¿Qué es la seguridad IoT (internet de las cosas de seguridad)?

La seguridad IoT (internet of things security) es el segmento tecnológico enfocado en salvaguardar dispositivos y redes conectados en IoT. IoT implica agregar conectividad a Internet a un sistema de dispositivos informáticos interrelacionados, máquinas mecánicas y digitales, objetos, animales y personas. Cada cosa tiene un identificador único y la capacidad de transferir datos automáticamente a través de una red. Sin embargo, permitir que los dispositivos se conecten a Internet los expone a graves vulnerabilidades si no están debidamente protegidos.

El término IoT es extremadamente amplio y, a medida que esta tecnología continúa evolucionando, el término solo se vuelve más amplio. Desde relojes hasta termostatos y consolas de videojuegos, casi todos los dispositivos tecnológicos pueden interactuar con Internet u otros dispositivos de alguna manera.

La seguridad de IoT es incluso más amplia que IoT, lo que da como resultado una variedad de metodologías que caen bajo ese paraguas. Interfaz de programación de aplicaciones (API) seguridad, infraestructura de clave pública (PKI) la autenticación y la seguridad de la red son solo algunos de los métodos que TI puede usar para combatir la creciente amenaza del delito cibernético y terrorismo cibernético arraigado en dispositivos IoT vulnerables.

¿Por qué es importante la seguridad de IoT?

Debido a la fabricación poco convencional de los dispositivos IoT y la gran cantidad de datos que manejan, existe una amenaza constante de ataques cibernéticos. Varios incidentes de alto perfil en los que se usó un dispositivo IoT común para infiltrarse y atacar la red más grande han llamado la atención sobre la necesidad de seguridad IoT.

La posibilidad siempre inminente de vulnerabilidades, violaciones de datos y otros riesgos asociados con el uso de dispositivos IoT subrayan la necesidad urgente de una fuerte seguridad IoT. La seguridad de IoT es vital para las empresas, ya que incluye una amplia gama de técnicas, estrategias, protocolos y acciones que tienen como objetivo mitigar las crecientes vulnerabilidades de IoT de las empresas modernas.

[Contenido incrustado]

Problemas y desafíos de seguridad de IoT

Cuantas más formas haya para que los dispositivos se conecten entre sí, más oportunidades habrá para que los actores de amenazas los intercepten. Protocolo de Transferencia de Hipertexto y las API son solo dos de los canales en los que se basan los dispositivos IoT que los piratas informáticos pueden interceptar.

El paraguas de IoT tampoco incluye estrictamente dispositivos basados ​​en Internet. Los dispositivos que usan tecnología Bluetooth también cuentan como dispositivos IoT y, por lo tanto, requieren seguridad IoT.

Los siguientes desafíos de seguridad de IoT continúan amenazando la seguridad financiera tanto de individuos como de organizaciones:

