Se avecinan fechas en las que muchos recibiremos regalos en forma de equipos electrónicos: relojes, juguetes, cámaras, asistentes de voz, televisores…
Todo un repertorio de dispositivos IoT que entrarán a forma parte de nuestra vida cotidiana.
Pues bien, siendo realistas, nos enfrentamos a lo que podría ser una seria ciberamenaza. Así de sencillo.
Recomendaciones y estándares
Empecemos por lo más evidente: los dispositivos IoT ofrecen potenciales puntos de entrada a nuestra privacidad a la vez que amplían lo que se conoce como la superficie de ataque para los ciberdelincuentes.
Algunos organismos internacionales como la ETSI llevan tiempo elaborado estándares para afrontar los desafíos de ciberseguridad que traen consigo los nuevos dispositivos IoT. Por el momento, no han pasado de ser recomendaciones aunque es posible que, en un futuro, muchas de estas recomendaciones se conviertan también en obligaciones.
Sin embargo, y mientras llegamos a ese punto, hemos pensado que sería interesante cultivar la ciber-concienciación —de usuarios y fabricantes— como mecanismo para la mejora de la seguridad de nuestros dispositivos digitales. De ahí que planteemos las siguientes recomendaciones básicas.
Tres consideraciones elementales
Los aspectos más relevantes que debemos considerar cuando decidimos instalar y utilizar un dispositivo IoT son: el uso de contraseñas, el contacto con el fabricante, y la privacidad de los datos.
Hemos elegido estos tres puntos porque nos parecen los más simples de gestionar desde el punto de vista del usuario. No pretendemos en modo alguno responder a todos los riesgos que se presentan cuando hacemos uso de estos dispositivos. De facto, existen ataques que son de elevada complejidad o que se producen por acceso directo a los equipos y que difícilmente son controlables.
Primero: Cambio de contraseña
Cambiar las contraseñas y los usuarios por defecto debe ser una obligación para cualquier persona que instale un dispositivo IoT.
Muchos de estos elementos vienen con usuarios y contraseñas por defecto (como, por ejemplo, “admin, admin”) que nunca se modifican.
Esta situación a menudo es aprovechada por los ciberdelincuentes para acceder a los dispositivos y controlar así su funcionamiento. Por eso, resulta indispensable cambiar las claves de acceso y si es posible incorporar mecanismos adicionales de autenticación.
Los dispositivos deben disponer de procedimiento sencillos para cambiar las contraseñas de los usuarios o incluso implantar mecanismos alternativos de autenticación —por ejemplo, a través de sistemas biométricos o tokens físicos o lógicos.
Si el equipo viene con una contraseña ya predefinida —que no puede modificarse— será necesario verificar que esta no responde a un patrón sencillo de repetir; por ejemplo, que la contraseña no se corresponde con el identificador del dispositivo seguido de un número. Cuanto más aleatoria sea mejor será su seguridad.
Asimismo, el dispositivo debe disponer de mecanismos para evitar ataques de fuerza bruta como, por ejemplo, limitar el número de intentos de autenticación de un usuario. Esta limitación debería ser fijada por el administrador de forma simple y sencilla.
Segundo: Contacto con el fabricante
Con cada dispositivo IoT que instalamos establecemos una relación con su fabricante. Por ello es necesario comprobar que el fabricante proporciona un punto de contacto para la comunicación de cualquier problema de seguridad y que este se compromete a actuar de forma diligente en su resolución, por ejemplo, a través de respuestas a tiempo o con actualizaciones periódicas sencillas de instalar —tanto manual como automáticamente.
Además, se hace necesario verificar el periodo de soporte y mantenimiento que ofrece el fabricante para garantizar la continuidad del producto. De otro modo, la identificación de una nueva vulnerabilidad en el dispositivo IoT nos dejaría a expensas de los ciberdelincuentes en caso de que las actualizaciones de seguridad dejaran de recibirse.
Tercero: Protección de datos personales
En la mayoría de los casos, cuando se instala un dispositivo IoT es necesario intercambiar datos personales con el equipo o el fabricante. Pues bien, estos intercambios deberían llevarse a cabo a través de canales seguros de comunicación.
El fabricante, además, debería dejar claro qué datos personales va a recoger durante la fase de funcionamiento del dispositivo. Más aún, los intercambios de datos deberían respetar la normativa europea de protección de datos personales —GDPR en las siglas en inglés. Aquí, por ejemplo, se incluye la posibilidad de borrar cualquier dato de usuario cuando así se quiera. Este es un aspecto importante que debemos considerar. Algunos países fuera de la UE tienen diferentes legislaciones —menos restrictivas— en cuanto al uso de datos personales.
Una nota final: Obligaciones de los fabricantes de dispositivos IoT
Para acabar, en los últimos meses hemos visto que países, como Reino Unido, están impulsando legislaciones que impondrán obligaciones a los fabricantes para mejorar la ciberseguridad de estos dispositivos IoT.
También la Unión Europea recientemente ha presentado su Propuesta de Reglamentación Europea sobre los requisitos de ciberseguridad de productos con elementos digitales EU (2019/1020). Se trata de una propuesta que en este momento está bajo debate.
Estas obligaciones —con sus correspondientes multas por incumplimiento— se extenderán al software desarrollado, la identificación de dispositivos, el cifrado de los datos internos, las conexiones a redes, la resiliencia o el intercambio de información con el exterior. Todos son aspectos que serán de directa aplicación también a los dispositivos IoT y contribuirán a su ciberseguridad, aunque no por ello dejará de ser indispensable que nosotros, como usuarios finales, actuemos también con cierta precaución.
