Ciberseguridad | Contenidos didácticos

Ciberseguridad en dispositivos IoT: ¿qué es y cómo implementarla?

Los ciberdelincuentes pueden acceder a los dispositivos IoT para robar información confidencial, poner en riesgo la seguridad de las personas, perjudicar actividades empresariales o industriales, etc. Por esta razón, los expertos recomiendan conocer las amenazas asociadas al Internet de las Cosas y poner en práctica una serie de medidas de ciberseguridad y privacidad.

interpretación de la tecnología IoT

Es importante familiarizarse con las ciberamenazas y prestar atención a la ciberseguridad en dispositivos IoT.

Por Redacción.

En 1982, una máquina de Coca-Cola se convirtió en el primer aparato conectado a Internet, aunque el término Internet de las Cosas (IoT, por sus siglas en inglés) no sería empleado hasta 1999. Hoy, dicha tecnología es sinónimo de numerosas ventajas. Y también de ciberamenazas. Por ello, es importante familiarizarse con estas últimas y prestar atención a la ciberseguridad en dispositivos IoT.

¿Qué es el Internet de las Cosas?

Explicado de una forma muy sencilla, el Internet de las Cosas es precisamente eso: cosas conectadas a la Red. Y, lógicamente, dicho término también engloba la tecnología que facilita que los dispositivos conectados a Internet puedan comunicarse con la nube o entre ellos.

En el caso del Instituto Nacional de Ciberseguridad (Incibe), se refiere al IoT como la digitalización de dispositivos comunes que permiten enviar y recibir información a través de Internet. Pero también mediante otras tecnologías como Bluetooth o Zigbee.

Por lo que respecta al ámbito doméstico, atrás quedaron los tiempos en los que solamente se conectaban ordenadores a la Red. Hoy en día, dispositivos como televisores, cafeteras, frigoríficos, relojes, altavoces o impresoras, por poner algunos ejemplos, también tienen conexión a Internet.

Por su parte, el IoT industrial (IIoT) hace referencia a los dispositivos inteligentes que se emplean, entre otros fines, para que las empresas mejoren la productividad, reduzcan sus costes y sean más eficientes. Algo que consiguen, en buena medida, gracias a los datos aportados por los dispositivos IoT relativos a la producción, la cadena de suministro, la logística o los recursos humanos. En este contexto, la ciberseguridad industrial desempeña un importante papel.

una mujer interactúa con un altavoz inteligente
Hoy en día es habitual que en cualquier vivienda o negocio haya un dispositivo IoT; por ejemplo, un altavoz inteligente.

¿Cómo funciona la tecnología IoT?

Como se ha comentado, la tecnología IoT recopila e intercambia datos. Y de cara a lograr dicha finalidad, se vale de tres componentes fundamentales:

  • Dispositivos IoT. También denominados dispositivos inteligentes, recopilan datos de diferentes fuentes (su propio entorno, las entradas de los consumidores o los patrones de uso) y los comunican a través de Internet.
  • Aplicación de IoT. Recibe datos de dispositivos IoT. Y una vez analizados –normalmente, con machine learning o inteligencia artificial (IA)–, toma decisiones que son comunicadas a los dispositivos, que responden de forma inteligente a las entradas.
  • Interfaz de usuario gráfica. Se utiliza para administrar, registrar y controlar dispositivos IoT.
representación de cloud computing, wifi y dispositivos electrónicos
El ‘cloud computing’ es un complemento muy importante en la gestión de los datos de los dispositivos IoT.

¿Para qué se usan los dispositivos IoT?

Sin duda, el propósito del Internet de las Cosas es mejorar nuestras vidas. Hablar de dispositivos IoT es hacerlo de aparatos que tienen numerosos fines, desde controlar nuestra salud con un reloj inteligente hasta reducir el consumo de energía o monitorear una cámara de videovigilancia.

