Cerrar la brecha de innovación-seguridad de IoT

 Los fabricantes de dispositivos iot deberían comprometerse con las actualizaciones de seguridad después de que se vendan sus productos

Hay un problema con Internet de las cosas: es increíblemente inseguro.

Este no es un problema inherente a la idea de los dispositivos inteligentes . Los wearables, las casas inteligentes y las aplicaciones de seguimiento de actividad física pueden ser seguros, o al menos más seguros de lo que son actualmente.

El problema, en cambio, es uno que ha sido creado en gran medida por las compañías que fabrican dispositivos IoT . Muchos de estos dispositivos son fabricados por compañías relativamente pequeñas y relativamente nuevas con poca experiencia en lo que respecta a la ciberseguridad. Sin embargo, incluso las grandes empresas, e incluso aquellas que producen miles de televisores inteligentes pirateables al año, no pueden ser perdonadas tan fácilmente.

En verdad, cuando se trata del Internet de las cosas muchas empresas han priorizado la conectividad y la "innovación" (leer características populares pero inseguras) sobre la seguridad cibernética.

Estos enfoques han dado lugar a una variedad de vulnerabilidades de seguridad en los dispositivos IoT.

Pruebas y actualizaciones insuficientes

Quizás el mayor problema cuando se trata de la ciberseguridad de los dispositivos IoT es que muchas compañías simplemente no los admiten después del lanzamiento. De hecho, muchos dispositivos IoT ni siquiera tienen la capacidad de actualizarse, incluso contra los tipos más comunes de ciberataque .

Esto significa que incluso un dispositivo que era seguro cuando se lanzó rápidamente puede convertirse en altamente vulnerable. Los fabricantes a menudo están más centrados en lanzar su nuevo dispositivo que en dedicar tiempo a reparar fallas de seguridad "históricas". Esta actitud puede dejar a estos dispositivos en un estado permanentemente inseguro.

No actualizar estos dispositivos es un gran problema, y ​​no solo para los consumidores a los que les roban sus datos. También significa que los dispositivos de una empresa pueden ser víctimas de un ataque cibernético único y grande que podría arruinar su reputación y borrar su rentabilidad.

Contraseñas predeterminadas

Un segundo problema importante, y evitable, con los dispositivos IoT es que se envían con las contraseñas predeterminadas, y no se recuerda a los usuarios que las cambien para asegurar sus redes domésticas de IoT Esto a pesar de los consejos de la industria y del gobierno contra el uso de contraseñas predeterminadas.

Esta vulnerabilidad llevó al pirateo de IoT de más alto perfil hasta la fecha, la botnet Mirai, que comprometió a millones de dispositivos IoT por el simple método de usar sus contraseñas predeterminadas.

Aunque algunos servidores web con sede en el Reino Unido detectaron el ataque y bloquearon su acceso a dispositivos de consumo, decenas de fabricantes hicieron piratear sus dispositivos de esta manera. Sin embargo, en ausencia de requisitos legales contra el uso de contraseñas predeterminadas, continúan haciéndolo.

Nuevos tipos de ransomware

Los dispositivos IoT son particularmente susceptibles a la piratería por una razón más compleja: se integran en las redes domésticas y corporativas en un grado sin precedentes en los sistemas tradicionales.

Los dispositivos IoT generalmente tienen una velocidad muy rápida proceso de desarrollo, y durante este apuro parece que no hay tiempo para pensar a qué dispositivos realmente necesitan acceder. Como resultado, un dispositivo o aplicación IoT típico solicitará muchos más privilegios de los que necesita para completar sus funciones básicas.

Eso es un gran problema, porque puede significar que spyware en IoT puede acceder a mucha más información de la que debería.

Tomemos un ejemplo. Las cámaras IP generalmente se venden como dispositivos IoT para hogares inteligentes, o para su uso como cámaras web. El fabricante del dispositivo generalmente lo enviará sin firmware reforzado o actualizado, y con contraseñas predeterminadas (ver arriba). El problema es que si los piratas informáticos conocen esta contraseña predeterminada (y lo hacen, confíen en mí), es sencillo acceder a la alimentación desde la cámara.

Empeora. Usando la cámara, un pirata informático puede capturar información confidencial, como detalles de tarjetas de crédito, contraseñas o imágenes destinadas a "uso personal". Esto puede usarse para ejecutar un hack más grande o chantajear a la víctima.

AI y automatización

Un problema más exótico con la seguridad de IoT se debe al hecho de que las redes de IoT ya son tan grandes y complicadas que se administran a través de algoritmos de inteligencia artificial en lugar de personas. Para muchas empresas, el uso de IA es la única forma de manejar la gran cantidad de datos producidos por los dispositivos de los usuarios, y su rentabilidad depende de esta funcionalidad.

El problema aquí es que las IA pueden tomar decisiones que afectan la vida y la seguridad de millones de usuarios. Sin el personal o la experiencia necesarios para analizar las implicaciones de estas decisiones, las compañías de IoT pueden, aunque sea accidentalmente, comprometer sus redes de IoT.

De todos los problemas en esta lista, podría decirse que es el más preocupante. Esto se debe a que los sistemas IoT impulsados ​​por IA ahora manejan muchas funciones críticas en la sociedad, desde el software de seguimiento de tiempo utilizado para pagar a los empleados hasta las máquinas que mantienen vivos a los pacientes en su hospital local.

Las soluciones

Sin embargo, las acciones de empresas individuales o consumidores individuales no van a resolver este problema. En cambio, debe haber un cambio de paradigma en la industria. Es revelador que ninguna compañía (respetable) venda, digamos, software de seguimiento de tiempo sin comprometerse a mantenerlo actualizado. No hay ninguna razón para que esta idea no sea igualmente absurda cuando se trata de dispositivos físicos.

De hecho, muchos de los problemas mencionados aquí, el uso de contraseñas predeterminadas o un enfoque descuidado de los permisos de aplicaciones, se superaron hace mucho tiempo en relación con el software tradicional. Lo que se requiere, entonces, podría ser solo un enfoque de sentido común para bloquear dispositivos IoT.

Las opiniones expresadas en este artículo son las del autor y no reflejan necesariamente los puntos de vista de ECT News Network.

Leave a Reply

Your email address will not be published. Required fields are marked *