El Internet de las cosas aún está en sus inicios, pero a medida que los dispositivos se conectan cada vez más en la red, las implicaciones de seguridad están empezando a causar problemas a las empresas. A diferencia de los consumidores, las compañías que se "piratean" se traducen mucho más inmediatamente en daños a la reputación, pérdida de ingresos o incluso reclamaciones de compensación.
El mayor riesgo para la seguridad en línea de una empresa proviene de los empleados, dice Jack Warner, experto en ciberseguridad en TechWarn. El personal poco capacitado o la falta de políticas de TI claras fomentan el comportamiento imprudente y el manejo descuidado de datos confidenciales. Es posible que los empleados no estén al tanto de las características y los riesgos de un dispositivo, o tengan una mentalidad de aversión a la seguridad para detectar fugas potencialmente dañinas.
Ahora más que nunca es importante que las corporaciones tengan todo el equipo de oficina revisado por un equipo de ingenieros preocupados por la seguridad. Deben existir políticas claras para los datos que los dispositivos pueden recopilar y las reglas que deben cumplir. Esta política debe aplicarse por igual a los datos recopilados por los dispositivos de propiedad y despliegue de la compañía, así como también por los empleados.
Jack Warner
En noviembre de 2017, la aplicación de fitness. Strava Datos liberados recogidos por sus usuarios. A pesar de que los datos ya estaban en el anonimato, aún atraían una gran atención ya que los analistas descubrieron que los datos revelaron la ubicación de las bases militares secretas, ya que los soldados llevaban sus dispositivos de IoT mientras corrían por la base, patrullaban o hacían ejercicio.
Las rutas de entrenamiento delinearon el tamaño y la ubicación de las bases, dieron una estimación de cuántos soldados están estacionados allí, e incluso cuál podría ser la frecuencia aproximada de la patrulla. La fuga de datos de Strava representa un riesgo de seguridad masivo para la operación de las fuerzas de los EE. UU. Y es totalmente autoinfligido.
Información como esta también puede dañar fácilmente a una organización comercial. Las ubicaciones de prueba, las ubicaciones de exploración o las rutinas de entrega pueden ser propiedad intelectual bien protegida de una organización.
Hay muchos otros dispositivos de IoT que los empleados pueden usar casualmente que revelan datos confidenciales. Los teléfonos del personal pueden registrar su ubicación, así como ser utilizados para tomar fotografías. Los empleados pueden compartir inadvertidamente su ubicación a través de las redes sociales, o usar una aplicación de escáner inteligente en su teléfono para convertir datos confidenciales a pdf. Las contraseñas se pueden pegar en la carpeta de borrador de las cuentas de correo electrónico personales, o la información del cliente puede aterrizar en la lista de contactos personales de un empleado, desde donde se carga en varias aplicaciones.
Cuando la seguridad de la información no se toma en consideración desde el principio, la oficina típica puede estar ya llena de dispositivos que no respetan la privacidad y crean fugas de seguridad. Por ejemplo, una impresora puede retener documentos impresos durante mucho tiempo (o incluso cargarlos en línea) y los purificadores de aire pueden hacer que los datos recopilados estén disponibles para un servidor central.
Incluso los sistemas como termostatos, lámparas o cerraduras de puertas a menudo vienen con capacidades de red y pueden compartir sus datos con los anunciantes o al menos con un servicio de nube central. Como mínimo, esto abre oportunidades para que intrusos o competidores tengan acceso a los secretos de la compañía.
Si bien nos hemos vuelto más sensibles a la información pública, las bases de datos internas y las redes de organizaciones todavía son consideradas “seguras”. A menudo es aquí donde los hackers tienen rienda suelta y, una vez dentro de la red, pueden aprovechar su posición privilegiada para conectarse. A bases de datos, infectar computadoras con virus o sabotear equipos críticos.
Los enrutadores se encuentran entre los equipos más descuidados en las redes de oficinas. Si bien los dispositivos de los empleados reciben actualizaciones automáticas regulares y los servidores son una gran preocupación, los enrutadores rara vez se inspeccionan y no reciben actualizaciones. Sin embargo, todo el tráfico de la compañía los atravesará, y cualquier persona que controle el enrutador puede interceptar, malformar, inyectar o alterar cualquier información enviada a Internet y otros dispositivos internos.
Un buen enrutador VPN no es difícil de conseguir, pero las diferencias de precio entre los modelos pueden ser inmensas y su beneficio no es obvio para el comprador y el operador.
La mayor amenaza para las necesidades de privacidad de una organización se ha convertido en el uso generalizado de los servicios alojados, incluidos el correo electrónico, el chat y la gestión de archivos.
Si bien hace algunos años todavía habría sido relativamente común que al menos grandes organizaciones administraran sus propios servidores de correo electrónico y almacenaran documentos en servidores internos, hoy en día son casi exclusivamente proveedores externos de la nube. Correos electrónicos, chats, documentos, código de software: no queda casi nada dentro de las oficinas de muchas empresas.
La forma en que se desarrollan los servicios de Internet y los dispositivos de Internet de las cosas es muy contraria a las necesidades de privacidad y seguridad de las empresas. Hasta ahora, hay poco rechazo o demanda de servicios más conscientes de la seguridad.
La estrategia más sostenible para las empresas puede ser limitar la cantidad de información que recopilan de sus clientes y hospedar esta información junto con su propiedad intelectual en la infraestructura física autosostenida en la empresa.
El autor de este blog es Jack Warner, experto en ciberseguridad de TechWarn.
Sobre el Autor
Jack es un experto en ciberseguridad con muchos años de experiencia en TechWarn, una agencia digital de confianza para compañías de ciberseguridad de clase mundial. Jack es un apasionado defensor de la seguridad digital, y con frecuencia contribuye a los blogs de tecnología y a los medios digitales compartiendo información de expertos sobre temas como las herramientas de denuncia de irregularidades y la ciberseguridad.
Uber está mejorando sus implementaciones de IoT en todo el mundo mediante la adopción de…
Obras de motor de materia y Bharti Airtel, un proveedor de servicios de telecomunicaciones ha…
En The Legend of Zelda: Breath of the Wild, los guardianes son una forma primitiva…
Muchos de nosotros nos enamoramos absolutamente de Wall-E, el personaje principal de una…
Dhruv Bhutani / Android AuthorityCada año, los fanáticos de los teléfonos inteligentes esperan con ansias…
Apple ha anunciado que Final Cut Pro finalmente llegará para el iPad. Tras años de…