Actualmente, el Internet de las Cosas goza de un gran protagonismo en las siguientes actividades:

  • Seguridad y protección.
  • Ciudades inteligentes (smart cities).
  • Automatización de viviendas (domótica).
  • Salud (monitoreo y telemedicina).
  • Industria y fabricación.
  • Energía.
  • Logística y transporte.
  • Agricultura.
  • Educación.
  • Entretenimiento.

Y la implementación de la tecnología IoT se verá reforzada con el cada vez mayor uso de la inteligencia artificial. Una combinación, denominada AIoT (por sus siglas en inglés), que cambiará la forma en que vivimos, trabajamos y nos relacionamos.

un hombre controla su frecuencia cardíaca con un reloj inteligente
Muchas personas controlan su frecuencia cardíaca mediante el uso de relojes inteligentes.

¿Cuáles son los riesgos que entraña el Internet de las Cosas?

Por lo expuesto, queda claro que el Internet de las Cosas aporta numerosos beneficios a los ciudadanos. No obstante, la ciberdelincuencia también se sirve del IoT para sacarle partido. Así pues, los dispositivos IoT entrañan una serie de riesgos. Entre ellos:

  • En algunos casos, no contar con medidas de seguridad desde el diseño y/o incluir contraseñas por defecto que no suelen ser seguras.
  • Recolectan gran cantidad de información confidencial de los usuarios que resulta muy apetecible para los ciberdelincuentes.
  • Existe la posibilidad de que los datos personales sean filtrados mientras se recopilan y son transmitidos desde otro equipo a un dispositivo IoT.
  • Si un dispositivo IoT presenta una vulnerabilidad de seguridad, puede poner en peligro una red doméstica o perjudicar a otros usuarios.
  • En algunos casos, los dispositivos IoT son empleados como puerta de entrada para generar riesgos de seguridad física o de otro tipo y exigir un pago para que la víctima regrese a la normalidad.
  • Si llegan a ser controlados por una botnet, los dispositivos IoT comprometidos son usados para llevar a cabo ataques de denegación de servicio distribuido (DDoS, por sus siglas en inglés). Como revela su denominación, su fin es colapsar un objetivo para impedir que preste un servicio con normalidad. Por ejemplo, Netflix y Twitter han sido objeto de ataques DDoS. Y los propios dispositivos pueden ser inutilizados por los ciberatacantes para que no cumplan su función.

Por último, conviene tener presente que los dispositivos IoT obsoletos y sin soporte representan un peligro si se continúan utilizando.

 

una botnet asociada a diferentes dispositivos IoT
Los dispositivos IoT controlados por una ‘botnet’ pueden ser usados para llevar a cabo ciberataques DDoS.

Ejemplos de amenazas a dispositivos IoT

Como ejemplos de amenazas a este tipo de dispositivos, en Segurilatam nos hemos ocupado de asuntos como:

De ahí, en resumen, que la ciberseguridad en dispositivos IoT adquiera una gran importancia. Algo a lo que contribuyen tanto las normas internacionales de carácter público o privado como las medidas a implementar por parte de usuarios privados y organizaciones.

automóvil hackeado
Si los ciberdelincuentes hackean un automóvil pueden llegar a comprometer la seguridad de sus ocupantes.

¿Qué normas internacionales hay en materia de privacidad y ciberseguridad en dispositivos IoT?

Si bien no existe un estándar de referencia a nivel mundial, el auge del Internet de las Cosas ha dado lugar a la aparición de una serie de normas internacionales enfocadas en la privacidad y la ciberseguridad en dispositivos IoT. Entre ellas, las siguientes son algunas de las más relevantes:

  • ISO/IEC 30141. La norma ISO/IEC 30141 proporciona un vocabulario común en todo el mundo para diseñar y desarrollar aplicaciones de IoT. Ello permite desplegar sistemas fiables, seguros, protegidos, respetuosos con la privacidad y capaces de afrontar ciberataques.
  • ISO/IEC 27400. En cuanto a la norma ISO/IEC 27400, se enfoca en proporcionar medidas técnicas y organizativas para garantizar la seguridad y privacidad en sistemas IoT.
  • RGPD. El Reglamento General de Protección de Datos europeo exige a responsables y encargados de tratamiento la aplicación de las medidas necesarias para garantizar la protección de los datos recogidos por los dispositivos IoT de uso personal y doméstico.
  • NIST Cybersecurity Framework. Desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) de EEUU, el NIST Cybersecurity Framework es un marco aplicable a organizaciones cuyo enfoque de ciberseguridad esté centrado en tecnologías de la información, sistemas de control industrial, sistemas ciberfísicos, tecnología y dispositivos IoT, etc. Concretamente, es útil para asegurar la integridad y confidencialidad de los datos en el Internet de las Cosas.
  • UL2900. Desarrollado por UL Solutions, UL 2900 es un estándar de ciberseguridad en dispositivos IoT muy utilizado para mitigar los riesgos asociados al Internet de las Cosas.
  • Ley de Mejora de la Ciberseguridad del IoT. A través de la Ley de Mejora de la Ciberseguridad del IoT se establece que el NIST y la Oficina de Administración y Presupuesto (OMB, por sus siglas en inglés) de EEUU tomen medidas específicas para reforzar la ciberseguridad en dispositivos IoT.

Ya que nos hemos referido a EEUU, a partir de 2024, tal y como ha informado Segurilatam, los dispositivos IoT contarán con un certificado de ciberseguridad. De este modo, los consumidores estadounidenses podrán elegir dispositivos que sean más ciberseguros y, por ende, menos vulnerables a los ciberataques.

un hombre escanea un código QR con su celular
En 2024, mediante el escaneo de un código QR, los estadounidenses podrán saber si un dispositivo IoT es ciberseguro.

Consejos de ciberseguridad en dispositivos IoT

En definitiva, los dispositivos IoT son de gran utilidad y han sido concebidos para hacernos la vida más fácil. Pero, como ha quedado expuesto, conllevan una serie de riesgos de ciberseguridad y privacidad. Por ello, como norma general, los expertos sugieren poner en práctica estos consejos de ciberseguridad en dispositivos IoT:

  1. Adquirir dispositivos que permitan configurar los ajustes de seguridad.
  2. Si es necesario utilizar una app móvil, debe descargarse de sitios web oficiales y, por lo tanto, de confianza.
  3. Leer atentamente las condiciones de privacidad asociadas al servicio del dispositivo IoT antes de aceptarlas.
  4. No utilizar nombres de usuario genéricos o fáciles de adivinar por los ciberdelincuentes.
  5. Al acceder a estos últimos, deben generarse contraseñas seguras. Y siempre que sea posible, hacer uso de la autenticación multifactor.
  6. Actualizar los dispositivos para disponer siempre de la última versión.
  7. Comprobar la seguridad física de los dispositivos y aplicar las medidas necesarias para evitar manipulaciones por parte de terceros.
  8. Implementar canales de comunicación seguros para cifrar o filtrar la información que se envía y recibe desde los dispositivos IoT. En este sentido, una buena medida es usar un router wifi bien configurado, una red privada virtual (VPN, por sus siglas en inglés) o un cortafuegos.
  9. Mantenerse al día de las ciberamenazas relacionadas con el IoT a través de las últimas noticias de ciberseguridad y privacidad publicadas por medios de comunicación fiables.

En lo referente al ámbito empresarial, en Segurilatam ofrecemos unas recomendaciones de ciberseguridad en dispositivos IoT para empresas. Y aquellos que estén interesados en ampliar dicha información para crear un entorno seguro en su organización, pueden descargar la guía Seguridad en la instalación y uso de dispositivos IoT, especialmente orientada a empresarios.

imagen de un candado de seguridad con usuario y contraseña
Elegir un nombre de usuario original y generar contraseñas robustas es esencial para proteger los dispositivos IoT.
Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad