad, el comercio minorista, los servicios financieros, los servicios públicos, el transporte y la fabricación industrial.

El rápido crecimiento de las funciones y la adopción de la tecnología de IoT ha impulsado una transformación de las operaciones en la empresas y, en la actualidad, los dispositivos IoT representan el 30 % de los dispositivos totales de las redes corporativas. La enorme cantidad de datos que recopilan estos dispositivos ofrece información clave que resulta muy útil para tomar decisiones bien fundadas en tiempo real y crear modelos predictivos precisos. Además, el IoT es un impulsor esencial de la transformación digital en la empresa, ya que tiene el potencial de aumentar la productividad de la plantilla, la eficiencia del negocio y la rentabilidad, así como de mejorar la experiencia general de los empleados.

A pesar de las numerosas ventajas e innovaciones que brinda la tecnología de IoT, la interconexión de los dispositivos inteligentes también presenta un importante reto para las organizaciones, que ahora deben enfrentarse a los notables riesgos de seguridad derivados de los dispositivos no supervisados y poco protegidos que se conectan a la red.

Vídeo relacionado

¿Qué es un dispositivo IoT?

Un dispositivo IoT es, en esencia, cualquier activo físico que se conecte a una red y que no sea un ordenador. Aunque los equipos de TI empresariales protegen los dispositivos de TI estándar con tecnología y protocolos de seguridad de la red tradicionales, los riesgos de seguridad asociados a los dispositivos IoT no son tan conocidos, por lo que la seguridad en este ámbito suele ser una asignatura pendiente para muchas organizaciones. Los sistemas de ciberseguridad estándar no son capaces de reconocer ni identificar los diferentes tipos de dispositivos IoT ni los perfiles de riesgo únicos y los comportamientos previstos asociados a ellos.

A esto se suma que cualquier centro de negocio puede implementar dispositivos IoT y, por consiguiente, saltarse los controles y procesos de seguridad de la red habituales. Todos estos dispositivos IoT conectados a la red —impresoras, cámaras, sensores, luces, sistemas de climatización, electrodomésticos, bombas de infusión, escáneres portátiles y un largo etcétera— utilizan diferentes tipos de hardware, chips, sistemas operativos y firmware que introducen vulnerabilidades y riesgos.

¿Cuáles son los retos de la seguridad de IoT?

La seguridad de IoT puede entenderse como una estrategia de ciberseguridad y un mecanismo de protección frente a posibles ciberataques diseñados específicamente para atacar dispositivos IoT físicos que estén conectados a la red. Sin una estrategia de seguridad sólida, cualquier dispositivo IoT conectado es susceptible de que los ciberdelincuentes se infiltren en él, lo ataquen y tomen el control para colarse en la red de la empresa, robar datos de los usuarios y paralizar los sistemas.

El desafío global de la seguridad de IoT es que, a medida que se van conectando a la red más y más tipos de dispositivos IoT, la superficie de ataque también crece de forma exponencial. En última instancia, la estrategia global de seguridad de la red se ve reducida al nivel de integridad y protección con el que cuente el dispositivo menos seguro de la empresa.

Los equipos de seguridad ahora se enfrentan a la proliferación de nuevos retos relacionados con la seguridad de IoT, que incluyen:

  • Inventario: falta de visibilidad y contexto para saber qué dispositivos IoT ya están conectados a la red y cómo gestionar de forma segura los nuevos que se vayan conectando.

  • Amenazas: dificultad para mantener actualizados los sistemas operativos de los dispositivos IoT (o imposibilidad para hacerlo) debido a la falta de una seguridad bien integrada.

  • Volumen de datos: supervisar las ingentes cantidades de datos generados por los dispositivos IoT, gestionados y no gestionados.

  • Responsabilidad: nuevos riesgos asociados a que la gestión de los dispositivos IoT corra a cargo de distintos equipos de la organización.

  • Diversidad: la infinita diversidad de dispositivos IoT en cuanto a formatos y funciones.

  • Operaciones: la crisis de la unificación, consistente en que los dispositivos IoT son cruciales para las operaciones principales de la empresa, pero difíciles de integrar en la estrategia de seguridad central.

Además de estos retos, el 98 % de todo el tráfico de los dispositivos IoT está sin cifrar, lo que pone los datos personales y confidenciales en un grave riesgo.

