Seguridad en Internet de las cosas (IoT): todo lo que debes saber

¿Qué es el Internet de las cosas?

El Internet de las cosas (Internet of things o IoT en inglés) comprende todos aquellos objetos y dispositivos que pueden conectarse a Internet y a otros equipos, y que también son capaces de transferir datos a través de la red. Incluye dispositivos inteligentes tales como móviles, computadores, tablets, pero también objetos comunes como electrodomésticos y vehículos autónomos.

En los últimos años, este campo de la tecnología ha crecido de forma exponencial, debido a la aparición de dispositivos de gama baja y media, cuyos precios son accesibles para gran parte de la población. Así como los dispositivos inteligentes se popularizan cada vez más, lo mismo ocurre con los ataques cibernéticos que buscan atentar contra la ciberseguridad de los usuarios.

En este sentido, aumenta la necesidad de crear medidas de seguridad informática que mantengan protegida la información personal de los usuarios de dispositivos inteligentes, para evitar que ciberdelincuentes accedan a ella sin autorización.

¿Por qué es importante la seguridad en Internet de las cosas?

La gran diversidad y volumen de dispositivos IoT pueden almacenar información personal y datos empresariales. Si estos dispositivos no están adecuadamente protegidos (ya sea porque el fabricante no siguió las mejores prácticas de seguridad, o porque el usuario no configuró adecuadamente su dispositivo), pueden dejar estos datos expuestos a ciberataques.

Hoy en día han salido casos a la luz de dispositivos conectados a Wi-Fi que enviaban datos de los usuarios al fabricante y a terceros sin autorización, lo cual ha sido motivo de preocupación en cuanto a la privacidad del IoT. Por ejemplo, algunas laptops podían transmitir en directo desde la cámara frontal sin tener la luz de encendido, televisores inteligentes y altavoces que graban conversaciones mientras escuchan la orden de sus dueños para reproducir una canción en específico.

¿Cómo la seguridad en Internet de las cosas puede afectar a tu empresa? 

La tecnología de los dispositivos IoT es sumamente atractiva para las empresas, ya que puede ayudar a automatizar procesos tediosos y a optimizar líneas de producción. Sin embargo, su uso implica riesgos mayores que para los individuos, pues las empresas manejan una gran cantidad de información confidencial.

Durante los últimos años han ocurrido ciberataques a empresas famosas, debido a que los atacantes aprovecharon puntos débiles de los dispositivos IoT. Entre los más destacados tenemos:

Hackeo de Verkada

En el año 2021 un grupo de ciberdelincuentes logró burlar el sistema de ciberseguridad de la empresa Verkada y tuvieron acceso al material audiovisual guardado en las cámaras de seguridad de la reconocida empresa. Según los reportes, dichos cibercriminales hackearon el sistema de cámaras y pudieron acceder a las fotos y videos durante 48 horas. 

Malware VPNFilter 

La división de seguridad de la empresa Cisco, descubrió en el año 2018 un servidor que era utilizado por hackers para conectarse a routers a través de una botnet. Para ello, era necesario el uso de un malware llamado VPNFilter que garantiza el acceso a los enrutadores para obtener claves, credenciales e incluso podía dejarlos inoperativos a través de una función de interruptor de apagado.

Ataque a Tesla model X

Un estudiante de la Universidad de Lovaina en Bélgica, logró intercambiar el firmware de las llaves de un automóvil Tesla, modelo X que no había realizado la actualización más reciente del software. Para llevar a cabo el hackeo, el estudiante utilizó una unidad de control eléctrico que pertenecía a un modelo X del año anterior junto con un programa que diseñó para engañar al software de seguridad del auto.

Principales riesgos de seguridad del IoT

En la actualidad, existen múltiples riesgos de seguridad en IoT que afectan de forma negativa al sector empresarial. A continuación hablaremos sobre los más relevantes:

Infección por malware y otros ciberataques

La mayoría de los nuevos dispositivos IoT carecen de sistemas de seguridad que los protejan contra ataques de hackers. Ante esta situación de la seguridad, los ciberdelincuentes utilizan ciertos tipos de malware o softwares maliciosos que les permiten ingresar en los equipos, tener acceso a información privada e incluso tomar el control de los mismos de forma remota.

Robo de datos

Una de las principales preocupaciones de las empresas con respecto a la seguridad del internet de las cosas, es que los dispositivos inteligentes se encargan de recopilar información constantemente, lo cual representa una amenaza directa para la confidencialidad de la información empresarial.

Man In The Middle (MITM)

Este tipo de ciberataque ocurre cuando utilizamos redes Wi-Fi públicas o al visitar páginas web que no cuentan con el certificado de seguridad SSL. En este caso, el atacante es capaz de interceptar el intercambio de datos de nuestro ordenador con un receptor, por ejemplo, al intercambiar correos electrónicos con otra persona. 