• Exposición remota. A diferencia de otras tecnologías, los dispositivos IoT tienen una gran superficie de ataque debido a su conectividad compatible con Internet. Si bien esta accesibilidad es extremadamente valiosa, también brinda a los piratas informáticos la oportunidad de interactuar con los dispositivos de forma remota. Esta es la razón por la cual las campañas de piratería, como suplantación de identidad, son particularmente efectivos. Seguridad IoT, incluida seguridad en la nube, tiene que dar cuenta de un gran número de puntos de entrada para proteger los activos.
• Falta de previsión de la industria. A medida que las organizaciones continúan con transformaciones digitales, también lo han hecho ciertas industrias y sus productos. Las industrias automotriz y de atención médica han ampliado su selección de dispositivos IoT para ser más productivas y rentables. Esta revolución digital, sin embargo, también se ha traducido en una mayor dependencia tecnológica que nunca. Si bien normalmente no es un problema, la confianza en la tecnología puede amplificar las consecuencias de una filtración de datos exitosa. Lo que hace que esto sea preocupante es que estas industrias ahora dependen de piezas de tecnología que son inherentemente más vulnerables: dispositivos IoT. No solo eso, sino que muchas empresas automotrices y de atención médica no estaban preparadas para invertir la cantidad de dinero y recursos necesarios para asegurar estos dispositivos. Esta falta de previsión de la industria ha expuesto innecesariamente a muchas organizaciones y fabricantes a una mayor amenazas de ciberseguridad.
• Restricciones de recursos. No todos los dispositivos IoT tienen el poder de cómputo para integrar firewalls sofisticados o software antivirus. De hecho, algunos dispositivos apenas pueden conectarse a otros dispositivos. Los dispositivos IoT que han adoptado la tecnología Bluetooth, por ejemplo, han sufrido una ola reciente de filtraciones de datos. La industria del automóvil, una vez más, ha sido uno de los mercados más golpeados.
• Contraseñas predeterminadas débiles. Los dispositivos IoT a menudo vienen con contraseñas débiles, y es posible que la mayoría de los consumidores no sepan que deben reemplazarse por otras más seguras. Si las contraseñas predeterminadas no se cambian en los dispositivos IoT, pueden dejarlos vulnerables a fuerza bruta y otros ataques de piratería.
• Múltiples dispositivos conectados. La mayoría de los hogares de hoy en día tienen múltiples dispositivos interconectados. El inconveniente de esta comodidad es que, si un dispositivo falla debido a una mala configuración de seguridad, el resto de los dispositivos conectados en el mismo hogar también fallan.
• Falta de cifrado. La mayor parte del tráfico de red que se origina en dispositivos IoT no está cifrado, lo que aumenta la posibilidad de amenazas de seguridad y violaciones de datos. Estas amenazas se pueden evitar asegurándose de que todos los dispositivos estén protegidos y encriptados.

En 2020, un experto en ciberseguridad hackeó un Tesla Model X en menos de 90 segundos aprovechando una vulnerabilidad masiva de Bluetooth. Otros autos que dependen de llaveros inalámbricos para abrir y arrancar han experimentado ataques similares. Los actores de amenazas han encontrado una manera de escanear y replicar la interfaz de estos llaveros para robar vehículos sin siquiera activar una alarma. Si la maquinaria tecnológicamente avanzada, como un vehículo Tesla, es vulnerable a una violación de datos de IoT, también lo es cualquier otro dispositivo inteligente.

Cómo proteger los sistemas y dispositivos IoT

Las empresas pueden utilizar las siguientes herramientas y tecnologías para mejorar sus protocolos de protección de datos y su postura de seguridad:

1. Introducir la seguridad de IoT durante la fase de diseño. De los riesgos y problemas de seguridad de IoT discutidos, la mayoría se puede superar con una mejor preparación, particularmente durante el proceso de investigación y desarrollo al comienzo de cualquier IoT de consumo, empresarial o industrial (IIOT) desarrollo de dispositivos. Habilitar la seguridad de forma predeterminada es fundamental, junto con proporcionar los sistemas operativos más recientes y usar hardware seguro.

   Los desarrolladores de IoT deben tener en cuenta las vulnerabilidades de ciberseguridad en cada etapa del desarrollo, no solo en la fase de diseño. El robo de la llave del automóvil, por ejemplo, puede mitigarse si el conductor coloca su llavero en una caja de metal o lejos de las ventanas y los pasillos de su casa.

2. PKI y certificados digitales. PKI puede proteger las conexiones cliente-servidor entre múltiples dispositivos en red. Utilizando un criptosistema asimétrico de dos claves, PKI puede facilitar el cifrado y descifrado de mensajes privados e interacciones utilizando Certificados digitales. Estos sistemas ayudan a proteger la entrada de información de texto claro por parte de los usuarios en los sitios web para completar transacciones privadas. El comercio electrónico no podría funcionar sin la seguridad de PKI.
3. Seguridad de la red. Las redes brindan una gran oportunidad para que los actores de amenazas controlen de forma remota los dispositivos IoT. Debido a que las redes involucran componentes tanto digitales como físicos, la seguridad de IoT en las instalaciones debe abordar ambos tipos de puntos de acceso. La protección de una red IoT incluye garantizar la seguridad de los puertos, deshabilitar el reenvío de puertos y nunca abrir puertos cuando no se necesiten; usar antimalware, cortafuegos, sistemas de detección de intrusos y sistemas de prevención de intrusos; bloquear direcciones IP no autorizadas; y garantizar que los sistemas estén parcheados y actualizados.
   

