La revolución del Internet de las cosas (IoT) supone una mayor integración entre el mundo real y el mundo tecnológico cambiando por completo el modo en que accedemos y utilizamos la tecnología en nuestro día a día. Este nuevo paradigma conlleva, asimismo, nuevos riesgos.
Imaginemos que alguien pueda acceder, sin excesivos problemas, al sistema de cámaras de vigilancia de un bebé, utilizar los sensores de domótica instalados en una casa para saber si hay alguien o no. O, en el extremo, que alguien pueda acceder al sistema de control de un vehículo mientras circula por una autopista.
Nuestra privacidad y seguridad física pueden verse claramente comprometidas, y es que uno de los retos más significativos que afronta el desarrollo del Internet de las cosas en los próximos años es el de la mejora de la seguridad y privacidad de los dispositivos conectados.
Ya se han dado casos de infección masiva de dispositivos, como el ocurrido en octubre de 2016 cuando Mirai, un malware de la familia de los botnets, tomó el control de millones de dispositivos (principalmente webcams y routers domésticos). Estos fueron utilizados de forma coordinada para realizar uno de los ataques DDoS de mayores proporciones, bloqueando miles de páginas web simultáneamente.
Ecosistema complejo y desconocimiento de los usuarios
Un ecosistema de objetos y sensores conectados (muchas veces a redes no seguras), funcionando con procesadores de reducido tamaño y sin una fuente de alimentación más allá de una pequeña batería (incluso sin batería en el caso de los dispositivos de funcionamiento pasivo). Todo ello contribuye a que el hardware instalado en los dispositivos IoT sea mínimo y que éste corra sobre sistemas operativos muy básicos, dificultando la utilización de soluciones de seguridad convencionales.
Se requiere, por lo tanto, de sistemas de seguridad ultracompactos y muy eficientes que consumo una cantidad de recursos muy reducida.
Otros factores como la falta de unos estándares en la industria, la heterogeneidad entre los distintos dispositivos y, por otro lado, el poco conocimiento técnico y baja percepción de riesgo por parte de los propios usuarios, añaden aún más dificultades.
Ciberseguridad en las empresas, ¿estamos realmente preparados ante un ciberataque?
«En 2017, lo cibernético es negocio y el negocio es cibernético». Esta afirmación del vicepresidente sénior de Cisco Systems, John. N. Stewart, puede parecer algo obvia, pero resume muy bien una realidad cada vez más patente: cuanto más tráfico digital haya, mayor es la posibilidad de sufrir un ataque cibernético.
Según el Informe Anual sobre Ciberseguridad 2017 elaborado por Cisco (en el que han participado unos 3.000 responsables de seguridad de empresas de 13 países del mundo), la ciberseguridad es uno de los objetivos estratégicos de máxima prioridad para los directivos de la mayor parte de las empresas participantes en el estudio.
Sin embargo, a pesar de este interés por parte de la alta dirección y la confianza de los responsables de seguridad en sus sistemas (dos tercios de las personas encuestadas consideran que los sistemas de seguridad empleados por sus empresas son extremadamente o altamente efectivos), los datos analizados indican que, al menos un tercio de las empresas participantes han tenido alguna brecha de seguridad en el último año con un impacto directo sobre sus clientes e ingresos (una caída del 20% en valor económico).
Estrategias de defensa ante amenazas cibernéticas
El informe indica que el 90% de esas compañías se esfuerzan, cada vez más, por mejorar sus tecnologías de defensa de amenazas cibernéticas. Algunas de las estrategias que utilizan son: separar las funciones de TI y seguridad, aumentar la formación en temas de ciberseguridad para empleados e implementar técnicas de mitigación de riesgos.
Las tres barreras principales que afirman les impiden avanzar en materia de ciberseguridad en sus empresas son:
- Poco presupuesto.
- Escasa compatibilidad de los sistemas.
- Falta de talento formado en esta materia.
Otro problema clave es que los departamentos de seguridad se están volviendo cada vez más complejos: el 65% de las empresas dijeron usar entre 6 y 50 productos de seguridad diferentes, lo que deja mucho espacio abierto para las brechas de efectividad.
España a la cabeza de Europa en materia de ataques de ciberseguridad
En nuestro país, la situación no es muy diferente. España es el quinto país del mundo con más sistemas que controlan todo tipo de instalaciones y procesos industriales conectados a Internet, la mayoría sin protección.
Los datos son alarmantes: un 25% de los españoles reconoce haber sufrido algún ataque de ciberseguridad, frente al 21% de los ciudadanos de la Unión Europea.
El año pasado se detectaron 479 incidentes de ciberseguridad en infraestructuras críticas situadas en España, que podrían haberse evitado contando con software antivirus y antimalware, análisis periódicos y recurrentes de posibles vulnerabilidades, y sistemas de seguridad perimetral.
Se calcula que las empresas españolas pierden, de media cada una, más de 1’3 millones de euros anuales como consecuencia de ciberataques o incidentes de seguridad, según la Encuesta Mundial sobre el Estado de la Seguridad de la Información, realizado por la consultora PwC. Esto se debe en su mayoría al robo de información estratégica como los planes estratégicos, documentos relacionados con fusiones o adquisiciones y los de carácter financiero, seguidos por la captura de emails.
Tomar conciencia de la necesidad de la ciberseguridad
Los riesgos asociados a la seguridad y privacidad que se derivan de este nuevo ecosistema hiperconectado es uno de los principales retos que afronta el IoT. Cada vez tenemos más aparatos conectados en casas y empresas, que nos facilitan la vida y nos permiten controlarlo todo estemos donde estemos. Pero no debemos olvidar que todos ellos son puertas a través por las que un hacker podría entrar.
La revolución del Internet de las cosas debe ir acompañada de una concienciación en materia de ciberseguridad. Establecer redes seguras (basadas en el uso de protocolos TLS/SSL, e IP seguras), garantizar la privacidad de los datos generados mediante el uso de algoritmos de seguridad y, sobretodo, la toma de conciencia por parte de los usuarios acerca de los riesgos existentes, son algunas de las estrategias a desplegar para la mejora de la ciberseguridad en el uso del IoT.
La vía de entrada más habitual de estos ataques es el ‘pishing’, es decir, correos y mensajes engañosos en los que las víctimas pinchan en un enlace pensando que proviene de una fuente de confianza y con ello dan acceso al atacante o le facilitan datos cruciales. Un dato preocupante porque significa que el error humano sigue siendo uno de los principales problemas para la ciberseguridad de una empresa.
Este fue uno de los temas principales que se trataron en el XIII encuentro de marketing y comunicación en el sector asegurador, al que Fractalia tuvo el placer de asistir.
Leave a Comment