El rol crítico de las telcos en la protección de los hogares inteligentes
30 de Julio de 2018La opinión de Gagan Singh, SVP & GM Mobile, Avast
Se espera que el número de dispositivos inteligentes del hogar alcancen los 38.5 billones en 2020, de acuerdo con Juniper Research. La cifra incluye todos los dispositivos, desde parlantes hasta lavarropas inteligentes, diseñados para hacer las vidas de esos hogares más sencillas. Dichos dispositivos inteligentes vienen desafortunadamente con un potencial de vulnerabilidad de seguridad que puede poner las casas y los datos de sus dueños en peligro, así como afectar negativamente sus negocios. Asegurar estos dispositivos conectados a Internet de las Cosas (IoT, por sus siglas en inglés) es un desafío dado la diversidad de artefactos y sistemas con los que se comunica. Hay un punto central en los hogares para el control del flujo de los datos transmitidos por cualquier dispositivo conectado a él: ese punto neurálgico es el router de la casa.
De acuerdo con una investigación conducida por IHS Markit, se espera que el porcentaje de puertas de entrada al hogar o routers proporcionados por proveedores de banda ancha crezca un 90 por ciento en 2019*. La colaboración entre los proveedores de banda ancha y los vendedores de sistemas de seguridad constituye, por ello, una poderosa relación que le devuelve el control a los consumidores y les permite mantener a salvo sus hogares y dispositivos inteligentes de una manera simple y eficiente.
Los riesgos que enfrentan los consumidores
Los atacantes pueden penetrar cualquier dispositivo inteligente a través de la red doméstica si su punto de acceso, el router, no está asegurado contra estas amenazas de intrusión, lo cual puede ocasionar una amplia variedad de ataques.
IoT es un ejemplo en el cual las debilidades en la ciberseguridad pueden abrir paso a amenazas a la seguridad física. Un buen ejemplo de ello son los dispositivos de IoT hackeados, que pueden informar a los atacantes si los dueños de casa están o no en ella, según el dispositivo que estén usando. Si el termostato de un hogar inteligente o sus luces están programados para comportarse de forma diferente por una semana o dos, los intrusos asimismo pueden asumir que los propietarios están de vacaciones o en el trabajo y, por ejemplo, robar esa casa vacía. Otra forma en la cual los criminales pueden aprovechar la información proporcionada por los dispositivos inteligentes para entrar en una casa es a través de Alexa de Amazon o el dispositivo Google Home. Los criminales pueden fácilmente ordenar a estos parlantes inteligentes que abran las puertas de la casa y, por ejemplo, si el bloqueo de la puerta de entrada está controlado por este dispositivo inteligente, los agresores pueden desbloquearlo y abrirla.
Un riesgo muchas veces menospreciado cuando se habla de dispositivos de IoT es la posibilidad de que se pueda filtrar información personal, así como el registro de los movimientos de los dispositivos. Es destacable cuánta información puede almacenar un dispositivo de IoT: las cámaras web pueden registrar todo cuando a lo que estén apuntando, los televisores inteligentes y asistentes personales pueden capturar el sonido y las luces inteligentes y termostatos pueden aportar pistas sobre si una familia está o no en casa.
Los hackers no necesitan hackear el servidor de una compañía para apoderarse de información, en cambio pueden ir directamente al dispositivo del usuario. Los motores de búsqueda de IoT, que son capaces de hacer listas de dispositivos vulnerables y que pueden ser aprovechados para intrusiones, están disponibles libremente en internet. Si un hacker consigue ingresar a todos o la mayoría de los dispositivos de IoT en la casa de alguna persona, será capaz de monitorear sus movimientos, escuchar sus conversaciones privadas y potencialmente atacar a esa persona o vender a otros la información que ha colectado, como los datos de su cuenta bancaria o de su tarjeta de crédito, para que se aprovechen de ella.
Los riesgos que los proveedores de telecomunicaciones y otros enfrentan
Una de las amenazas más comunes que actualmente apunta hacia los dispositivos de IoT pasa inadvertida por los consumidores, pero tiene un considerable impacto negativo en los proveedores de banda ancha y en otras compañías. La esclavización de los dispositivos inteligentes para que se comporten como bots en una botnet, permite a los cibercriminales usar dispositivos infectados para llevar adelante varios ataques, incluidos ataques de DDoS que ponen fuera de servicio a los servidores.
Los cribercriminales usan los ataques de DDoS para hacer que una red quede no disponible y para ello buscan abrumar a la máquina objeto de dicho ataque con un enorme número de solicitudes de acceso, enviadas desde múltiples dispositivos. Esto sobrecarga al computador objetivo, atascando su ancho de banda y luego volviendo imposibles las conexiones legítimas. Para el usuario, los ataques de DDoS pueden pasar fácilmente inadvertidas dado que corren en el background del computador. Sin embargo, pueden causar grandes daños a las compañías. Un ejemplo de ello es el botnet que se enfiló contra los servidores Dyn y puso fuera de línea a sitios tan populares como Twitter y Reddit en 2016.
