Seguridad para los dispositivos IoT ¿Cuál es tu estrategia?

Aunque existe más conciencia sobre la protección de las empresas y su personal, la ciberseguridad es uno de los rubros que pudiera recibir una atención no tan preferencial. A menudo, el tema se vuelve foco después de un evento de seguridad importante. Sin embargo nuevas tendencias se incorporan día con día a los negocios y a nuestro uso diario – como los dispositivos de Internet de las cosas o IoT – Siendo una tendencia relativamente nueva, tiene un lugar menos privilegiado en la lista de preocupaciones.

¿En que punto del diseño y elaboración de estos dispositivos sus fabricantes incluyen los controles adecuados de seguridad?

Gartner estimó que en el 2018 se utilizaron 8.4 mil millones de dispositivos IoT en todo el mundo y que la cifra alcanzara los 20.4 mil millones para el 2020. Con esta potencial fuente de ingresos a la vista, los fabricantes de dispositivos pudieran considerar la priorización de la velocidad de comercialización. Algunos dispositivos parecerán inofensivos como «Ese dispositivo que solo se utiliza para encender y apagar la iluminación…». Este enfoque despreocupado hace que los dispositivos IoT se conviertan en el objetivo perfecto, desatendido y subestimado en cuanto a sus capacidades de participar en un compromiso o ataque a nuestra información.

La estrategia de seguridad para los dispositivos IoT debe de incluir simples principios básicos, cómo cambiar los nombres de usuario y contraseñas de fábrica, desactivar funcionalidades no utilizadas o bien limitar el numero de aplicaciones que tienen acceso al dispositivo. Entre las consideraciones más importantes pudiéramos mencionar:

El registro y revisión de actividades: Casi todos los dispositivos conectados a un servicio o aplicación IoT tienen la capacidad de registro de actividades incluida, sin embargo en muchos casos no se encontrara habilitado. Es importante asegurarse que los dispositivos IoT guarden los registros de sus actividades y más importante, que regularmente se revisen estos registros buscando detectar anomalías en su comportamiento.

La concientización de los usuarios: Muchos usuarios (el autor de este post incluido) desconocemos el impacto a la privacidad de nuestros datos al incorporar nuevas aplicaciones o funcionalidades en los dispositivos que utilizamos diariamente. Como empresa es importante incluir sesiones y notificaciones regulares para concientizar a las personas de los riesgos implícitos y tomar la responsabilidad de su utilización.

Segmentar o aislar nuevos dispositivos: Cuando llegamos a una oficina, negocio o empresa por lo general por seguridad se ofrece al invitado acceso a Internet completamente aislado o diferente a la utilizada para llevar la operación del día a día. Los dispositivos IoT no distan mucho de estos invitados y por lo tanto estos deben de tener su propio acceso controlado.

Finalmente es importante mencionar la documentación y comunicación de la distribución y funciones de cada uno de los dispositivos que conectamos en nuestro hogar u organización. Esto ayudará a no perder de vista a estos dispositivos que pudieran parecer «invisibles», siendo esta última tarea la más desafiante y compleja.

Tomando en cuenta estas consideraciones, ¿Cuáles completarían tu estrategia personal o la de tu empresa para proteger los dispositivos IoT?

Escrito por Eleazar Fuentes (CISSP, CISM, CISA, CEH, CHFI, CompTIA Security+, CySA+, CSAP)
Director de Ciberseguridad en Quanti Solutions