Se avecinan fechas en las que muchos recibiremos regalos en forma de equipos electrónicos: relojes, juguetes, cámaras, asistentes de voz, televisores… Todo un repertorio de dispositivos IoT que entrarán a forma parte de nuestra vida cotidiana.
Pues bien, sin ser tremendistas, nos enfrentamos a una seria amenaza. Así de sencillo. Debemos de ser conscientes de que estos dispositivos ofrecen puntos de entrada a nuestra privacidad y, por tanto, amplían lo que se conoce como la superficie de ataque para los ciberdelincuentes.
Ante esta situación, desde All4Sec destacan tres elementos relevantes que debemos considerar cuando decidamos instalar y utilizar uno de estos dispositivos: el uso de contraseñas, el contacto con el fabricante, y la privacidad de los datos.
Cambio de contraseña
Cambiar las contraseñas y los usuarios por defecto debería ser una obligación para cualquier persona que instalara un dispositivo IoT. Muchos de estos elementos vienen con usuarios y contraseñas por defecto (como, por ejemplo, “admin, admin”) que nunca se modifican. Esta situación ha sido aprovechada en numerosas ocasiones por los ciberdelincuentes para acceder a los dispositivos y controlar así su funcionamiento. Por eso, resulta indispensable cambiar las claves de acceso una vez instalado y si es posible incorporar mecanismos adicionales de autenticación.
Para ello, los dispositivos deben disponer de mecanismos sencillos para cambiar las contraseñas de los usuarios o incluso implantar mecanismos alternativos de autenticación —por ejemplo, a través de sistemas biométricos o tokens físicos o lógicos. Si el equipo viene con una contraseña ya predefinida —que no puede modificarse— será necesario verificar que esta no responde a un patrón sencillo de repetir; por ejemplo, que la contraseña no se corresponde con el identificador del dispositivo seguido de un número. Cuánta más aleatoria sea mejor será su seguridad.
Contacto con el fabricante
Con cada dispositivo IoT que instalamos establecemos una relación con su fabricante. Por ello es necesario comprobar que el fabricante proporciona un punto de contacto para la comunicación de cualquier problema de seguridad y que este se compromete a actuar de forma diligente en su resolución, por ejemplo, a través de respuestas a tiempo o con actualizaciones periódicas sencillas de instalar —tanto manual como automáticamente.
Además, se hace necesario revisar el periodo de soporte y mantenimiento que ofrece el fabricante para garantizar la continuidad del producto. De otro modo, la identificación de una nueva vulnerabilidad en el dispositivo IoT nos dejaría a expensas de los ciberdelincuentes en caso de que las actualizaciones de seguridad dejaran de recibirse.
Protección de datos personales
En la mayoría de los casos, cuando se instala un dispositivo IoT es necesario intercambiar datos personales con el equipo o el fabricante. En esta situación, estos intercambios deberían llevarse a cabo a través de canales seguros de comunicación. El fabricante, además, debería dejar claro qué datos personales va a recoger durante la fase de funcionamiento del dispositivo. Más aún, los intercambios de datos deberían respetar la normativa europea de protección de datos personales —GDPR en las siglas en inglés. Aquí, por ejemplo, se incluye la posibilidad de borrar cualquier dato de usuario cuando así se quiera. Este es un aspecto importante que debemos considerar, puesto que algunos países fuera de la UE tienen diferentes legislaciones —menos restrictivas— en cuanto al uso de datos personales.
Obligaciones de los fabricantes de dispositivos IoT
Para acabar, en los últimos días hemos visto que países, como UK, están impulsando legislaciones que impondrán obligaciones a los fabricantes para mejorar la ciberseguridad de estos dispositivos IoT. Estas obligaciones —con sus correspondientes multas por incumplimiento— se extenderán al software desarrollado, la identificación de dispositivos, el cifrado de los datos internos, las conexiones a redes, la resiliencia o el intercambio de información con el exterior.
Los tres aspectos antes mencionados también estarán entre los puntos de obligado cumplimiento. De hecho, uno de los elementos más destacados en cuanto a este tipo de exigencias para los fabricantes es precisamente el cambio de los identificadores de usuarios y sus contraseñas de acceso; algo sencillo, pero que todos los años es el origen de incontables problemas de seguridad.
Me interesa
- Estos son los tipos de datos que tus dispositivos IoT recogen sobre ti
- La tecnología IoT en el punto de mira de los ciberdelincuentes: automoción, infraestructuras críticas y dispositivos médicos
- La ISO establece su primera norma internacional para el Internet de las Cosas (IoT)
- 5 ventajas de implementar el «Internet of Things» en el entorno laboral