Apenas unos pocos meses después del ataque de DDoS a Dyn, la compañía alemana de telecomunicaciones Deustche Telekom fue objeto de un ataque de DDoS. El ataque puso fuera de combate a enrutadores pertenecientes a 1.25 millones de usuarios e interrumpió su conexión a internet por varias horas.
Resolviendo el desafío de la amenaza a la seguridad de los dispositivos inteligentes
Los fabricantes de dispositivos están bajo presión para producir dispositivos inteligentes y sacarlos al mercado rápidamente y a un precio accesible. No ven la seguridad como una prioridad o no están muy familiarizados con ella, lo que implica que distribuyen dispositivos vulnerables y con una seguridad muy baja que con frecuencia no pueden ser actualizados por los consumidores. El fabricante de una tostadora, por ejemplo, quien ahora puede estar produciendo tostadoras inteligentes, nunca antes había tenido que pensar en asegurar sus artefactos de los hackers.
Agregar soluciones de seguridad como prioridad para los dispositivos inteligentes, como heladeras y termostatos es complejo. En virtud de la gran diversidad de dispositivos, los vendedores de soluciones de seguridad necesitan desarrollar una solución para cada plataforma. Más aún, los recursos de los dispositivos de IoT son limitados y esos recursos están programados para cumplir con una tarea específica. Añadir una solución de seguridad a dispositivos inteligentes puede potencialmente arruinar el desempeño del dispositivo y afectar negativamente la experiencia de usuario. Mientras más datos de los dispositivos inteligentes son transmitidos a la red, el nivel de protección de la red es la solución más sensible para la protección de los dispositivos de IoT.
El enfoque actual sobre cómo brindar seguridad a los dispositivos de IoT es más un enfoque de “hágalo usted mismo“ que un abordaje estructurado -una brecha que está generando grandes oportunidades para los cibercriminales. Los consumidores, por ejemplo, pueden tomar medidas básicas para proteger sus dispositivos inteligentes, pero simplemente no hay suficientes opciones disponibles para darles una protección total en este momento. Adicionalmente, cuando se trata de implementar las opciones que figuran en los manuales de seguridad, con base en 30 años de experiencia en la industria de seguridad, sabemos que la mayoría de los usuarios son blandos al cumplir con los pasos básicos como actualizar el firmware o las contraseñas por defecto, si los usuarios eligen cumplirlos las medidas que pueden tomar son a menudo limitadas.
Las autoridades pueden hacer cumplir los estándares y leyes de la industria que los fabricantes aún deben cumplir, pero incluso si las leyes existen no son suficientes para proteger a los consumidores. Con la velocidad con la que evoluciona hoy la tecnología, es prácticamente imposible para las autoridades crear leyes con un sentido práctico.
Los proveedores de telecomunicaciones y quienes comercializan soluciones de seguridad son dos jugadores que desempeñan un rol importante en la seguridad de los artefactos conectados al IoT. Si trabajan en conjunto pueden resolver los retos del consumidor relativos a cómo proteger sus redes domésticas y sus dispositivos. Los proveedores de banda ancha se encuentran en una posición privilegiada para proporcionar seguridad dado que a menudo proveen el router, las redes que contienen los datos del usuario y realizan la conexión en los aparatos de uso diario de los usuarios. Además, tienen el poder para erigir una infraestructura y una red seguras, que le permitan al usuario confiar en la seguridad de su conexión.
Los proveedores de servicios de seguridad, por otro lado, pueden vigilar el flujo de datos a través de la red y usar tecnología de machine learning e inteligencia artificial para entender esos datos, identificar anomalías y bloquearlas. Las soluciones construidas con la tecnología de la Inteligencia Artificial pueden aprender constantemente del comportamiento típico y de los patrones de uso en los dispositivos inteligentes. Como resultado, las soluciones de seguridad pueden identificar a los ataques en el momento en el que ocurren y responder a ellos en tiempo real, cuando las anomalías ocurren en el tráfico de un hogar inteligente. La clave para hacer esto exitosamente recae en la big data, pues a mayor cantidad de datos e insights proveniente de su base de usuarios que tenga un proveedor de servicios de seguridad, mejores posibilidades tendrán sus soluciones de detectar amenazas nunca antes vistas.
Como los proveedores de telecomunicaciones trabajan juntos con quienes comercializan soluciones de seguridad, juntos pueden construir una relación de confianza con sus clientes y proporcionarles una plataforma de seguridad fundamental, construida en el router, que mantenga a los hogares conectados de forma segura y libres de ataques. Este tipo de soluciones les brinda a los suscriptores transparencia en la actividad de las redes domésticas, dándoles el control remoto de sus dispositivos caseros para, por ejemplo, permitirles apagar la estufa o el termostato. Se puede, incluso, incorporar funciones de control parental, que aseguren que los niños solo tengan acceso a contenido apropiado para ellos, al monitorear su comportamiento durante el uso de sus dispositivos móviles.
Con la cifra de dispositivos de IoT creciendo exponencialmente, a la par que aumenta la cifra de amenazas que los tienen en la mira, es imperativo que los proveedores de banda ancha y los comercializadores de soluciones de seguridad trabajen juntos para brindar a los consumidores soluciones simples y robustas que protejan su vida digital.
(*) Gagan Singh: SVP & GM Mobile, Avast