Cada dispositivo IoT de la red es un endpoint que puede convertirse en una puerta de entrada para los atacantes y que expone la red a riesgos externos. Esto no incluye solo los dispositivos IoT que tiene identificados, sino también aquellos que ni sabe que tiene. Por ejemplo, si los dispositivos IoT se infectan con malware, se pueden utilizar como botnets para lanzar ataques de denegación de servicio distribuido (DDoS) a la red que el ciberdelincuente quiera bloquear. Sin embargo, a diferencia de lo que ocurre con los dispositivos de TI, cada vez hay más dispositivos IoT prácticamente invisibles en las redes empresariales, por lo que es imposible protegerlos todos de manera coherente.

¿Qué dispositivos IoT registran el mayor porcentaje de problemas de seguridad?

Los dispositivos médicos y las cámaras de seguridad son el grupo que más problemas de seguridad registra.

Algunos de los ataques a dispositivos IoT más habituales son los exploits que se ejecutan mediante técnicas como el análisis de red, la ejecución remota de código o la inyección de comandos, entre otros. El 41 % de los ataques buscan explotar las vulnerabilidades de los dispositivos y, para ello, escanean los dispositivos conectados a la red en un intento de aprovecharse de debilidades conocidas. Una vez que consiguen acceder al primer dispositivo, utilizan el movimiento lateral para acceder a otros dispositivos vulnerables e infectarlos uno a uno.

¿Cuáles son las principales amenazas a la seguridad de IoT?

Además de algunas de estas tácticas de ataque de eficacia probada que la prevención de malware basada en TI moderna ya considera obsoletas, el ámbito de la seguridad de IoT debe lidiar con dos nuevas tácticas de ataque: la comunicación de comando y control (C&C) punto a punto y los gusanos de malware de IoT con autopropagación. De hecho, los gusanos dirigidos a dispositivos IoT están ganando terreno a las botnets de IoT. Ambas tácticas atacan protocolos de TO que tienen décadas de antigüedad para interrumpir las operaciones críticas de la empresa.

Las principales amenazas a la seguridad de IoT son los exploits (41 %), el malware (33 %) y las prácticas de los usuarios (26 %)



¿Cuáles son las prácticas recomendadas para garantizar la seguridad de IoT?

Los directores de seguridad de la información y los responsables de seguridad con visión estratégica están dejando atrás las soluciones de seguridad de la red antiguas para adoptar un enfoque basado en el ciclo de vida del IoT. Esto les permite establecer una estrategia de seguridad de IoT con la que poder aprovechar las posibilidades de esta tecnología con seguridad y proteger la red de amenazas existentes y desconocidas. El enfoque basado en el ciclo de vida abarca las cinco fases cruciales de la seguridad de IoT.

Los equipos de operaciones y de seguridad de la red deben integrar la seguridad de IoT en sus prácticas, procesos y procedimientos estándar. Solo así se asegurarán de que los dispositivos gestionados y no gestionados disfrutan del mismo grado de visibilidad y control en todo el ciclo de vida de la seguridad de IoT:

  1. Identifique todos los dispositivos gestionados y no gestionados con contexto.

  2. Evalúe e identifique con precisión las vulnerabilidades y los riesgos asociados a cualquier dispositivo.

  3. Automatice la creación y la aplicación de políticas relativas a la seguridad Zero Trust.

  4. Tome medidas preventivas sin demora frente a las amenazas conocidas.

  5. Detecte amenazas desconocidas y responda a ellas rápidamente.

Una estrategia eficaz para la seguridad de IoT debe garantizar la protección de los dispositivos y las redes a las que se conectan del cada vez más amplio abanico de riesgos de seguridad que afectan al IoT. Para obtener más información sobre las prácticas de seguridad recomendadas en este ámbito, lea la Guía de compra de productos de seguridad de IoT para empresas.

Referencia

Informe de Unit 42® sobre amenazas a la seguridad de IoT

Artículos relacionados

Cómo proteger los dispositivos IoT en la empresa

Zero Trust para la infraestructura: un paso clave para abordar los riesgos de seguridad de IoT

Conozca las vulnerabilidades de sus bombas de infusión y proteja su organización sanitaria