4. Seguridad de API. Las API son la columna vertebral de los sitios web más sofisticados. Permiten a las agencias de viajes, por ejemplo, agregar información de vuelos de múltiples aerolíneas en una ubicación. Desafortunadamente, los piratas informáticos pueden comprometer estos canales de comunicación, haciendo Seguridad API necesario para proteger la integridad de los datos que se envían desde los dispositivos IoT a los sistemas back-end y garantizar que solo los dispositivos, desarrolladores y aplicaciones autorizados se comuniquen con las API. La filtración de datos de T-Mobile en 2018 expuso las consecuencias de la mala seguridad de la API. Debido a una API con fugas, el gigante móvil expuso los datos personales de más de 2 millones de clientes, incluidos los códigos postales de facturación, números de teléfono y números de cuenta.

Métodos de seguridad IoT adicionales

Otras formas de introducir la seguridad de IoT incluyen las siguientes:

• Control de acceso a la red (NAC). NAC puede ayudar a identificar e inventariar los dispositivos IoT que se conectan a una red. Esto proporciona una línea de base para el seguimiento y monitoreo de dispositivos.
• Segmentación. Los dispositivos IoT que necesitan conectarse directamente a Internet deben segmentarse en sus propias redes y tener acceso restringido a la red empresarial. Los segmentos de red deben monitorear la actividad anómala y tomar medidas si se detecta un problema.
• Pasarelas de seguridad. Actuando como intermediario entre los dispositivos IoT y la red, pasarelas de seguridad tienen más poder de procesamiento, memoria y capacidades que los propios dispositivos IoT, lo que les permite agregar funciones como firewalls para garantizar que los piratas informáticos no puedan acceder a los dispositivos IoT que conectan.
• Gestión de parches y actualizaciones continuas de software. Es fundamental proporcionar una forma de actualizar los dispositivos y el software, ya sea a través de conexiones de red o mediante la automatización. Tener una divulgación coordinada de vulnerabilidades también es importante para actualizar los dispositivos lo antes posible. Considere también las estrategias para el final de la vida.
• Entrenamiento. IoT y la seguridad del sistema operativo son nuevos para muchos equipos de seguridad existentes. El personal de seguridad debe mantenerse al día con los sistemas nuevos o desconocidos, aprender nuevas arquitecturas y lenguajes de programación y estar preparado para los nuevos desafíos de seguridad. Los equipos de seguridad cibernética y de nivel C deben recibir entrenamiento en ciberseguridad mantenerse al día con las amenazas modernas y las medidas de seguridad.
• Integración del equipo. Junto con la capacitación, puede ser útil integrar equipos dispares y aislados regularmente. Por ejemplo, hacer que los desarrolladores de programación trabajen con especialistas en seguridad puede ayudar a garantizar que se agreguen los controles adecuados a los dispositivos durante la fase de desarrollo.
• Educación del consumidor. Los consumidores deben ser conscientes de los peligros de los sistemas IoT y proporcionarles pasos para mantenerse seguros, como actualizar las credenciales predeterminadas y aplicar actualizaciones de software. Los consumidores también pueden desempeñar un papel al exigir a los fabricantes de dispositivos que creen dispositivos seguros y negarse a utilizar aquellos que no cumplan con los estándares de alta seguridad.
• Cumplimiento y automatización de cero-políticas de confianza. El modelo de confianza cero dicta que todos los usuarios, ya sea dentro o fuera de la red de la organización, deben ser verificados, autorizados y evaluados continuamente para la configuración y la postura de seguridad antes de que se les dé acceso a las aplicaciones y los datos. Automatizar las políticas de confianza cero y aplicarlas en todos los ámbitos puede ayudar a mitigar las amenazas de seguridad contra los dispositivos IoT.
• Multifactor de autenticación (MFA). MFA agrega una capa adicional de seguridad al requerir más de una forma de identificación al solicitar acceso a un dispositivo o red. Al hacer cumplir las políticas de MFA, tanto las empresas como los usuarios domésticos pueden mejorar la seguridad de los dispositivos IoT.
• Aprendizaje automático (ML). La tecnología ML se puede utilizar para proteger los dispositivos IoT al automatizar la administración y el escaneo de dispositivos en toda la red. Dado que se escanea cada dispositivo conectado a la red, detiene los ataques automáticamente antes de que se alerte a los equipos de TI. Eso es lo que sucedió en 2018 cuando el software Microsoft Windows Defender detuvo un Malware troyano ataque en 30 minutos.

