Cómo afecta el IoT a la seguridad de los datos

El internet de las cosas (IoT) está revolucionando la manera de compartir datos y conseguir una gran mejora en los servicios de nuestra banca, compras, transporte, sanidad, seguridad, etc., solo por nombrar algunos de los sectores donde nos lo vamos a poder encontrar. El objetivo de IoT es admirable, pero se trata de miles de dispositivos que van a inundar el mercado, con una escasez de normas y multitud de deficiencias de seguridad en su creación. Ante esta situación, nos vamos a encontrar con una rampa de lanzamiento para ataques cibernéticos contra clientes corporativos, gubernamentales y redes de empresas privadas.

Y esto no es algo que nos vayamos a encontrar en el futuro. Está ocurriendo ahora mismo. Hace pocos días se produjo un ataque contra muchas de las webs más famosas como Twitter, Netflix y Amazon que quedaron sin poder dar servicio en muchas partes del mundo durante varias horas debido a un ataque DDoS. Según últimas investigaciones,  es ataque pudo ser llevado a cabo desde miles de dispositivos y máquinas conectadas mediante IoT.

Poca seguridad

Hasta la fecha muchos fabricantes de dispositivos y sensores IoT no han proporcionado una seguridad adecuada a sus dispositivos. El mercado de los dispositivos IoT de consumo tales como cámaras, termostatos y otros dispositivos que se utilizan tanto en el el hogar como en empresas y que están conectados a Internet, son muy sensibles a los precios y los fabricantes se centran en reducir al mínimo el precio a cambio de invertir menos en su seguridad. Muchos de los millones de dispositivos conectados a Internet son potencialmente explotables y esto es especialmente problemático dado que estos dispositivos son muy susceptibles a algunos tipos de ataques cibernéticos como por ejemplo el ransomware.

Pero con el aumento de la adopción del IoT las cosas están obligadas a cambiar. Algunas leyes de países como Estados Unidos están empezando a regular y sancionar el incumplimiento de unas medidas de seguridad mínimas en este tipo de dispositivos. Sin embargo estas sanciones no deben de ser tomadas como un plan de seguridad. Los hackers siempre van a intentar saltarse cualquier tipo de barrera que los fabricantes pongan en estos dispositivos. Debido a esto, las empresas deben tener una defensa que se adapte, prevenga y detecte amenazas provenientes de dispositivos IoT.

Algunos equipos de seguridad y de IT de grandes empresas están empezando a crear y configurar plataformas que intentan engañar a los hackers haciéndose pasar por dispositivos IoT. Estas plataformas de engaño aparecen como servidores de producción de IoT y puertas de enlace a servicios, engañando a los atacantes que piensan que son los auténticos dispositivos que ellos están buscando para acceder a las redes de producción.

Cómo podemos prevenirnos

Para evitar que un hacker se cuele en nuestra red a partir de estos dispositivos, debemos detectar al atacante dentro de nuestra red cuanto antes. Las plataformas de engaño son diseñadas para que toda la red sea una trampa y proporcione visibilidad de atacantes en tiempo real y alerta ante amenazas en la red. Pero la solución ideal no sólo debe detectar las amenazas sino ser capaz también de identificar diferentes tipos de amenazas clasificándolos por niveles y proporcionando un conjunto de estrategias de respuesta a incidentes que incluyan una información detallada del atacante para poner en cuarentena y reparar los sistemas que se han infectado de forma automática.

Los hackers utilizan el elemento sorpresa para realizar sus ataques pero utilizando estas plataformas de engaño los atacantes son detectados y los equipos de seguridad pueden ponerlos en cuarentena y estudiarlos para realizar una prevención de otros futuros ataques. La estrategia idea de defensa adaptativa para proteger tus activos críticos para estos casos puede incluir lo siguiente:

• Construye tu seguridad desde el principio. Toma decisiones sobre cómo la información se va a recoger, cuánto tiempo es retenida y quién puede acceder a ella para temas de seguridad. Revisa estas decisiones periódicamente a medida que la red crece y evoluciona.

• El tipo de datos recogidos debe proporcionar información acerca de las decisiones de seguridad. Algunos dispositivos concretos pueden tener fallos de seguridad, e IT debería revisar los datos en términos de sí la vulnerabilidad de esos equipos afecta a datos personales de los usuarios que los utilizan o de si se puede identificar la localización real del dispositivo. Deben asegurarse que los fabricantes han tomado medidas de seguridad adicionales en el desarrollo de los dispositivos si estos deben recoger datos sensibles de los usuarios, tales como información financiera, de geolocalización o información recopilada acerca de grupos de riesgo como niños o personas mayores.

• Piensa en cómo hay que manejar esos datos. Se deben desarrollar políticas que impongan límites en la recolección y retención de datos de los usuarios. Esto debería de incluir por ejemplo solo almacenar información truncada de tarjetas de crédito. Los equipos de IT deberían también minimizar la cantidad de datos recogidos para reducir el compromiso potencial.

• Proteger los datos con medidas de seguridad adicionales. Las medidas de seguridad deberían ir más allá de simplemente salvaguardar el dispositivo, deberían también incluir medidas administrativas, técnicas y físicas de toda la red.

• Comprueba si hay reclamaciones a los proveedores de estos dispositivos. Cuando vayas a desplegar sensores o dispositivos IoT, tu equipo de seguridad debería comprobar y confirmar que los productos están protegidos y que no hay ninguna reclamación de seguridad.

• Pon en práctica políticas para proteger la red ante terceros. Crea procesos documentados para terceras personas que manejen datos críticos, hardware o software de tu red. Esto puede incluir limitar la red y los datos a los que pueden acceder y requiere que los proveedores notifiquen cualquier tipo de brecha que detecten.

• Mantente al día sobre tendencias de seguridad. Intenta prevenir todo lo que puedas pero también tienes que tener visibilidad de las amenazas que existen y qué puede ser que tu sistema se hayan pasado por alto o que todavía no te hayan llegado. Asegúrate de que tus sistemas pueden detectar amenazas tanto conocidas como desconocidas y que envían alertas justificadas y análisis de los ataques para agilizar las respuestas a incidentes, ayudando en la recuperación y la prevención de los ataques que haya en curso.