Al interceptar la conversación, el hacker podrá tener acceso a la información que está siendo compartida en tiempo real, sin ser detectado e incluso podrá modificarla.

Vulnerabilidades Zero Day

El término «Zero Day» se utiliza para referirse a los puntos débiles del sistema operativo que no cuentan con un parche o actualización que lo pueda solventar. Por lo tanto, dichas vulnerabilidades de ciberseguridad en los distintos tipos de dispositivos IoT son aprovechadas por los hackers para acceder al sistema operativo y robar información.

Control y uso malicioso de dispositivos

La falta de sistemas de seguridad eficaces en los dispositivos inteligentes se traduce en una gran oportunidad para los ciberdelincuentes. Generalmente, estos utilizan malwares que tienen como objetivo tomar el control de múltiples dispositivos y crear una botnet o red de bots. 

A su vez, esta red de dispositivos es utilizada para lanzar ataques de denegación de servicio (DDoS) y colapsar páginas web o servidores enteros de empresas, lo cual constituye una gran amenaza de ciberseguridad.

7 buenas prácticas de seguridad en Internet de las cosas

A continuación, te mostraremos algunos consejos que puedes aplicar para mejorar la seguridad de los dispositivos de internet de las cosas que utilizas de forma cotidiana en tu empresa.

1. Mantén el software actualizado

Actualizar frecuentemente el software corporativo de los dispositivos IoT, es una de las medidas más básicas y efectivas para mitigar las vulnerabilidades del sistema que puedan servir como punto de entrada de ataques cibernéticos.

2. Crea contraseñas seguras para tus dispositivos

A la hora de crear una contraseña de acceso, es importante que ésta tenga una longitud mínima de 10 caracteres, entre los cuales debemos considerar una combinación entre letras, números y símbolos. De esta forma nos aseguramos que tenga un alto nivel de seguridad que dificultará en gran medida el trabajo de los hackers.

3. Cambia las contraseñas periódicamente

Además de crear contraseñas seguras, es importante cambiarlas de forma periódica, procurando que las combinaciones de caracteres no se hayan repetido anteriormente. También es recomendable que cada dispositivo cuente con una contraseña distinta, para evitar que varios dispositivos se vean comprometidos al mismo tiempo.

4. Identifica tus puntos vulnerables

Resulta fundamental detectar puntos débiles en dispositivos de la empresa que puedan significar puertas de entrada para los ciberatacantes. Este procedimiento debe ser realizado de forma periódica para mantener un reporte actualizado en cuanto a la situación actual de la ciberseguridad de tu empresa. 

En este sentido, Delta cuenta con pruebas de penetración, las cuales tienen como objetivo la eliminación de vulnerabilidades críticas de los dispositivos IoT, a través de pruebas realizadas por un equipo de hackers éticos que analizarán los sistemas en búsqueda de puntos débiles.

5. Configura la seguridad de tus archivos en la nube

Debido a que muchos de los dispositivos IoT que utilizamos están sincronizados con la nube, es importante elegir un proveedor y conocer cuáles son sus políticas de privacidad con respecto a los datos almacenados en la nube.

El hecho de reforzar la seguridad en la nube nos permite garantizar que los datos confidenciales almacenados en ella estarán seguros de cualquier amenaza externa.

6. Implementa un control de acceso riguroso

Para fortalecer la seguridad del acceso a los distintos sistemas y equipos IoT, es recomendable utilizar la autenticación de varios factores, el cual le solicita al usuario dos métodos de verificación obligatoria. Con el uso de este método de acceso, el usuario tendrá que ingresar una contraseña generada por autenticador o un código único enviado a su correo electrónico para que el acceso sea aprobado por el sistema.

7. Consulta a expertos

El hecho de tener asesoría de un grupo especializado en materia de ciberseguridad le otorga un salto de calidad importante al sistema de protección contra ataques informáticos que puedan poner en riesgo el funcionamiento de la empresa.

En este sentido, en Delta Protect ofrecemos uno de los complementos de Apolo: CISO as a Service, a través del cual designamos un Chief Information Security Officer y un equipo de especialistas a tu empresa para implementar políticas y buenas prácticas de ciberseguridad. De esta forma podrás saber cómo minimizar los riesgos y al mismo tiempo estar preparado para contrarrestar posibles ataques.

En Delta Protect simplificamos la ciberseguridad y el cumplimiento de tu empresa. Si quieres saber más sobre cómo podemos ayudarte a optimizar la seguridad de tus dispositivos IoT, agenda una demo de Apolo con nuestros expertos.