El IoT avanza a toda velocidad, ¿qué hacemos con la ciberseguridad?

La expansión del Internet de las Cosas (IoT) parece no tener límites. Baste decir que los dispositivos IoT representan el 54 % de los 21.700 millones actualmente conectados y se prevé que superarán los 30.000 millones en 2025, lo que equivale a unos cuatro dispositivos por cada persona. Entre los campos de aplicación se encuentran los wearables que monitorizan la actividad física, pero también la agricultura, la automoción, la salud, la industria, la educación o la domótica.

Con la creciente difusión de dispositivos IoT, también aumentan las amenazas de ataquespor parte de ciberdelincuentes, saboteadores, hacktivistas o incluso organizaciones estatales. Según Gartner, el 45 % de las organizaciones sufrirá un ataque a la cadena de suministro en los próximos dos años, mientras que el 60 % de las pymes experimentó un ciberataque en el último año. Las pequeñas empresas, que crean cerca del 50 % de los puestos de trabajo en la mayoría de las economías, el año pasado sufrieron un aumento del 424 % de las infracciones cibernéticas.

El daño potencial es enorme. Las estadísticas del National Cyber Security Alliance muestran que el 60 % de las empresas que hayan sufrido una violación de datos cierra en seis meses. Se prevé que el costo del delito cibernético alcance los 10,5 billones en 2025.

El ámbito del cuidado de la salud, los servicios financieros, el comercio minorista, la manufactura, la educación, los servicios públicos, las infraestructuras y el gobierno son objetivos sensibles por una variedad de razones. Security Magazine informó que un tercio de los dispositivos IoT de atención médica presenta riesgos de seguridad cibernética y más de la mitad de los dispositivos en los hospitales contempla alguna vulnerabilidad.

No en vano, según Statista el sector de la seguridad IoT ha experimentado un crecimiento significativo, pasando de 15,3 mil millones de euros en 2021 a 18 mil millones en 2022. Sin embargo, “estas estadísticas no han motivado a todas las empresas a implementar un plan de ciberseguridad”, explica a Fundación Innovación Bankinter Cristina Dolan, ingeniera informática y experta en ciberseguridad. Según ella, “las empresas que no gestionan sus activos digitales corren el riesgo de perder clientes, financiación y capital, y es difícil recuperarse de la pérdida de reputación”.

Lo cierto es que las mayores amenazas proceden de los hábitos de los usuarios, que deberían (al menos) asegurarse de cambiar las credenciales de inicio de sesión predeterminadas, separar la red donde se conectan los dispositivos IoT de aquella que usan para trabajar, actualizar constantemente el dispositivo (software y firmware), establecer políticas para que algunos dispositivos no puedan acceder a recursos más sensibles y críticos. De hecho, Dolan avisa de que “con el uso creciente de IA con capacidades generativas y predictivas basadas en el aprendizaje de filtraciones de contraseñas, han evolucionado herramientas como PassGAN, capaces de adivinar el 51 % de las contraseñas en un minuto, el 65 % en una hora, el 71 % en un día y el 81 % en un mes”.

«La educación ciudadana en ciberseguridad y seguridad es de suma importancia, especialmente para los segmentos de la población más vulnerables. Las personas pasan en promedio 3 horas y 15 minutos en su teléfono cada día y el 49 % de los usuarios abre una aplicación 11 veces al día, usa 10 aplicaciones por día y 30 por mes. Los dispositivos móviles representan un gran porcentaje del fraude digital, y el usuario promedio no tiene los conocimientos suficientes para proteger sus datos”, avisa la experta.

Dolan también añade que, “a menos que los usuarios comiencen a tomarse la ciberseguridad más en serio, los riesgos no serán manejables”. Tampoco es una cuestión generacional: “si bien los millennials son expertos en tecnología y constituyen la generación más numerosa de la fuerza laboral, tienden a ser menos conscientes de sus riesgos cibernéticos”.

Muchos dispositivos conectados a la red, desde smartphones, cámaras de vigilancia, hasta automóviles, recopilan información continuamente. Algunos datos se recopilan con cierto nivel de permiso del consumidor con la expectativa de mejores servicios, primas de seguro más bajas o servicios de ubicación activa. Pero a menudo los usuarios no son conscientes de las amenazas potenciales.

Además de las recomendaciones básicas de higiene cibernética, como cambiar continuamente contraseñas, mejor si son largas y complejas, y no compartirlas, existen varias tecnologías que ayudan a proteger los usuarios. Por ejemplo, razona Dolan, “existe la autenticación multifactor (MFA) que utiliza códigos de verificación que se envían a través de mensajes SMS, correos electrónicos o aplicaciones especiales de autenticación móvil que son una forma sencilla de agregar una capa adicional de seguridad cuando la opción está disponible”. Por otro lado, añade, “el método de autentificación de la identidad rápida en línea (FIDO) permite la autenticación a través de una combinación de hardware, escaneo biométrico, como una huella digital o reconocimiento facial, y una clave privada”.

Si el ciudadano medio es objeto de correos electrónicos de phishing, malware (botnet) y estafas de ingeniería social, desde el punto de vista de las organizaciones, explica Dolan, “las puertas traseras en los dispositivos empresariales no son la única vía de acceso no autorizado a los datos, de hecho, las amenazas internas son probablemente las más peligrosas. Empleados, pero también contratistas, proveedores y terceros, suelen tener un mayor acceso a la información confidencial. Por tanto, restringir la información según sea necesario, así como monitorear la actividad de los usuarios, implementar políticas y procedimientos de seguridad sólidos y brindar capacitación continua sobre seguridad es vital para reducir el riesgo”.

Una investigación de Statista muestra que el 33 % de las empresas que han adoptado el IoT considera los problemas de ciberseguridad relacionados sobre todo con la falta de personal calificado. Por su parte, la Universidad de Stanford ha estimado que el 85 % de todas las violaciones de datos son causadas por errores de los empleados. En este sentido, Dolan asegura que “la educación cibernética es el disuasivo más poderoso para el crimen cibernético y cada vez son más las empresas que ofrecen a sus empleados formación sobre seguridad, pero los piratas informáticos son cada vez más creativos”.

Los reguladores de todo el mundo están subiendo el listón de la seguridad cibernética y la protección de datos, lo que está aumentando la conciencia en los niveles más altos de las organizaciones. En todo caso, matiza la experta, “deben monitorear de manera proactiva sus redes para buscar posibles amenazas y vulnerabilidades en tiempo real, en lugar de esperar a que ocurra un incidente”.

Hay muchas tecnologías que ofrecen herramientas efectivas para defenderse, como firewalls, software anti-malware o sistemas de detección y prevención de intrusiones. En particular, Dolan aconseja implementar “sistemas de detección y respuesta de red (NDR) para monitorear el tráfico de red e identificar comportamientos sospechosos o anomalías; soluciones de gestión de información y eventos de seguridad (SIEM), que brindan monitoreo en tiempo real sobre los incidentes de seguridad; herramientas de protección de puntos finales y análisis de comportamiento de usuarios y entidades (UEBA), para identificar actividades anómalas o sospechosas”. Pero, sobre todo, asegura, “la concientización y la educación son las herramientas más poderosas para disminuir los riesgos cibernéticos”.