whatsapp
NC Tech Insights

Ciberseguridad en el IoT: ¿qué debes saber?


Con la creciente presencia del Internet de las Cosas (IoT), la cantidad de aparatos conectados en red va en aumento y con esto se multiplica la posibilidad de que los piratas informáticos accedan a los sistemas. Es por esta razón que gana importancia la ciberseguridad en el IoT, un tema del que a continuación te hablaremos detalladamente.

Las cosas ya no son como antes, cuando los sistemas de vigilancia y seguridad funcionaban independientemente y no estaban enlazados al internet ni a otros sistemas. 

Pero todo cambia y el IoT, entre otras características, ofrece la posibilidad de automatizar y compartir las alertas de vigilancia con otros usuarios y sistemas de la organización.

¿Qué son la ciberseguridad y el Internet de las Cosas?

Pero antes de entrar en materia, te daremos una serie de conceptos y definiciones para ayudarte a entender mejor el tema y su importancia en la seguridad de tu empresa u organización.

Cómo definen los expertos la ciberseguridad en el IoT y cualquier ámbito

Según el fabricante de equipos de telecomunicaciones Cisco System, la ciberseguridad es el conjunto de prácticas orientadas a proteger redes, sistemas y programas de los potenciales ataques digitales que buscan acceder, destruir, modificar o secuestrar información sensible para extorsionar o interrumpir las operaciones de una empresa.

Por su parte, la compañía internacional de seguridad informática Kaspersky amplía el concepto y define la ciberseguridad como la metodología para defender los sistemas electrónicos, los dispositivos móviles, los servidores, las computadoras, las redes y los datos empresariales de ataques maliciosos. 

A la ciberseguridad también se le llama seguridad de la información electrónica o seguridad de tecnología de la información, y estos términos se aplican en diversos contextos, desde la informática móvil y los negocios.

Mientras que la Asociación de Auditoría y Control de Sistemas de Información (ISACA, por sus siglas en inglés), una entidad internacional que patrocina el desarrollo de certificaciones y metodologías para el control de sistemas de información, define la ciberseguridad como la defensa de activos informáticos mediante el uso de herramientas tecnológicas que frenan las amenazas contra la información procesada, almacenada o transportada por los sistemas de información interconectados.

El Internet de las Cosas (IoT) desde la raíz

La firma privada mundial de servicios profesionales Deloitte define el IoT como la interconexión de objetos y dispositivos por medio del uso de internet, lo que les permite interaccionar. 

Cualquier objeto o dispositivo puede ser interconectado, desde aparatos mecánicos, sensores u objetos cotidianos como el refrigerador, la ropa o el calzado. Cualquier cosa puede ser conectada a internet e interactuar sin la intervención humana.

El objetivo es la interacción de máquina a máquina, lo que se define como la interacción M2M machine to machine (máquina a máquina).

Según la andorrana Universitat Carlemany, se trata de una tecnología que interconecta casi todas las cosas de uso humano creando un ecosistema de máquinas y dispositivos que le permite al usuario controlar sus aparatos desde donde quiera que se encuentre.

Estos dispositivos incluyen electrodomésticos, relojes, televisores, coches y teléfonos inteligentes entre una amplia gama de posibilidades.

El proveedor de servicios de ciberseguridad Avast afirma que cualquier artefacto o dispositivo puede vincularse al IoT siempre y cuando cuente con un interruptor y tenga la capacidad de conectarse a Internet. 

La mayoría de estos dispositivos poseen un sensor que les permite monitorear una gran variedad de condiciones. 

Los dispositivos provistos de IoT también tienen la capacidad de comunicarse entre ellos, de la misma manera que los aparatos y teléfonos inteligentes pueden recibir y enviar información sin participación humana.

El Internet de las Cosas, según Avast, surgió en 1982 con el primer aparato conectado: una máquina expendedora. 

Este aparato inteligente tenía la capacidad de controlar la existencia de productos dentro de sí mismo y sus creadores podían comprobar, de manera remota, cuántas botellas de refresco favorito quedaban e incluso saber si estaban helados.

