Actualmente estamos en plena fiebre de la Ciberseguridad, Blockchain o IoT, y mas aún si podemos meterle el calificativo de "inteligente"... ¿quizás en un par de años le toque definivamente a la Inteligencia Artificial? No lo sé, en realidad no es el motivo de este artículo.
Algunos gurús del sector opinan que en cuestión de IoT, el Hype ha muerto y en 2018 empezaremos a ver aplicaciones de valor para el negocio.
Yo soy uno de los que consideran que la implantación del Internet de las Cosas nos permitirá tener una vida mucha mas cómoda y placentera, pero creo que por el momento ese concepto de "Inteligente" que mencionamos anteriormente aún vamos a tener que aplicarlo nosotros, los seres humanos.
Según una definición de la web Techtarget sabemos que:
La internet de las cosas (IoT, por sus siglas en inglés) es un sistema de dispositivos de computación interrelacionados, máquinas mecánicas y digitales, objetos, animales o personas que tienen identificadores únicos y la capacidad de transferir datos a través de una red, sin requerir de interacciones humano a humano o humano a computadora.
En resumen, una "niebla" de datos sobre maquinas, objetos, personas y animales que viaja en su mayoría por los canales que ya conocemos sin que las personas seamos plenamente conciente de a dónde o con que finalidad se usarán estos datos.
Se ha notado ya el potencial del IoT como arma de de denegación distribuida de servicio hace un par de años con los ataques ocasionados por Mirai, con mas de 660 Gbps y llegando en su momento de máximo explendor a superar por poco 1 Tbps.
Ultimamente se ha hablado de un nuevo malware en plena búsqueda de dispositivos con procesadores ARC, lo que promete nuevas noticias sobre DDoS en no mucho tiempo.
Pero no creo que este "mal uso o abuso" tenga que ser la principal preocupación de la sociedad, si no, hacernos a la idea de cuántos datos y que tipo de datos decidiremos entregar al IoT.
Constatamos el año pasado en ponencias como la de Luis Benítez en NoConName como las "televisiones inteligentes" enviaban información cada vez que cambiabamos de canal o como las "lavadoras inteligentes" gestionaban los avisos de sus ciclos completos...
Miguel A. Arroyo también coincidió durante el evento de OWASP, en la proliferación de cada vez mas dispositivos conectados y habló de la necesidad de securizar toda la superficie de ataque
Fue curioso ver algunos dispositivos IoT esperpénticos como el i.Con o el Huggies TweetPee.
Y hay que ser conscientes que la superficie de ataque en el IoT es mucho mas amplia de lo que podríamos pensar en un principio...
¿Basta con securizar los dispositivos? No, ni mucho menos...
Fuente: Infosec Institute
En la imágen anterior podemos intuir algunos de los vectores de ataques que se podrían utilizar para vulnerar la información que viaja a través de la IoT:
- Dispositivos
- Servicios en la Nube
- Aplicativos móviles
- Señales de comunicaciones
Si cualquiera de estos estos puntos es vulnerado, con gran posibilidad representará que se podrá tener acceso a la información que pase por ese mismo punto.
¿Y de qué información estamos hablando?
Con la transformación digital de nuestras empresas, fábricas, hogares y vida cotidiana, la cantidad de datos que estamos entregando en custodia al Internet de las Cosas está en un imparable aumento.
- Datos biométricos (p.e., FitBit u otros "weareables").
- Datos de comportamiento (p.e., Geolocalización, horarios de determinadas tareas, frecuencia de detrminados hábitos, eelectrodomésticos "inteligentes".).
- Datos sobre uso de elementos (p.e., Coches "Inteligentes", Edificios "Inteligentes", Sistemas de videovigilancia...)
- Datos empresariales (p.e., Sensórica de máquinas y producción...)
El IoT rompe con el concepto de perímetro y nos propone nuevos retos que plantearnos si queremos hacer las cosas lo mejor posible en cuestión de Seguridad de la Información.
Recientemente escribí brevemente sobre como hacen exfiltración de datos cuando sufrimos un incidente y que deberíamos tener en cuenta para evitarlo, el IoT es claramente otro canal por dónde robarnos datos, y con muchas seguridad, no enterarnos nunca.
Según Gartner, en 2020 habrá mas de 20 mil millones de dispositivos IoT dándo servicio en el mundo.
El estudio y la gestión de riesgos en el área de privacidad nos ahorrarán muchos dolores de cabeza a la hora de adaptarnos al nuevo mundo conectado.
