Los riesgos del Internet de las Cosas

La ciberseguridad es más compleja que nunca. Dado el auge del Internet de las Cosas (IoT en inglés) y la Inteligencia Artificial (IA), en 2020 cada persona generará 1,7 megabytes de información por segundo. A medida que las nuevas tecnologías evolucionan, los ciberdelincuentes se adaptan y descubren nuevos métodos de piratería para capturar datos confidenciales. La IA y el IoT tienen el potencial de revolucionar la sociedad, pero ¿qué sucede cuando estas nuevas tecnologías son controladas por ciberdelincuentes?

A menos que las soluciones de seguridad basadas en hardware se implementen en dispositivos del Internet de las cosas e Inteligencia Artificial, los usuarios se vuelven vulnerables a los ataques cibernéticos. Toda persona con acceso a uno o más de estos dispositivos tendrá vía libre para introducirse en gran cantidad de ordenadores y redes. Los bancos, los gobiernos, la industria de la salud e incluso los hogares son campos de riesgo importantes. Los ciberdelincuentes saben que, cuantos más dispositivos estén interconectados, más datos habrá que puedan verse comprometidos.

La IA fue creada para que, gracias al machine learning o aprendizaje automático, fuera más allá de las capacidades del ser humano y viera patrones que nosotros no somos capaces de percibir. Además, las máquinas pueden evolucionar y detectar patrones para los que ni siquiera han sido programadas. Analizar los datos con estas capacidades abre muchas posibilidades, pero al mismo tiempo conlleva numerosos riesgos. Los peligros asociados a la ciberseguridad no se tienen en cuenta de la manera correcta al fabricar dispositivos IoT e IA.

Internet de las Cosas en instituciones financieras

Gracias al Internet de las Cosas, introducimos información de nuestros dispositivos móviles, tarjetas bancarias y datos pago en multitud de plataformas (como Google) y dispositivos automatizados (como Alexa de Amazon) para comprar online. El atractivo de tener esta información almacenada en estos sitios virtuales es la comodidad que aporta a la vida cotidiana.

Sin embargo, la realidad es que mucha gente no sabe realmente lo que sucede con dicha información. Para los fabricantes, el enfoque principal de los dispositivos es proporcionar la mejor experiencia y usabilidad al cliente. Pero ¿cuánta tecnología se emplea en la protección de los datos que almacenan este tipo de dispositivos?

Las aplicaciones de banca móvil tienen la capacidad de aprender los patrones de los usuarios, sabiendo así cuándo y dónde compran. También pueden detectar patrones fuera de sus operaciones semanales estándar. Así, emplean esta información para crear perfiles de datos de cada individuo.

En general, estas apps bancarias cuentan con mayor seguridad que otros dispositivos de IoT e IA. Además, avisan al usuario de posibles alertas de fraude. Sin embargo, la existencia masiva de datos sirve de incentivo a terceros para invertir tiempo y esfuerzo para acceder a ellos y manipularlos.

Tecnología y sector salud

La incorporación de la tecnología al sector salud lleva asociados unos riesgos que se concentran aún más a nivel individual. Muchos de los dispositivos empleados en esta industria son de tipo embebido, pudiéndose encontrar sobre el cuerpo o en su interior, como los marcapasos o sistemas de transfusión.

A pesar del gran desarrollo tecnológico presente en estos, el bajo nivel de ciberseguridad que se les implementa los hace susceptibles de infectarse con malware. Esto significa que los datos almacenados son vulnerables de ser leídos y extraídos por terceros.

Para evitar esto, los dispositivos deben incorporar un nivel de confianza que eviten intrusiones y accesos no autorizados. Sin embargo, esto podría dar lugar a una situación de vida o muerte. Si un pirata informático accede a un marcapasos y lo desactiva o provoca que funcione mal deliberadamente, el paciente puede morir.

Casas inteligentes

Las casas inteligentes cada vez incorporan más tecnología basado en el Internet de las Cosas y la Inteligencia Artificial. Neveras, bombillas, persianas, televisores… Al igual que ocurre con la banca online, el atractivo de esta tecnología es facilitar la rutina y permitir que las personas centren su atención en aspectos más interesantes.

La clave para los dispositivos domésticos inteligentes es su capacidad de predecir las necesidades de la persona y sus patrones diarios. Rastrean la interacción de la persona con el dispositivo y almacenan la información. Los datos grabados se comunican a un servidor, pero si este enlace de comunicación no es seguro, se convierte en una ruta fácil para que los piratas informáticos accedan al hogar. Del mismo modo, si los datos almacenados en el servidor o la base de datos no están encriptados, existe el riesgo de violarlos.

Aunque el concepto de que la nevera sea pirateada resulte hasta divertido, la realidad es que el peligro va mucho más allá de que un hacker sepa cuántos huevos comemos. El acceso a estos datos y los de otros dispositivos conectados le brinda al pirata informático un acceso al hogar que puede causar serios problemas de seguridad. Muchos de estos dispositivos son tan pequeños que incrustar un Trusted Platform Module (TPM) no es prioritario ni rentable para el proveedor, pero sí termina afectando al consumidor a largo plazo.

Internet de las Cosas en automoción

Durante los últimos años se ha disparado la incorporación de dispositivos IoT en los vehículos. Esto conlleva que los usuarios terminen facilitando información sobre sus hábitos al volante. Estos dispositivos suelen vincularse a proveedores de seguros, con lo que tienen acceso a todos los datos y pueden reducir las tarifas del seguro si conducen dentro de un determinado conjunto de parámetros. Sin embargo, los riesgos de ciberseguridad de este tipo de dispositivos pueden afectar tanto al consumidor como a la empresa vinculada.

Una vez que un vehículo está conectado a Internet, se crea una conexión entre el proveedor de seguros y el vehículo, exponiendo toda la información a los piratas informáticos. Los dongles OBD-II pueden proporcionar acceso remoto a vehículos pudiendo causar daños personales graves, como desactivar los frenos del automóvil.

A mayor escala, los servidores del proveedor de seguros que reciben los datos también pueden convertirse en un objetivo. Potencialmente, los piratas informáticos pueden obtener acceso a los sistemas de fondo y lanzar ataques remotos en flotas de vehículos completos. Finalmente, si las redes no están segmentadas adecuadamente, los hackers pueden obtener acceso a las bases de datos del proveedor, violando ingentes cantidades de datos personales.

Los fabricantes de vehículos también están aumentando la cantidad de sistemas inteligentes que se instalan en los nuevos modelos. Estos sistemas permiten que el coche tenga acceso al teléfono, los contactos, las cámaras y todos los demás datos de un individuo asociados con la «vida inteligente». Toda esta información se retroalimenta al fabricante y sus servidores.

Si se vende un automóvil sin que los datos se limpien correctamente, estos seguirán almacenados en la nube. Ni qué decir tiene que esto abre un amplio abanico de posibilidades y riesgos de seguridad.

Ciberseguridad en 2020

A medida que avanza el 2020, se hace más necesario un incremento significativo en la seguridad de dispositivos con Internet de las Cosas e Inteligencia Artificial. Si un solo dispositivo no proporciona la seguridad adecuada para evitar ataques cibernéticos, toda la red a la que esté conectado queda inmediatamente expuesta. La solución de estas debilidades proporcionará protección a escala individual, corporativa y nacional.