Aunque esta máquina inteligente no triunfó, fue el punto de partida para el uso masificado del IoT industrial, con empresas que instalan sensores interconectados con el fin de supervisar la cadena de suministro o el proceso de envío, por ejemplo.

El término «Internet de las Cosas» fue acuñado en 1999 por Kevin Ashton, cofundador del Centro de Identificación Automática del Instituto de Tecnología de Massachusetts.

Las empresas están en la mira de la ciberdelincuencia

Debido a la obligatoriedad del distanciamiento social como consecuencia de la pandemia del coronavirus SARS-Cov-2 hubo que transformar todos las formas de abordar nuestra forma de vida y gracias a internet se mantuvo el mundo en marcha. 

Muchas empresas se sorprendieron consigo mismas por la rapidez y el éxito de sus iniciativas digitales. 

Según cálculos publicados por el medio informativo de la industria mexicana manufacturera México Industry, durante 2020 la transformación digital se movió de forma acelerada y avanzó siete años. Lo que antes parecía imposible se logró en unos meses. 

Así como las organizaciones en el mundo transformaron su forma de trabajar, los ciberdelincuentes también cambiaron sus tácticas para sacarle provecho a las debilidades en materia de seguridad de algunas empresas.

En el Informe Retrospectivo Sobre el Panorama de las Amenazas en 2020 de la empresa de ciberseguridad Tenable, más de 22 mil millones de archivos en todo el mundo fueron expuestos debido a filtraciones de datos durante 2020, a partir de 730 filtraciones informadas públicamente.

Resumen de los ciberataques más importantes desde 2020

En enero, las operaciones de la empresa de cambio de divisas Travelex, con sede en Londres, se paralizaron durante varias semanas como consecuencia de un ataque de banda de ransomware.

En febrero el gigante de cosméticos Estée Lauder expuso, presuntamente de manera accidental, 440 millones de datos internos que incluyen correos electrónicos, documentos e informes.

En marzo el grupo de Hoteles Marriott reveló una violación de datos que afectó a 5 millones 200 mil huéspedes. Un hacker utilizó los datos de inicio de sesión de dos trabajadores de una de sus franquicias para obtener acceso a información de los clientes.

En mayo, la aerolínea EasyJet fue objeto de un hackeo que afectó a 9 millones de clientes y expuso los datos de unas 2 mil tarjetas de crédito. La compañía declaró que fue blanco de un ciberdelincuente «muy sofisticado» que logró conseguir el acceso y robó los correos electrónicos y datos de vuelos de los viajeros.

En junio, la Universidad de California pagó un rescate de 1 millón de dólares para poder desencriptar los datos de su investigación sobre el COVID-19 tras ser atacados por un ransomware que perjudicó a la Facultad de Medicina.

En octubre atacaron con el ransomware Ryuk el Universal Health Services, que provee servicios sanitarios a más de 400 hospitales en Reino Unido, Estados Unidos y Puerto Rico. El hackeo paralizó toda la infraestructura informática y los sistemas telefónicos en los EE. UU.

En diciembre el Gobierno de EE. UU. reveló que fueron objeto de varios ciberataques, contra organizaciones tecnológicas gubernamentales y del sector privado en todas partes del mundo. Los ataques apodados «Sunburst» fueron posibles cuando los ciberdelincuentes incrustaron una puerta trasera en el software SolarWinds.

Y en 2021 el panorama no es alentador luego que la división de Inteligencia de Amenazas del proveedor global de soluciones de seguridad tecnológica, Check Point Software Technologies, publicó su informe «Tendencias de los ataques cibernéticos: Informe de mitad de año de 2021» donde muestra cómo los ciberatacantes continúan amenazando todo tipo de organizaciones, inclusive de gobierno, de salud y de infraestructura crítica.

Según las estadísticas, las organizaciones han experimentado un incremento de 29% en los ataques cibernéticos a nivel mundial, siendo la región EMEA (Europa, Oriente Medio y África) donde se registró mayor crecimiento con 36%,

Le siguen América, con un incremento de 34% y la región APAC (Asia-Pasífico) con 13% de aumento de los hackeos. También se destaca que en 2021 surgió una nueva forma de ransomware denominada «triple extorsión».

