Seguridad IoT: cómo proteger los dispositivos y minimizar los ciberataques

30 de junio de 2021, by Juan Pérez-Bedmar

La seguridad en IoT es una de las mayores preocupaciones que tienen los responsables de innovación y transformación digital de las grandes empresas. Es especialmente relevante en empresas industriales de sectores críticos por su impacto sobre la sociedad, como el Eléctrico, el del Gas o el del Agua.

No se trata de una preocupación carente de fundamento. Las empresas están expuestas a multitud de amenazas de ciberseguridad que pueden causarles daños económicos irreparables. 

El coste medio por ciberataque para el conjunto de las empresas en España en 2020 fue de 66.800 euros y se acerca al medio millón en los casos de las empresas de mayor tamaño, un coste que es curiosamente un 30% superior a la media de otros países de nuestro entorno, además de un daño reputacional muy grave. 

Miguel Lopez

Esto es especialmente relevante en empresas de ámbito industrial, sobre todo aquellas de sectores críticos por su impacto sobre la sociedad, como el Eléctrico, el del Gas o el del Agua.  Cada vez es más habitual encontrar en medios generalistas casos de ciberataques a plantas que llegan a inutilizar parte de las infraestructuras o incluso alterar su funcionamiento, con el riesgo que eso implica


Te puede interesar leer sobre: Cómo debe protegerse una Utility de ciberataques como el sufrido por Colonial Pipeline

En 2010, cuando la percepción en la sociedad acerca de la ciberseguridad industrial era aún muy vaga, apareció Stuxnet, un malware que algunos describen como la primera ciberarma

El propósito original de Stuxnet era retrasar el programa nuclear iraní y para ello se inoculó en una central nuclear de Irán donde logró controlar las válvulas y sensores de presión de las centrifugadoras de uranio enriquecido. 

Desde aquel episodio, ciberataques similares se han venido produciendo en todo tipo de infraestructuras críticas, como centrales térmicas, subestaciones eléctricas o plantas de tratamiento de aguas, como por ejemplo el que ocurrió hace tan solo 4 meses en Florida: unos ciberdelincuentes perpetraron un ataque contra la planta potabilizadora que daba suministro a una gran población del estado americano. 

Los ciberdelincuentes lograron alterar los niveles de los compuestos químicos que se emplean en la planta para suministrar el agua corriente a los hogares de la ciudad.

Si bien el problema se detectó a tiempo y no hubo que lamentar envenenamientos en la población, este caso sirvió de voz de alarma de los riesgos de ciberseguridad a los que se enfrentan las empresas proveedoras de suministros básicos a la población. 

Esta retahíla de casos, junto con la proliferación de las tecnologías IoT en estos sectores ha puesto en valor la necesidad de asegurar la integridad de los despliegues IoT en entornos industriales para garantizar su ciberseguridad. 

Descárgate la guía sobre normativas, estándares y recomendaciones de ciberseguridad en el IoT Industrial
Nueva llamada a la acción

Los riesgos de seguridad en dispositivos IoT

El Internet de las cosas (IoT por sus siglas en inglés) es un conjunto de tecnologías que permite la unión del mundo físico con el mundo digital. 

Mediante sensores, actuadores y otros llamados dispositivos IoT se recoge información de lo que ocurre en el mundo físico que es procesada de manera digital posteriormente. Haciendo una analogía con el cuerpo humano, IoT son los sentidos del mundo digital, la forma en que sabe lo que ocurre en el mundo físico y su interfaz de comunicación con él.

IoT supone el primer paso en el camino de la transformación digital que muchas empresas dan. Con ello, las empresas buscan llegar a transformar el modelo de negocio mediante la digitalización de procesos y la explotación de datos. Y para ello lo primero es recoger esos datos. 