¿Qué industrias son más vulnerables a las amenazas de seguridad de IoT?

Los ataques de seguridad de IoT pueden ocurrir en cualquier lugar, desde un casa inteligente a una planta de fabricación a un coche conectado. La gravedad del ataque depende en gran medida del sistema individual, los datos recopilados y la información que contiene.

Por ejemplo, un ataque que deshabilite los frenos de un automóvil conectado o piratee un dispositivo de salud conectado, como una bomba de insulina, puede poner en peligro la vida. Del mismo modo, un ataque a un sistema de refrigeración que contiene un medicamento monitoreado por un sistema IoT puede arruinar la viabilidad de un medicamento si las temperaturas fluctúan. Del mismo modo, un ataque a una infraestructura crítica, como un pozo de petróleo, una red de energía o un suministro de agua, puede ser desastroso.

Sin embargo, no se pueden subestimar otros ataques. Por ejemplo, un ataque contra cerraduras de puertas inteligentes podría potencialmente permitir que un ladrón ingrese a una casa. O, en otras brechas de seguridad, un atacante podría pasar malware a través de un sistema conectado para raspar información de identificación personal, causando estragos entre los afectados.

En términos generales, las industrias y agencias que son más vulnerables a las amenazas de seguridad de IoT incluyen, entre otras, las siguientes:

• Empresas minoristas.
• Industria de camiones.
• Electrónica de consumo.
• Servicios públicos e infraestructura crítica.
• Cuidado de la salud.
• Educación.
• Agencias gubernamentales.
• Instituciones financieras.
• Empresas de energía y servicios públicos.

¿Qué dispositivos IoT son más vulnerables a las violaciones de seguridad?

En un entorno doméstico, por lo general, se sabe que los dispositivos IoT, como televisores inteligentes, refrigeradores, máquinas de café y monitores para bebés, son vulnerables a los ataques de seguridad.

En entornos empresariales, los equipos médicos y los dispositivos de infraestructura de red, como cámaras de video e impresoras, pueden ser objetivos potenciales. Según una investigación del proveedor de seguridad IoT Armis, el 59 % de los Cámaras IP su plataforma monitoreada en entornos clínicos tiene severidades críticas, mientras que el segundo equipo de IoT más peligroso en sitios clínicos son las impresoras, que tienen un 37% sin parchear Vulnerabilidades y exposiciones comunes, 30% de los cuales son de gravedad crítica.

Violaciones de seguridad de IoT notables y hacks de IoT

Los expertos en seguridad han advertido sobre el riesgo potencial de una gran cantidad de dispositivos inseguros conectados a Internet desde que se originó el concepto de IoT a fines de la década de 1990. Posteriormente, muchos ataques han aparecido en los titulares, desde el uso de refrigeradores y televisores para enviar spam hasta piratas informáticos que se infiltran en monitores de bebés y hablan con niños. Muchos hacks de IoT no se dirigen a los dispositivos en sí mismos, sino que utilizan dispositivos IoT como punto de entrada a la red más grande.

