Tecnológicas
El IoT abre la puerta a una nueva era dorada del ciberdelito
El vicepresidente de investigación de Trend Micro reclama más regulación y señala a los fabricantes de dispositivos conectadosrn
21 marzo, 2019 07:00El internet de las cosas trae un listado de ventajas inmenso a nuestra vida, es evidente. Desde lo más visible, como pedirle a Alexa que registre y realice nuestra compra, hasta lo menos perceptible pero más importante, como los sistemas que gestionan nuestro consumo de agua o luz en casa. Sin embargo, como todo en esta vida, también tiene su cara B: abre la puerta a un sabotaje mucho más sencillo de acometer y más difícil de cazar. Así lo ve al menos Rik Ferguson, vicepresidente de seguridad e investigación de Trend Micro.
Los dipositivos conectados son ahora una de las prioridades de investigación de la compañía de ciberseguridad, donde más vulnerabilidades han detectado. "Todas las herramientas sensorizadas que permiten que el agua se distribuya, que los equipajes se desplacen en un aeropuerto, que los equipos industriales trabajen de forma automática... son sectores en los que podemos reconocer muchas vulnerabilidades", explica a INNOVADORES durante la celebración del foro de ciberseguridad en la nube CloudSec.
Para Ferguson, todos ellos da paso a una nueva era de la ciberdelincuencia que va mucho más allá de que nos roben algunos documentos con un ransomware. "La atención y la educación hacia los sistemas de secuestro de datos han hecho que se frenen", argumenta, por lo que los criminales buscan nuevos focos, como las infraestructuras críticas o los dispositivos conectados.
Y a medida que su penetración crece en hogares y empresas, las puertas hacia la ciberdelincuencia más allá de ordenadores, móviles o tabletas también también se amplían y surge una cuestión evidente: ¿qué hacemos para evitar que nuestras neveras, lavadoras o televisiones no sean hackeadas? Es una respuesta compleja, dice Ferguson. Pero la responsabilidad excede a su juicio al consumidor. "La mayoría de dispositivos IoT no disponen de una interfaz de usuario. Son cosas que enchufas y funcionan, pero no puedes instalar ningún software".
Si los antivirus no son una opción, ¿entonces quién se responsabiliza de que nadie aproveche las vulnerabilidades de estos sistemas? "La responsabilidad es de los fabricantes ,pero hay también un amplio espacio para la regulación", sentencia. Para este representante consejero de la Europol en cuestiones de ciberdelincuencia, la actividad intergubernamental para establecer regulaciones consensuadas es un paso crucial para evitar estos ataques.
"Necesitamos estándares en los dispositivos conectados, como existen en otros productos, que garanticen que no van a ser hackeados porque el riesgo que representan para el usuario es real", dice. "Y no podemos esperar que quien compra el dispositivo se encargue de averiguar si es seguro o no. Las preguntas que te haces si te compras una lavadora es cómo limpia, cuánta energía consume... pero ninguna sobre firewalls o cómo se parchean las vulnerabilidades".
Sin embargo, el sector industrial es el que debe estar en mayor estado de alerta porque las empresas seguirán siendo el gran target de los delincuentes. "Buscan el menor esfuerzo y la mayor recompensa, y esto está en las compañías".
A su juicio, se debería seguir un camino parecido al que se ha abierto con la GDPR e involucrar en el proceso a los fabricantes. "Las empresas tienen que preferir acatar las regulaciones a pagar las multas, como sucedía en el pasado". Y la importancia de esto se magnifica cuando miramos al futuro, cada vez más cercano, de la computación cuántica.
"Estamos todavía lejos desde una perspectiva de hardware", puntualiza, pero reconoce que hará los ataques criptográficos mucho más sencillos. "Lo que consideramos hoy seguro, no podemos considerarlo para siempre". Pero hace una llamada a la esperanza asegurando que, aunque será utilizada para el ataque, también lo será para reforzar nuestra seguridad.
Fomentar el 'hackeo bueno'
Detectar las vulnerabilidades antes que los delincuentes es fundamental para que no puedan aprovecharse de ellas. Por eso Trend Micro ha creado lo que llama 'Zero Day initiative' o 'iniciativa día cero', un programa mediante el que buscan fallos de seguridad en sistemas y dispositivos de cualquier compañía. Quienes los detectan son recompensados por el hallazgo y Tren Micro avisa "privadamente" a las empresas para que los solucionen. Si no lo logran, entonces publican el anuncio "para que los usuarios se protejan". "Es una forma ética de hacer negocios», argumenta Ferguson. «Avisamos antes de que alguien más se dé cuenta y lo explote".