Mediante despliegues IoT, las empresas pueden conectarse con sus propios equipos industriales, recoger datos de cómo se comportan y tomar decisiones informadas a partir de ellos. Muchos de estos dispositivos IoT tienen capacidades avanzadas de computación y pueden llegar a operar remotamente alguno de estos equipos industriales. Precisamente por esto es muy importante proteger adecuadamente estos dispositivos.

El dispositivo IoT es, sin embargo, el elemento más vulnerable de toda la cadena de ciberseguridad. 

Y la principal razón es la falta de actualizaciones de su firmware


Para saber más te recomendamos esta lectura: La importancia de actualizaciones OTA para Dispositivos IoT industriales

Sectores ya maduros como el de los ordenadores personales y el de la telefonía móvil, es muy habitual que los dispositivos reciban notificaciones de nuevas versiones disponibles, parches de seguridad, etc. que, una vez descargadas e instaladas, protejan a los smartphones y portátiles frente a las últimas vulnerabilidades que hayan ido apareciendo en el mercado. 

Sin embargo, en el mundo IoT esto dista mucho de ser la norma, y es muy común que, una vez desplegados los dispositivos IoT en su entorno físico, nunca sean actualizados, lo que eleva tremendamente el riesgo de ser víctima de un ciberataque. 

Como ya explicamos en el artículo sobre la clave en la ciberseguridad IoT,  hay, principalmente, dos realidades que explican por qué no se están actualizando los dispositivos IoT de la misma forma que sí lo hacen nuestros teléfonos y ordenadores:

  • La inmadurez del mercado del IoT industrial: el hecho de que estemos en la “adolescencia” del IoT hace que la ciberseguridad no se perciba como una primera necesidad. Si pusiéramos en una especie de pirámide de Maslow todas las necesidades que motivan que una empresa realice un proyecto IoT, hay otras preocupaciones anteriores a la ciberseguridad y que sostienen esa pirámide. Y precisamente ahí radica el problema: preocuparse de la seguridad en IoT cuando ya has desarrollado el proyecto, en lugar de hacerlo desde el diseño, impide que se haga correctamente. 
  • La complejidad de gestionar un entorno distribuido, remoto y tremendamente heterogéneo: El propio concepto de IoT se apoya en la existencia de multitud de “cosas” (things) distribuidas. Poder asegurar la actualización de todos estos dispositivos de manera eficiente y escalable hace que sea imprescindible contar con un sistema seguro de gestión remota. De lo contrario, el coste de tener que actualizar periódicamente los dispositivos IoT de manera local haría inviable cualquier proyecto de cierta envergadura. A esto se añade que la falta de estándares (de iure o de facto) en el desarrollo de dispositivos IoT complica esta gestión, y deja en manos de cada proveedor dar respuesta (o no) a esta necesidad.

Seguridad en IoT: recomendaciones para proteger los dispositivos

En artículos como éste del INCIBE o en otros realizados por consultoras de ciberseguridad se recoge cuáles son las vulnerabilidades más habituales en IoT. Principalmente, casi siempre giran en torno a los siguientes aspectos:

  • Uso de contraseñas débiles o embebidas
  • Servicios de red inseguros
  • Uso de interfaces inseguras
  • Falta de mecanismos de actualización
  • Falta de seguridad en el almacenamiento y transferencia de datos
  • Inadecuada gestión de los dispositivos

Frente a toda esa lista de vulnerabilidades típicas, hay organizaciones como OWASP que publican en su web guías de recomendaciones indicando qué aspectos deben tenerse en cuenta a la hora de desarrollar soluciones IoT y qué medidas de protección deben tomarse. 

En esta línea, Barbara IoT ha recogido en una guía de ciberseguridad cuáles son las normativas, estándares y recomendaciones que se deben seguir para asegurar la integridad de cualquier solución IoT que una empresa decida adoptar.

Si te ha interesado este artículo y quieres saber más sobre el IoT ¡Contacta con nosotros!

Si buscas desarrollar un proyecto IoT, contáctanos