Los ataques de seguridad de IoT notables incluyen lo siguiente:

• En 2010, los investigadores revelaron que el virus Stuxnet se usó para dañar físicamente las centrífugas iraníes, con ataques que comenzaron en 2006 pero el ataque principal ocurrió en 2009. A menudo considerado uno de los primeros ejemplos de un ataque IoT, Stuxnet se dirigió a control de supervisión y Adquisición de Datos sistemas en los sistemas de control industrial, utilizando malware para infectar las instrucciones enviadas por los controladores lógicos programables. Los ataques a las redes industriales han continuado, con malware como CrashOverride, también conocido como Industroyer, Triton y VPNFilter dirigidos a tecnología operativa vulnerable y sistemas IIoT.
• En diciembre de 2013, un investigador de la empresa de seguridad empresarial Proofpoint Inc. descubrió la primera botnet de IoT. Según el investigador, más del 25% de la red de bots estaba compuesta por dispositivos distintos de las computadoras, incluidos televisores inteligentes, monitores para bebés y electrodomésticos.
• En 2015, los investigadores de seguridad Charlie Miller y Chris Valasek ejecutaron un hack inalámbrico en un Jeep, cambiaron la estación de radio en el centro de medios del automóvil, encendieron los limpiaparabrisas y el aire acondicionado y detuvieron el funcionamiento del acelerador. Dijeron que también podían apagar el motor, activar los frenos y desactivar los frenos por completo. Miller y Valasek pudieron infiltrarse en la red del automóvil a través del sistema de conectividad en el vehículo de Chrysler, Uconnect.
• Mirai, una de las botnets de IoT más grandes hasta la fecha, atacó por primera vez el sitio web del periodista Brian Krebs y el servidor web francés OVH en septiembre de 2016; los ataques registraron 630 gigabits por segundo y 1.1 terabits por segundo, respectivamente. El siguiente mes, sistema de nombres de dominio Se apuntó a la red del proveedor de servicios Dyn, lo que hizo que varios sitios web, incluidos Amazon, Netflix, Twitter y The New York Times, no disponible por horas. Los ataques se infiltraron en la red a través de dispositivos IoT de consumo, incluidas cámaras IP y enrutadores. Desde entonces, han surgido varias variantes de Mirai, incluidas Hajime, Hide 'N Seek, Masuta, PureMasuta, Wicked y Okiru.
• En un aviso de enero de 2017, la Administración de Alimentos y Medicamentos (FDA, por sus siglas en inglés) advirtió que los sistemas integrados en los dispositivos cardíacos implantables de St. Jude Medical con radiofrecuencia, incluidos marcapasos, desfibriladores y dispositivos de resincronización, podrían ser vulnerables a intrusiones y ataques de seguridad.
• En julio de 2020, Trend Micro descubrió una Descargador de red de bots IoT Mirai eso era adaptable a nuevas variantes de malware, lo que ayudaría a entregar cargas útiles maliciosas a cajas Big-IP expuestas. Las muestras encontradas también explotaron vulnerabilidades recientemente reveladas o sin parchear en dispositivos y software comunes de IoT.
• En marzo de 2021, la startup de cámaras de seguridad Verkada tenía 150,000 de sus transmisiones de cámaras en vivo pirateadas por un grupo de hackers suizos. Estas cámaras monitorearon la actividad dentro de escuelas, prisiones, hospitales e instalaciones de empresas privadas, como Tesla.
• A fines de 2022, los piratas informáticos comenzaron a explotar una serie de 13 vulnerabilidades de IoT relacionadas con la ejecución remota de código. Instalaron una versión modificada del malware Mirai en dispositivos comprometidos, dándoles un control no autorizado sobre los sistemas afectados.
• En marzo de 2023, se descubrió que el intercomunicador inteligente de Akuvox tenía fallas de día cero que permitían la vigilancia y el espionaje remotos.
• También en marzo de 2023, vulnerabilidades en el Trusted Platform Module Se encontró el protocolo 2.0 relacionado con el desbordamiento del búfer, lo que pone en riesgo miles de millones de dispositivos IoT.

Estándares y legislación de seguridad de IoT

Existen muchos marcos de seguridad de IoT, pero hasta la fecha no existe un único estándar aceptado por la industria. Sin embargo, la simple adopción de un marco de seguridad de IoT puede ayudar; proporcionan herramientas y listas de verificación para ayudar a las empresas que están creando e implementando dispositivos IoT. Dichos marcos han sido publicados por la Asociación GSM sin fines de lucro, la Fundación de Seguridad de IoT, el Consorcio de Industria de IoT y otras organizaciones.

