El Internet de las cosas (IoT) promete más flexibilidad y funcionalidad para las empresas que nunca. Más dispositivos conectados prometen ayudar a las empresas a racionalizar las operaciones de la cadena de suministro, aumentar la eficiencia y reducir los costos dentro de los procesos existentes, mejorar la calidad de los productos y servicios e incluso crear nuevos productos y servicios para los clientes.

Con una gran cantidad de beneficios disponibles para la empresa, dice Avinash Prasad, jefe de Servicios de Seguridad Administrada en Tata Communications, IoT está configurado para mejorar o incluso mejorar los modelos de negocio para mejor.

Si bien la generación masiva, la recopilación y el análisis de datos de IoT sin duda brindarán a la empresa una oportunidad inmensa, el acceso potencialmente fácil a través de redes no seguras y otros puntos de entrada vulnerables, incluidos los dispositivos de IoT, atraen a los cibercriminales.

De acuerdo a Gartner, casi el 20% de las organizaciones han observado al menos un ataque basado en IoT en los últimos tres años. Con la asombrosa cifra de 75 mil millones de dispositivos conectados que se esperan en todo el mundo para 2025, la exposición a vulnerabilidades de ciberseguridad y violaciones de datos se habrá multiplicado por cinco desde hoy.

Entonces, a medida que entramos en una nueva era dominada por IoT, es imprescindible volver a examinar las amenazas que se ciernen sobre las empresas al implementar múltiples dispositivos conectados e incorporar lo mismo en la estrategia de seguridad empresarial. Aquí hay tres ejemplos de vulnerabilidades de IoT que todas las empresas deben tener en cuenta para la planificación de defensa cibernética: estas van desde violaciones de productos aparentemente inocuos hasta francamente maliciosos.

1. Incluso los dispositivos conectados más simples son vulnerables

Muchas personas que van a Las Vegas regresan con mucho menos dinero de lo que fueron, pero generalmente no se ha relacionado con ningún ataque cibernético, y mucho menos con uno que comenzó en una pecera. Sin embargo, así es exactamente como un casino sin nombre en Sin City experimentó su primera infracción de ciberseguridad.

El termómetro conectado, utilizado para el monitoreo remoto y la alimentación dentro del acuario del casino, proporcionó el punto de acceso perfecto para los piratas informáticos que buscan adquirir datos sobre los visitantes que más gastan. Los hackers robaron 10 GB de datos personales en total, enviándolos a un servidor remoto en Finlandia.

Los dispositivos de IoT se utilizan cada vez más en diversos sectores y, como se ve en el ejemplo de la pecera de Vegas, incluso los dispositivos conectados más simples pueden ser posibles puertas de enlace a otros segmentos privados de la red de una empresa. Dado que el 80% de los datos del mundo se guardan en servidores privados, mantener a los hackers fuera nunca ha sido tan crucial.

2. La protección física y la eliminación de los dispositivos conectados pueden ser problemáticos.

A veces, no son los piratas informáticos los que debes tener en cuenta, sino el comportamiento de los dispositivos IoT. En 2018, blog de ciberseguridad Resultados limitados llevó una sierra a una bombilla LIFX Mini White y descubrió vulnerabilidades con la bombilla inteligente. Cualquier persona con acceso físico al producto podría extraer la contraseña de Wi-Fi del propietario, ya que se almacenó en texto sin formato en el dispositivo, junto con la clave privada RSA y las contraseñas raíz.

LIFX corrigió las vulnerabilidades con una actualización de firmware, pero plantea preguntas importantes sobre el estado físico de los dispositivos, incluida la protección durante el uso y la eliminación de dispositivos inteligentes viejos o defectuosos. A medida que las empresas empresariales continúan adoptando y actualizando IoT, este aspecto a menudo olvidado de la explotación de vulnerabilidades debe permanecer en la mente.

3. Malware a escala industrial: la amenaza física cibernética

El mundo se ha acostumbrado al malware que roba información privada, pero como lo ven los peces Vegas y los ejemplos de LIFX, rara vez ha representado una amenaza física para sus víctimas. Eso es hasta 2018 cuando se descubrió el malware industrial Triton dirigido a los sistemas de seguridad de una refinería de petróleo de Arabia Saudita. Se dice que es el primer malware diseñado para comprometer los sistemas de seguridad industrial, dando a los piratas informáticos la capacidad de desactivar sensores y permitir catástrofes letales. Los piratas informáticos se movieron deliberadamente, tomándose su tiempo para infiltrarse cada vez más en los sistemas de refinadores y desarrollar malware más preciso.

Afortunadamente, esa instancia se descubrió antes de que se pudieran ejecutar más ataques, pero eso no impide que los piratas informáticos desarrollen formas de malware aún más peligrosas. Por lo tanto, a medida que los sistemas de control industrial se vuelven cada vez más conectados y dependientes de los dispositivos IoT, las empresas deben tomar medidas para crear seguridad para estas capas.

El enigma del cumplimiento

Incluso sin la adopción generalizada de IoT, muchas empresas están siendo desafiadas por la innovación que puede abrir posibles lagunas para la protección de datos. En los últimos meses British Airways, Hoteles Marriott y varias organizaciones de autoridades locales han sido multadas en virtud del Reglamento General de Protección de Datos (GDPR) de la Unión Europea por la exposición accidental de grandes cantidades de datos personales. De hecho, la violación de datos de Marriott solo expuso 7 millones de registros conectados a residentes del Reino Unido.

Todas las multas impuestas demuestran cuán agresivamente los reguladores dentro de la Comisión Europea (CE) están dispuestos a abordar las fallas de seguridad y cumplimiento para garantizar que los datos personales permanezcan privados. Las nuevas leyes de seguridad de IoT con sede en el Reino Unido en el horizonte buscarán responsabilizar a los fabricantes de dispositivos por los puntos de entrada vulnerables dentro del propio dispositivo conectado. Sin embargo, las empresas también deberán aceptar más responsabilidad por las debilidades (seguridad y cumplimiento) dentro de su propia arquitectura de TI.

Entonces, ¿cuál es la solución?

Es probable que la naturaleza incipiente de IoT lo convierta en un objetivo atractivo para los piratas informáticos en el futuro previsible. A medida que surgen más tecnologías y los entornos de TI se vuelven cada vez más complejos, aumentará la superficie de ataque de IoT. Las empresas deben tomar las precauciones correctas hoy para evitar daños graves que pueden ser causados ​​por ataques exitosos en entornos de IoT recientemente implementados.

Una forma de fortalecer la ciberseguridad es utilizar los datos de IoT procesados ​​por análisis avanzados como el aprendizaje automático (ML) y la inteligencia artificial (AI) en un contexto de seguridad. Al implementar tecnologías analíticas avanzadas, es posible monitorear anomalías en el comportamiento y el uso en todos los dispositivos conectados y así identificar incidentes de seguridad críticos o mal uso. Además, al adoptar Blockchain, las empresas pueden eliminar la necesidad de una autoridad central en la red IoT. Esto significa que los dispositivos conectados en grupos comunes pueden alertar a los administradores si se les pide que realicen una tarea inusual.

La empresa también debe mirar a sus socios al apuntalar entornos cargados de IoT. Los centros de defensa de seguridad avanzados para responder a los ataques cibernéticos en tiempo real, operados por jugadores especializados en seguridad cibernética, pueden proporcionar a las empresas una ventanilla única para sus necesidades de ciberseguridad, cumplimiento y tecnología emergente.

Dicho centro de ciberseguridad debe estar impulsado por una gran cantidad de herramientas y plataformas sofisticadas que incluyen análisis de registro y comportamiento, inteligencia de amenazas cibernéticas, marco de seguridad basado en la nube, plataforma avanzada de predicciones de ataque impulsada por el aprendizaje automático, integrada en una plataforma de automatización y orquestación.

Por lo tanto, estos centros pueden proporcionar a las empresas un panel de seguridad integral: una vista panorámica de la red de TI e IoT y su seguridad. Dichos centros son muy difíciles de construir y mantener desde una perspectiva de costos y habilidades, por lo que las empresas podrían aprovechar la profunda experiencia de un socio experto para ayudar a reforzar su sistema y la postura de protección de datos y hacer frente a las normativas en constante cambio.

Solo al adoptar un enfoque holístico de la seguridad de IoT, uno que abarque controles generalizados basados ​​en la nube con visibilidad y protección extendidas a través de tecnologías emergentes, se puede garantizar que la empresa esté protegida de extremo a extremo y cumpla con los estándares de protección de datos.

En resumen, sin embargo, no hay necesidad de temer a IoT. Con las salvaguardas correctas en su lugar, puede cumplir sus promesas, mejorando los procesos y servicios para los que está diseñado.

El autor es Avinash Prasad, jefe de Servicios de Seguridad Administrada en Tata Communications.