Unisys: La conciencia del mercado no es suficiente a la hora de llevar la seguridad a los entornos IoT

Esta entrevista forma parte del Tema de Portada del número de octubre de IT Digital Security. Puedes descargarte la revista en este enlace. 

¿Cree que el mercado está concienciado para aplicar seguridad al IoT?

Después de todo el eco que están teniendo los diferentes incidentes de seguridad en todo el mundo, creo que son pocos los sectores que no tienen conciencia sobre la importancia de la seguridad. Sin embargo, la conciencia del mercado no es suficiente a la hora de llevar la seguridad a los entornos IoT. Es necesario que la seguridad se incorpore en toda la cadena: desde su origen en fábrica hasta llegar a los consumidores finales, pasando por quienes son los encargados de configurar y administrar dichos dispositivos.

¿Cuáles son los mayores retos a la hora de integrar seguridad en el IoT?

Si describimos los desafíos considerando el proceso que hay desde la fabricación hasta llegar al consumidor final, probablemente el primer reto sea conseguir que todos fabricantes de IoT prioricen la seguridad antes que el “Time to market”. El apetito que tienen ciertos fabricantes por conseguir un posicionamiento en el mercado, o simplemente por vender, está generando que muchos productos y soluciones de IoT salgan al mercado sin los mínimos controles de seguridad que deberían tener de fábrica. Si sumamos a esto el crecimiento exponencial que está teniendo el consumo de IoT, nos encontramos con un entorno donde hay millones de productos (muchos de ellos de bajo precio) conectados a nivel mundial con bajos niveles de seguridad.

En segundo lugar, los dispositivos IoT necesitan de dos acciones críticas por parte de sus administradores para incrementar su seguridad: una adecuada configuración inicial (cambio de claves de fábrica por ejemplo) y un adecuado mantenimiento (actualización de parches por ejemplo). En muchos casos ninguna de estas dos acciones es tomada (bien por descuido de los administradores o bien porque algunos dispositivos no lo permiten) y tenemos entonces que muchos de los potenciales objetivos de los ciberdelincuentes se convierten en dispositivos que caen bajo su control.

Finalmente, y ya en el lado del consumidor final, el reto probablemente consista en proteger cualquier dato tratado en los dispositivos de IoT y cualquier infraestructura conectada al dispositivo IoT.

¿Cuál cree que será el mayor uso que los ciberdelincuentes harán del IoT?

El IoT está convirtiéndose en un interesante objetivo de ataque porque actualmente se desenvuelve en un entorno relativamente nuevo donde existe un volumen gigantesco de dispositivos configurados y mantenidos con bajos niveles de seguridad, lo que potencialmente puede permitir primero, acceso a datos fáciles de monetizar y segundo, acceso a infraestructuras críticas.

En el primer caso, los datos pueden ser de diversa naturaleza. Por poner ejemplos: indicadores de consumo (energía eléctrica, agua, …), indicadores de salud de una persona, indicadores de posicionamiento geográfico, entre otros. Todos estos datos adecuadamente tratados pueden convertirse en información que permitiría por ejemplo identificar comportamientos de personas y organizaciones, lo que tiene un inmenso valor en el mercado digital.

En el segundo caso, las motivaciones son muchas: espionaje, sabotaje, hack-tivismo, entre otras. En cualquier caso, estas motivaciones también pueden monetizarse.

Entre tantas opciones abiertas a los ciberdelincuentes, me resulta complicado apostar por la que tendrá mayor uso, pero en el corto plazo, sin duda creo que serán los ataques a infraestructuras críticas los que mayor impacto tendrán sobre el bienestar de la sociedad y probablemente las que mayor eco tengan en los medios de comunicación.

¿Por qué se espera que el IoT sea menos inseguro que un dispositivo móvil?

Si entiendo bien la pregunta, a igualdad de condiciones de seguridad entre el IoT y un dispositivo móvil, la respuesta podría ser por el nivel de interacción requerido con el usuario. En el móvil se entiende que existe un mayor grado de interacción y por tanto un mayor riesgo asociado al factor humano.

En su opinión, ¿cuáles serían las recomendaciones básicas de seguridad para el IoT?

Las recomendaciones básicas serían las siguientes:

Comprar dispositivos IoT que cumplan de fábrica con los requisitos de seguridad recomendados para el escenario al que vayan a estar expuestos.

Realizar configuraciones de seguridad adecuadas (cambio de contraseñas de fábrica como mínimo) y tomar las acciones recomendadas por los fabricantes.

Restringir el acceso a los dispositivos IoT sólo a quienes sea estrictamente necesario.

¿Cuál es la propuesta de su compañía para proteger el Internet de las Cosas?

Unisys ofrece servicios de análisis, diseño, implementación, despliegue y operación de soluciones IoT y cloud. Para ello cuenta con Centros de Excelencia (CoEs) de IoT&Cloud en EEUU, Europa e India y con un equipo de ingeniería de más de 200 personas desplegadas en todo el mundo y con la posibilidad de desplazarse a más de 100 países, allí donde Unisys tiene presencia. Por otro lado, Unisys tiene soluciones propias para la securización de entornos IoT, basadas en su familia de soluciones STEALTH.