También es cierto que las autoridades internacionales han logrado ejecutar operaciones exitosas contra los ciberdelincuentes, como el desmantelamiento de Emolet, pero tras desarticular la botnet, otros malwares como IcedID, Qbot, Dridex y Trickbot han ganando terreno.

Resumen del informe de Check Point Software Technologies

El informe de Check Point recoge que en 2021 las entidades estadounidenses recibieron una media de 443 hackeos semanales, lo que representa un aumento de 17% en comparación con los primeros meses del año. También:

  • La media semanal de ciberataques por empresa en EMEA fue de 777, un aumento de 36%.
  • En APAC sufrieron 1.338 ciberataques por semana, un incremento de 13%. 
  • En específico, en Europa hubo un aumento de 27%, mientras que en Latam se produjo un incremento de 19%.
  • En todo el mundo la cifra de ciberataques contra empresas aumentó 93% en los primeros seis meses de 2021, comparativamente con el mismo período de 2020. 

Además de sustraer data confidencial de las compañías y amenazar con publicarla si no se recibe un pago, los ciberdelincuentes ahora extorsionan a los clientes o socios comerciales para también exigirles un rescate.

El ataque de SolarWinds es uno de los más relevantes de 2021 por su conmoción, pero han habido otros importantes como el hackeo en abril a Codecov y el más reciente contra Kaseya.

A juicio de los redactores del informe, los ataques con ransomware aumentarán a pesar de que se intensifiquen las medidas de seguridad.

Ciberseguridad en el IoT: Riesgos y retos

Debido a que el ecosistema del Internet de las Cosas incluye aplicaciones, plataformas, redes y dispositivos se requieren diversas medidas para proteger la seguridad en cada una de las capas. 

También se deben multiplicar las capacidades y la inteligencia en el análisis de la seguridad del total de los datos para sacar el mejor provecho a la correlación entre los aparatos y la nube.

Como consecuencia de la incesante evolución de esta tecnología, es muy complejo predecir el alcance del IoT en los servicios futuros. Pero lo que sí se puede intuir es el gran número de problemas de ciberseguridaden el IoT y amenazas a la privacidad de los usuarios.

La importancia del IoT como blanco de amenazas que pongan en riesgo su ciberseguridad y la privacidad se da por el hecho de que es una tecnología que usa y depende de dispositivos de uso cotidiano como aplicaciones de geolocalización, pulseras inteligentes, relojes o sistemas inteligentes de cuidado médico con capacidad de transmitir información a través de Internet.

La recopilación de los datos personales del usuario está necesariamente relacionada con el funcionamiento de esta tecnología, independientemente de la consciencia de los usuarios sobre la información que revela al darle uso a estos servicios, lo cual reviste otro problema de seguridad.

Esto se suma a que muchos de los dispositivos que usan la tecnología del IoT presentan vulnerabilidad relacionada con la metodología de autenticación o el cifrado de los datos al momento de transmitirlos.

Un ejemplo es el amplio volumen de datos que se transmiten por medio del uso de redes inalámbricas, en muchos casos públicas, que carecen de un cifrado apropiado.

Tomando en consideración el impacto en la seguridad y la privacidad de los usuarios debido a que el procesamiento y recopilación de datos es incierto, las dimensiones de las amenazas respecto al IoT es muy amplia.

Los riesgos y debilidades de la seguridad en el IoT

En la actualidad la ciberseguridad en el IoT tiene que superar distintos retos para consolidar la seguridad en el indispensable paso de la transformación digital Algunos desafíos son:

1. Limitación de recursos

La mayoría de los aparatos interconectados por medio del IoT poseen capacidades limitadas en cuanto al procesamiento, la potencia y la memoria y por tanto los métodos avanzados de seguridad no se pueden aplicar eficazmente.

2. Complejidad del ecosistema

Una de las mayores preocupaciones en materia de seguridad reside en que el IoT no se debe ver como un grupo de dispositivos aislados, sino como un gran ecosistema amplio, diverso y rico que involucra aparatos, interfaces, comunicaciones y personas.

3. Desarrollo a bajo costo

Algunos fabricantes se inclinan a reducir las propiedades de seguridad para garantizar un bajo costo a sus compradores y, por lo tanto, el producto podría no carecer de capacidad de protección contra ataques IoT.

4. Ausencia de experiencia

Por ser una tecnología bastante novedosa no sobra el personal experto en cuanto a la ciberseguridad IoT, que carece de antecedentes y de un registro histórico de amenazas o fallas que provean de experiencias aplicables a este tipo de tecnología. Hasta ahora solo se cuenta con un grupo de reglas generalizadas.

5. Fallos en el diseño del dispositivo

Una práctica habitual de los fabricantes es minimizar los tiempos de lanzamiento de sus productos, sin cuidar aspectos primordiales de ciberseguridad como la robustez del cifrado para la transmisión de la información o los controles de acceso.

6. Ausencia de control y asimetría de la data

En innumerables casos los usuarios no son conscientes del tratamiento de los datos que llevan a cabo los dispositivos. 

Los métodos convencionales usados para obtener la autorización del usuario se consideran «de baja calidad», porque en muchos casos se apoyan sobre la poca información que obtienen los usuarios sobre el tratamiento de la información personal que proporciona.

Además, a la información pueden tener acceso terceros sin que los usuarios sean conscientes de esta situación.

Y aunque no es una falla exclusiva del IoT, la ausencia de control sobre herramientas tecnológicas como el big data y los servicios en la nube, inclusive en la combinación de ambas, acarrea que que el descontrol y la asimetría de la información estén presentes en el IoT.

7. Limitaciones en el anonimato cuando se usan los servicios

La rápida evolución del IoT provoca la pérdida del anonimato con el uso de los diversos servicios. Para proteger la identidad de los usuarios es necesario mejorar la metodología de cifrado y control de acceso, idear técnicas de soporte para la privacidad por diseño, proteger la privacidad sobre la ubicación de los usuarios y evitar la inferencia de la información.

8. Seguridad antes que eficiencia

Al momento de brindar equilibrio entre la optimización del hardware de los dispositivos y los requerimientos de seguridad que éstos exigen, surgen desafíos para los fabricantes. 

Debido a que la presión sobre el tiempo de comercialización de los dispositivos IoT es superior que en otros mercados, a veces se diluyen los esfuerzos para el desarrollo de dispositivos más seguros. 

¿Por qué invertir tiempo y recursos en la ciberseguridad en el IoT?

La importancia de la ciberseguridad en el IoT radica directamente en las grandes potencialidades de esta tecnología. Se trata de un recurso indispensable para las operaciones industriales en estos tiempos y debemos optimizarlo y proteger nuestros entornos interconectados de los ataques externos.

Según un informe de la Organización para la Cooperación y el Desarrollo Económicos (OCDE), se estima que en 2022 el mundo duplicará la existencia de dispositivos con tecnología IoT en comparación con la cifra actual de 14.000 millones de aparatos.

Si a esto se le suma el aumento en la interconexión que poseerán todos los dispositivos, el potencial que para las empresa al momento de mejorar su oferta de servicios y productos es incalculable.

La OCDE pone como ejemplo la empresa Harley Davidson, que con la utilización del IoT consiguió aumentar 80% su productividad, redujo su ciclo de producción de 18 meses a 2 semanas y mejoró su rentabilidad entre 3% y 4%.

Inclusive las empresas más tradicionales y que parecían lejanas al uso de este tipo de tecnología encuentran cada vez más razones para transformarse y aprovechar el potencial del IoT.

A continuación te damos una lista con algunas ventajas y potencialidades del Internet de las Cosas que reflejan la importancia de pensar en la ciberseguridad en estos entornos.

1. Simplifica los procedimientos de mantenimiento

Gracias a la existencia de dispositivos dedicados a los procesos de monitoreo de datos en tiempo real, las empresas pueden proyectar el mantenimiento de los dispositivos y maquinarias, lo que modifica los protocolos actuales de mantenimiento periódico.

Con el mantenimiento predictivo se alcanza un ahorro importante de tiempo que se puede aprovechar para la fase de producción, alcanzando más producción.

2. Se minimizan los errores

Con la información recibida mediante el uso de la sensorización de la infraestructura de la empresa o de sus productos se logra el análisis predictivo que ayuda a reducir los errores en los procesos de producción. 

3. Optimización de la atención al cliente

También por medio de la interconexión y la sensorización que la empresa puede suministrar a los productos, se optimiza la relación con los clientes.

Por ejemplo, si un producto tiene algún error o problema la falla se puede transmitir al fabricante o al cliente se les puede remitir la posible solución.

4. Una nueva visión del trabajo

El uso del IoT en las empresas también es un nuevo paradigma para los trabajadores ya que la mejora en la productividad no viene dada solo con la incorporación de la interconexión o la sensorización.

Serán los empleados quienes ocuparán un nuevo rol en las empresas, recibirán formación y contarán con una metodología de trabajo que incorporará las características de la transformación digital. Por lo tanto, las empresas contarán con trabajadores más productivos.

Así lo muestra un estudio del World Economic Forum sobre la importancia de la productividad de los trabajadores con el uso del IoT.

5. Información en pro de la productividad

Los miles de millones de datos manejados en tiempo real que obtendrán las empresas influyen de manera positiva en la productividad. Y no solo la información de los procesos, productos o de las instalaciones.

Las aplicaciones, herramientas y servicios de análisis de datos permitirán monitorear el rendimiento de los grupos de trabajo, entre otros aspectos. Un buen uso de la información aporta más eficiencia a la compañía.

6. Productividad gracias a la geolocalización

Otra de las herramientas tecnológicas que juegan a favor en la productividad de las empresas será la geolocalización. 

La capacidad de esta tecnología diseñada para ubicar personas y objetos e interconectarlos en tiempo real provee ahorro de tiempo para los empleados que podrán minimizar sus desplazamientos. Lo mismo pasa con las mercancías.

Un ejemplo de las bondades de la transformación digital y su relación con la productividad mediante el uso de geolocalización es la reducción del tiempo de envíos de los productos a los domicilios o compañías.

Y ahora que conoces todo lo que debes saber sobre la ciberseguridad en el IoT, ¿qué harás? Como te lo hemos mostrado, el Internet de las Cosas es una de las mayores tecnologías que sin dudas representa una oportunidad para las Pymes y las grandes empresas.

Si quieres conocer más sobre este tema y las ventajas del IoT en otros aspectos empresariales como la atención al cliente, no dejes de leer este artículo.


Etiquetas:

Artículos relacionados

IoT Industrial
La Proliferación de la Inteligencia Artificial (IA) en la Fabricación: Impulsando la Innovación y la Eficiencia

La inteligencia artificial (IA) ha emergido como un motor clave de transformación en la industria manufacturera, revolucionando la forma en que las fábricas operan y cómo los productos son fabricados.  Con la capacidad de realizar tareas complejas, optimizar procesos, y predecir fallos, la IA está no solo cambiando el panorama de la fabricación, sino también abriendo nuevas […]

Leer entrada
IoT Industrial
Ingeniería de proyectos: ¿qué es y cuáles son sus principios modernos?

Optimización y Productividad con la Ingeniería de Proyectos La ingeniería de proyectos bien gestionada permite optimizar recursos, tiempo y alcance, incrementando la productividad en empresas de cualquier tamaño. Aunque no es una carrera en sí misma, emplea estrategias y técnicas de digitalización de procesos, clave en la Industria 4.0, para rentabilizar operaciones. ¿Qué es la […]

Leer entrada
IoT Industrial
Retención de usuarios: experiencias 3D y otros recursos que ayudan

Cómo mejorar la retención de clientes en la manufactura: 4 estrategias clave En la industria manufacturera, muchas empresas se enfocan en la adquisición de nuevos clientes, pero es esencial no descuidar la retención de clientes. Retener a un cliente existente es más rentable que adquirir nuevos, y también es más eficiente en términos de costo […]

Leer entrada