Otros estándares y regulaciones de seguridad de IoT incluyen lo siguiente:

• En septiembre de 2015, la Oficina Federal de Investigaciones publicó un anuncio de servicio público, número de alerta del FBI I-091015-PSA, que advertía sobre las posibles vulnerabilidades de los dispositivos IoT y ofrecía recomendaciones de defensa y protección del consumidor.
• En agosto de 2017, el Congreso presentó la Ley de mejora de la seguridad cibernética de IoT, que exigiría que cualquier dispositivo IoT vendido al gobierno de EE. UU. no use contraseñas predeterminadas, no tenga vulnerabilidades conocidas y ofrezca un mecanismo para parchear los dispositivos. Si bien estaba dirigido a aquellos fabricantes que crean dispositivos que se venden al gobierno, estableció una línea de base para las medidas de seguridad que todos los fabricantes deberían adoptar.
• Si bien no es específico de IoT, el Reglamento General de Protección de Datos, publicado en mayo de 2018, unifica las leyes de privacidad de datos en toda la Unión Europea. Estas protecciones se extienden a los dispositivos IoT y sus redes.
• En junio de 2018, el Congreso presentó la Ley sobre el estado de las aplicaciones, investigaciones y tendencias modernas de IoT (Ley SMART IoT) para proponer al Departamento de Comercio que realice un estudio de la industria de IoT y brinde recomendaciones para el crecimiento seguro de los dispositivos IoT. Si bien SMART IoT ACT aún no se ha convertido en ley, se presentó en varias sesiones del Congreso.
• En septiembre de 2018, la legislatura del estado de California aprobó el proyecto de ley 327 del Senado, Privacidad de la información: dispositivos conectados, una ley que introdujo requisitos de seguridad para los dispositivos IoT vendidos en EE. UU.
• En febrero de 2019, el Instituto Europeo de Estándares de Telecomunicaciones publicó el primer estándar aplicable a nivel mundial para la seguridad de IoT del consumidor, un área que anteriormente no se había abordado a tal escala.
• En enero de 2020, el Senado aprobó la Ley de Desarrollo de la Innovación y Crecimiento de la Internet de las Cosas, o Ley DIGIT. Este proyecto de ley requiere que el Departamento de Comercio convoque un grupo de trabajo y cree un informe sobre IoT, incluida la seguridad y la privacidad.
• En diciembre de 2020, el expresidente Donald Trump firmó el Ley de mejora de la ciberseguridad de IoT de 2020, dirigiendo el Instituto Nacional de Estándares y Tecnología para crear estándares mínimos de ciberseguridad para aquellos dispositivos IoT controlados o propiedad del gobierno de los EE. UU.
• En 2022, entró en vigor la Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos del Reino Unido. Esta ley requiere que todos los dispositivos inteligentes de los consumidores puedan mitigar y protegerse contra los ataques cibernéticos.

Los ataques de IoT y la seguridad varían

Los métodos de seguridad de IoT varían según la aplicación de IoT específica y su lugar en el ecosistema de IoT. Por ejemplo, los fabricantes de IoT, desde los fabricantes de productos hasta las empresas de semiconductores, deben concentrarse en incorporar seguridad en sus dispositivos desde el principio, hacer que el hardware sea a prueba de manipulaciones, crear hardware seguro, garantizar actualizaciones seguras, proporcionar actualizaciones y parches de firmware y realizar pruebas dinámicas.

Los desarrolladores de dispositivos IoT deben centrarse en el desarrollo de software seguro y la integración segura. Para aquellos que implementan sistemas IoT, la seguridad y la autenticación del hardware son medidas críticas. Asimismo, para los operadores, mantener los sistemas actualizados, mitigar el malware, auditar, proteger la infraestructura y salvaguardar las credenciales son claves. Sin embargo, con cualquier implementación de IoT, es fundamental sopesar el costo de la seguridad frente a los riesgos antes de la instalación.

Los puntos finales de IoT se han convertido en los principales objetivos de los ciberdelincuentes. Descubre el Las 12 principales amenazas de seguridad de IoT y cómo priorizarlos.