Las casas inteligentes se componen de una creciente variedad de dispositivos que se conectan con los propietarios de las casas y sus fabricantes para compartir datos y realizar funciones desde el control de HVAC y el control de acceso hasta el monitoreo de mascotas y muchos más. Las diferentes aplicaciones tienen diferentes niveles de sensibilidad de seguridad y también ofrecen un valor diferente para los usuarios y, por lo tanto, se venden a diferentes precios. George Malim evalúa cómo este entorno doméstico inteligente complejo y fragmentado puede protegerse mejor al tiempo que ofrece beneficios maximizados.
los Avast El Informe de seguridad para el hogar inteligente de 2019, que utilizó información de más de 16 millones de redes domésticas inteligentes en todo el mundo, encontró que: 40.8% de los hogares digitales en todo el mundo tienen al menos un dispositivo vulnerable, poniendo en riesgo toda la red doméstica; El 59.7% de los enrutadores domésticos en todo el mundo son vulnerables; y que, aparte de los enrutadores y dispositivos de red, los dispositivos multimedia, las cámaras de seguridad y las impresoras son los dispositivos domésticos más vulnerables. Por lo tanto, la seguridad del hogar inteligente ya es un problema enorme y solo se exacerbará a medida que se produzca una mayor adopción de dispositivos inteligentes.
Esta realidad es en gran parte desconocida por los propietarios de viviendas, que han adoptado las tecnologías y han pasado por alto los riesgos. Una encuesta en línea de más de 10,000 encuestados realizada por Redes de Palo Alto y YouGov descubrió puntos de vista mixtos sobre la seguridad percibida de las tecnologías de Internet de las cosas (IoT), como dispositivos domésticos inteligentes y dispositivos portátiles: el 38% de los encuestados de EMEA cree que son seguros, y un número similar (43%) piensa lo contrario.
Entonces, ¿los dispositivos domésticos inteligentes están creando debilidades de seguridad para que los delincuentes los exploten?
"En resumen, sí", dice Keiron Shepherd, ingeniero senior de sistemas de seguridad en Redes F5. “Cualquier dispositivo conectado a su red doméstica o con acceso a Internet puede ser un trampolín hacia objetivos más interesantes, por ejemplo, aplicaciones bancarias o cuentas de redes sociales. Para ilustrar, supongamos que su cafetera inteligente se envía con una contraseña de administrador predeterminada y está conectada a su Wi-Fi ", agrega Shepherd. "Un atacante podría llevar a cabo un escaneo simple utilizando herramientas como Aircrack-ng. Este es un escaneo pasivo que puede usarse sin tener que estar conectado a su red Wi-Fi. Después de eso, es fácil determinar qué marca o modelo de equipo de IoT tiene en su red ".
Jonathan Knudsen, estratega de seguridad sénior en Sinopsis, está de acuerdo: "Cualquier dispositivo que agregue a su red doméstica viene con sus propias vulnerabilidades de seguridad", dice. "En el mejor escenario posible, el proveedor del dispositivo ha considerado la seguridad en cada etapa del desarrollo de su producto, y el resultado es un producto que es razonablemente seguro".
Sin embargo, los dispositivos razonablemente seguros no serán necesariamente suficientes, ya que las interacciones complejas entre dispositivos de diferentes capacidades de seguridad se vuelven más populares. "Con este aumento en la conectividad, aumenta el riesgo debido a la complejidad y diversidad de los dispositivos y las vulnerabilidades asociadas, que los delincuentes pueden explotar", dice Richard Holmes, jefe de servicios de ciberseguridad en la empresa de TI y consultoría. CGI UK. “El problema al que nos enfrentamos en particular es que muchos de los dispositivos de IoT para consumidores se ejecutan en software antiguo que, en algunos casos, no se ha desarrollado durante muchos años. La velocidad con la que los productos están llegando al mercado significa que la seguridad todavía no se considera lo suficientemente importante y tratar de atornillar la autenticación como la autenticación de dos factores (2FA) es extremadamente difícil ".
"La naturaleza misma de la IoT en el hogar es que está impulsada por la minimización de costos, el rápido tiempo de comercialización, el bajo mantenimiento y una mayor integración", agrega. "Todos estos son desafíos para la buena seguridad, pero estamos trayendo estos dispositivos a nuestro hogar, nuestro santuario interior, con acceso a información privilegiada sobre nuestras vidas domésticas y una capacidad cada vez mayor para controlar ese entorno".
Las infracciones no solo perjudicarán a los consumidores, sino que podrían dañar las empresas a las que se conectan y sofocar el desarrollo de IoT en general. "El mundo actual de dispositivos conectados está lleno de oportunidades, pero las malas prácticas de seguridad corren el riesgo de socavar su éxito", dice Manfred Kube, jefe de comunicaciones, análisis y soluciones de IoT en Gemalto. "Más recientemente, los investigadores de la Universidad de Stanford descubrieron que los dispositivos inteligentes ubicados en nuestros hogares, como televisores inteligentes, impresoras, consolas de juegos y CCTV, podrían ser una amenaza para los sistemas empresariales. A medida que más y más dispositivos domésticos inteligentes se conectan a Internet, también es probable que aumenten los enlaces débiles que los exponen a vulnerabilidades de seguridad. Los hábitos de los consumidores, particularmente en torno a la creación de contraseñas débiles, deben mejorar, pero los fabricantes también deben adoptar un enfoque de seguridad por diseño para sus dispositivos desde el principio para mitigar esos riesgos ".
Timo Laaksonen, vicepresidente de ventas de operadores para América del Norte, en F-Secure, está de acuerdo: "Las nuevas debilidades introducidas por los dispositivos domésticos inteligentes van desde puertos de comunicación abiertos y el uso de protocolos inseguros hasta contraseñas codificadas y plataformas de software obsoletas e inseguras". dice. “La seguridad es a menudo solo una ocurrencia tardía que no necesariamente ayuda a vender el producto. Necesitamos un cambio en el proceso de diseño de los dispositivos domésticos inteligentes: la seguridad y la privacidad, para el caso, deben considerarse un factor de diseño crucial y un requisito funcional desde el principio ".
Es fácil señalar con el dedo las debilidades de seguridad de la red Wi-Fi doméstica, pero estas están lejos de ser el único punto débil que encuentran los dispositivos domésticos inteligentes. "La conexión a Internet basada en Wi-Fi es el punto débil obvio en muchos productos de seguridad para el hogar", reconoce Kube. “Muchas cámaras de seguridad domésticas conectadas ofrecen la oportunidad para que el propietario vigile su casa cuando se sientan en la playa al otro lado del mundo, usan su teléfono inteligente y reciben alertas de cualquier actividad sospechosa. Sin embargo, también pueden proporcionar a un pirata informático una puerta de enlace mediante la cual pueden comprometer toda la red. Un delincuente también puede desconectar fácilmente sus dispositivos domésticos inteligentes simplemente deshabilitando el cable del enrutador, que generalmente se encuentra fuera de la casa; un par de recortes podrían ser todo lo que se necesita para realizar un ataque de denegación de servicio muy efectivo ".
Para Marc Canel, vicepresidente de estrategia de seguridad de Tecnologías de imaginación, es importante no destacar una tecnología de comunicaciones en particular. "Los enlaces de comunicaciones pueden convertirse en un vector de ataques en el mercado de consumo inteligente", dice. "Sin embargo, Wi-Fi y Bluetooth Low Energy (BLE) ofrecen ventajas significativas para las comunicaciones en un espacio físico restringido frente a tecnologías celulares como 4G".
Las conexiones de IoT celular ciertamente no son la única forma de garantizar una red doméstica inteligente segura. "Es razonable suponer que no todo el mundo querrá utilizar datos celulares para llevar a cabo sus tareas de automatización del hogar, aunque es una buena idea tener una copia de seguridad LTE en caso de que su conexión a Internet principal se caiga", dice Paul Routledge, Reino Unido e Irlanda. gerente de país para D-Link. “La tecnología que permite la segmentación dentro de una red puede ayudar a mantener su red segura y protegida, por ejemplo, creando una red de invitados que no se conecta a la computadora portátil de su empresa, puede ayudar a proteger contra virus y troyanos que pueden haberse unido a su red. Los enrutadores que tienen protección doméstica incorporada se pueden usar para bloquear sitios web maliciosos y, lo que es más importante, para las conexiones, así como para proteger su red de convertirse en una botnet automatizada en caso de que su dispositivo se vuelva vulnerable ".
Esta segmentación proporciona una ruta probable para aplicar diferentes niveles de seguridad a diferentes dispositivos y aplicaciones de IoT. Sin embargo, los usuarios deberán asumir un nivel de responsabilidad cada vez mayor. "Cualquier dispositivo inteligente debe ser tratado como sucio y conectado a una red separada, algo que la mayoría de las organizaciones conocedoras de la seguridad han estado haciendo durante años", dice Gavin Millard, vicepresidente de inteligencia de Sostenible. "Tomemos, por ejemplo, la conveniencia de un timbre inteligente que puede enviar notificaciones directamente a un teléfono cuando alguien está cerca de él, incluso si en realidad no presionan el timbre con algunos modelos. Esta es una medida de seguridad fantástica, pero si existe una vulnerabilidad sin parchear dentro del dispositivo, podría ser comprometida por un atacante ".
De esta manera, los beneficios de seguridad física habilitados por IoT se anulan al reducir la vulnerabilidad de ciberseguridad. A medida que la industria madure, tendrá que adoptar el concepto de seguridad incorporada en el nuevo software y aplicaciones para que los casos de uso sobrevivan a los titulares negativos inevitables que causarán las infracciones de seguridad.
