Ciberseguridad en dispositivos IoT: ¿qué es y cómo implementarla?

En 1982, una máquina de Coca-Cola se convirtió en el primer aparato conectado a Internet, aunque el término Internet de las Cosas (IoT, por sus siglas en inglés) no sería empleado hasta 1999. Hoy, dicha tecnología es sinónimo de numerosas ventajas. Y también de ciberamenazas. Por ello, es importante familiarizarse con estas últimas y prestar atención a la ciberseguridad en dispositivos IoT.

¿Qué es el Internet de las Cosas?

Explicado de una forma muy sencilla, el Internet de las Cosas es precisamente eso: cosas conectadas a la Red. Y, lógicamente, dicho término también engloba la tecnología que facilita que los dispositivos conectados a Internet puedan comunicarse con la nube o entre ellos.

En el caso del Instituto Nacional de Ciberseguridad (Incibe), se refiere al IoT como la digitalización de dispositivos comunes que permiten enviar y recibir información a través de Internet. Pero también mediante otras tecnologías como Bluetooth o Zigbee.

Por lo que respecta al ámbito doméstico, atrás quedaron los tiempos en los que solamente se conectaban ordenadores a la Red. Hoy en día, dispositivos como televisores, cafeteras, frigoríficos, relojes, altavoces o impresoras, por poner algunos ejemplos, también tienen conexión a Internet.

Por su parte, el IoT industrial (IIoT) hace referencia a los dispositivos inteligentes que se emplean, entre otros fines, para que las empresas mejoren la productividad, reduzcan sus costes y sean más eficientes. Algo que consiguen, en buena medida, gracias a los datos aportados por los dispositivos IoT relativos a la producción, la cadena de suministro, la logística o los recursos humanos. En este contexto, la ciberseguridad industrial desempeña un importante papel.

¿Cómo funciona la tecnología IoT?

Como se ha comentado, la tecnología IoT recopila e intercambia datos. Y de cara a lograr dicha finalidad, se vale de tres componentes fundamentales:

• Dispositivos IoT. También denominados dispositivos inteligentes, recopilan datos de diferentes fuentes (su propio entorno, las entradas de los consumidores o los patrones de uso) y los comunican a través de Internet.
• Aplicación de IoT. Recibe datos de dispositivos IoT. Y una vez analizados –normalmente, con machine learning o inteligencia artificial (IA)–, toma decisiones que son comunicadas a los dispositivos, que responden de forma inteligente a las entradas.
• Interfaz de usuario gráfica. Se utiliza para administrar, registrar y controlar dispositivos IoT.

¿Para qué se usan los dispositivos IoT?

Sin duda, el propósito del Internet de las Cosas es mejorar nuestras vidas. Hablar de dispositivos IoT es hacerlo de aparatos que tienen numerosos fines, desde controlar nuestra salud con un reloj inteligente hasta reducir el consumo de energía o monitorear una cámara de videovigilancia.

Actualmente, el Internet de las Cosas goza de un gran protagonismo en las siguientes actividades:

• Seguridad y protección.
• Ciudades inteligentes (smart cities).
• Automatización de viviendas (domótica).
• Salud (monitoreo y telemedicina).
• Industria y fabricación.
• Energía.
• Logística y transporte.
• Agricultura.
• Educación.
• Entretenimiento.

Y la implementación de la tecnología IoT se verá reforzada con el cada vez mayor uso de la inteligencia artificial. Una combinación, denominada AIoT (por sus siglas en inglés), que cambiará la forma en que vivimos, trabajamos y nos relacionamos.

¿Cuáles son los riesgos que entraña el Internet de las Cosas?

Por lo expuesto, queda claro que el Internet de las Cosas aporta numerosos beneficios a los ciudadanos. No obstante, la ciberdelincuencia también se sirve del IoT para sacarle partido. Así pues, los dispositivos IoT entrañan una serie de riesgos. Entre ellos:

• En algunos casos, no contar con medidas de seguridad desde el diseño y/o incluir contraseñas por defecto que no suelen ser seguras.
• Recolectan gran cantidad de información confidencial de los usuarios que resulta muy apetecible para los ciberdelincuentes.
• Existe la posibilidad de que los datos personales sean filtrados mientras se recopilan y son transmitidos desde otro equipo a un dispositivo IoT.
• Si un dispositivo IoT presenta una vulnerabilidad de seguridad, puede poner en peligro una red doméstica o perjudicar a otros usuarios.
• En algunos casos, los dispositivos IoT son empleados como puerta de entrada para generar riesgos de seguridad física o de otro tipo y exigir un pago para que la víctima regrese a la normalidad.
• Si llegan a ser controlados por una botnet, los dispositivos IoT comprometidos son usados para llevar a cabo ataques de denegación de servicio distribuido (DDoS, por sus siglas en inglés). Como revela su denominación, su fin es colapsar un objetivo para impedir que preste un servicio con normalidad. Por ejemplo, Netflix y Twitter han sido objeto de ataques DDoS. Y los propios dispositivos pueden ser inutilizados por los ciberatacantes para que no cumplan su función.

Por último, conviene tener presente que los dispositivos IoT obsoletos y sin soporte representan un peligro si se continúan utilizando.

Ejemplos de amenazas a dispositivos IoT

Como ejemplos de amenazas a este tipo de dispositivos, en Segurilatam nos hemos ocupado de asuntos como:

• Los problemas de seguridad y privacidad de los wearables. Nos referimos a los relojes y las pulseras inteligentes que recogen datos sobre el estado de nuestra salud como los niveles de azúcar en sangre o el ritmo cardíaco. Además, posibilitan compartir las rutinas y los logros de entrenamiento en las redes sociales.
• De igual manera, entre nuestros contenidos didácticos se encuentran unos consejos para evitar el hackeo de un auto. Sin duda, un asunto muy serio, puesto que los ciberdelincuentes podrían aprovechar la conectividad de un vehículo para robarlo, anular algunos de sus sistemas de seguridad o distribuir malware.
• Y también se ha advertido que los dispositivos IoT son una amenaza para las infraestructuras críticas que prestan servicios esenciales.

De ahí, en resumen, que la ciberseguridad en dispositivos IoT adquiera una gran importancia. Algo a lo que contribuyen tanto las normas internacionales de carácter público o privado como las medidas a implementar por parte de usuarios privados y organizaciones.

¿Qué normas internacionales hay en materia de privacidad y ciberseguridad en dispositivos IoT?

Si bien no existe un estándar de referencia a nivel mundial, el auge del Internet de las Cosas ha dado lugar a la aparición de una serie de normas internacionales enfocadas en la privacidad y la ciberseguridad en dispositivos IoT. Entre ellas, las siguientes son algunas de las más relevantes:

• ISO/IEC 30141. La norma ISO/IEC 30141 proporciona un vocabulario común en todo el mundo para diseñar y desarrollar aplicaciones de IoT. Ello permite desplegar sistemas fiables, seguros, protegidos, respetuosos con la privacidad y capaces de afrontar ciberataques.
• ISO/IEC 27400. En cuanto a la norma ISO/IEC 27400, se enfoca en proporcionar medidas técnicas y organizativas para garantizar la seguridad y privacidad en sistemas IoT.
• RGPD. El Reglamento General de Protección de Datos europeo exige a responsables y encargados de tratamiento la aplicación de las medidas necesarias para garantizar la protección de los datos recogidos por los dispositivos IoT de uso personal y doméstico.
• NIST Cybersecurity Framework. Desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) de EEUU, el NIST Cybersecurity Framework es un marco aplicable a organizaciones cuyo enfoque de ciberseguridad esté centrado en tecnologías de la información, sistemas de control industrial, sistemas ciberfísicos, tecnología y dispositivos IoT, etc. Concretamente, es útil para asegurar la integridad y confidencialidad de los datos en el Internet de las Cosas.
• UL2900. Desarrollado por UL Solutions, UL 2900 es un estándar de ciberseguridad en dispositivos IoT muy utilizado para mitigar los riesgos asociados al Internet de las Cosas.
• Ley de Mejora de la Ciberseguridad del IoT. A través de la Ley de Mejora de la Ciberseguridad del IoT se establece que el NIST y la Oficina de Administración y Presupuesto (OMB, por sus siglas en inglés) de EEUU tomen medidas específicas para reforzar la ciberseguridad en dispositivos IoT.

Ya que nos hemos referido a EEUU, a partir de 2024, tal y como ha informado Segurilatam, los dispositivos IoT contarán con un certificado de ciberseguridad. De este modo, los consumidores estadounidenses podrán elegir dispositivos que sean más ciberseguros y, por ende, menos vulnerables a los ciberataques.

Consejos de ciberseguridad en dispositivos IoT

En definitiva, los dispositivos IoT son de gran utilidad y han sido concebidos para hacernos la vida más fácil. Pero, como ha quedado expuesto, conllevan una serie de riesgos de ciberseguridad y privacidad. Por ello, como norma general, los expertos sugieren poner en práctica estos consejos de ciberseguridad en dispositivos IoT:

1. Adquirir dispositivos que permitan configurar los ajustes de seguridad.
2. Si es necesario utilizar una app móvil, debe descargarse de sitios web oficiales y, por lo tanto, de confianza.
3. Leer atentamente las condiciones de privacidad asociadas al servicio del dispositivo IoT antes de aceptarlas.
4. No utilizar nombres de usuario genéricos o fáciles de adivinar por los ciberdelincuentes.
5. Al acceder a estos últimos, deben generarse contraseñas seguras. Y siempre que sea posible, hacer uso de la autenticación multifactor.
6. Actualizar los dispositivos para disponer siempre de la última versión.
7. Comprobar la seguridad física de los dispositivos y aplicar las medidas necesarias para evitar manipulaciones por parte de terceros.
8. Implementar canales de comunicación seguros para cifrar o filtrar la información que se envía y recibe desde los dispositivos IoT. En este sentido, una buena medida es usar un router wifi bien configurado, una red privada virtual (VPN, por sus siglas en inglés) o un cortafuegos.
9. Mantenerse al día de las ciberamenazas relacionadas con el IoT a través de las últimas noticias de ciberseguridad y privacidad publicadas por medios de comunicación fiables.

En lo referente al ámbito empresarial, en Segurilatam ofrecemos unas recomendaciones de ciberseguridad en dispositivos IoT para empresas. Y aquellos que estén interesados en ampliar dicha información para crear un entorno seguro en su organización, pueden descargar la guía Seguridad en la instalación y uso de dispositivos IoT, especialmente orientada a empresarios.