Con la rápida adopción del Internet de las cosas (IoT) nos movemos hacia un mundo completamente interconectado, desde organizaciones inteligentes a ciudades inteligentes.
Nadie puede negar el poder que representa IoT, así como los retos sin precedentes que plantea esta tecnología en relación a la ciberseguridad. Por lo tanto, su implementación debe ser pensada de forma estratégica y debe partir de una colaboración a gran escala y debe ser asumida con responsabilidad, apertura, accesibilidad y, sobre todo, confianza entre las partes involucradas: proveedores, integradores de sistemas, consultores, departamentos de TI y especialistas en ciberseguridad.
En la medida en que dependemos cada vez más de los servicios basados en la web y de dispositivos conectados crecen también los riesgos y vulnerabilidades, en especial si no reconocemos la importancia de la ciberseguridad en relación con el IoT.
En la actualidad, en México hay 79.1 millones de usuarios de internet, lo que representa una penetración de 67% de la población del tráfico de Internet en México; otra cifra interesante es que 9 de cada 10 usuarios prefieren conectarse a través de un teléfono móvil (1).
Asimismo, el mercado de IoT tendrá un valor de USD$1,133 millones a nivel nacional y se espera que para 2022 alcance los USD$3,956 millones, según datos de la consultora Frost & Sullivan.
Dentro de estos dispositivos conectados están las cámaras, los controladores de puertas y otros dispositivos y sistemas de seguridad física que son más inteligentes y potentes que nunca y que como hacen parte de las redes públicas y privadas están cada vez más interconectados.
Esto facilita su administración, acelera las comunicaciones y aumenta la colaboración. Pero por encima de todo estos dispositivos ayudan a los profesionales de la seguridad a mantener a salvo a las personas y organizaciones.
Sin embargo, esta creciente conectividad no solo reporta beneficios. Las amenazas cibernéticas emergentes, los peligros y la actividad criminal originan nuevas vulnerabilidades y riesgos.
Conectividad es igual a vulnerabilidad
Entre más sistemas interconectados existan mayor es el riesgo de sufrir un ciberataque. Por ejemplo, en 2018 se reportó que México fue uno de los países más vulnerados en cuanto a ciberataques, después de Estados Unidos y el Reino Unido; además, en el primer semestre del año pasado los ataques y amenazas de malware incrementaron 215%, lo que representó 25 mil millones de intentos de intrusión (2).
En las redes, tanto públicas como privadas, los dispositivos se están interconectando cada vez más para facilitar su administración, acelerar las comunicaciones y aumentar el intercambio de datos.
Sin embargo, en los últimos cinco años ha habido una proliferación en la disponibilidad de herramientas de ciberataques y los delincuentes cibernéticos se han vuelto más sofisticados. Sin la seguridad adecuada, estos dispositivos conectados son una puerta de entrada a las redes personales, corporativas y gubernamentales de las que se pueden robar datos confidenciales o plantar un malware.
Ataques como WannaCry que inutilizó más de 200.000 ordenadores en 150 países, entre ellos algunos de infraestructuras críticas como hospitales y fábricas que se vieron obligados a detener su producción, o las pérdidas por más de 10,000 millones de dólares que generó NotPetya, el ciberataque más costoso hasta el momento, son ejemplos del gran impacto y de lo costosa que puede resultar una excesiva flexibilidad en nuestras prácticas de ciberseguridad en el mundo empresarial y gubernamental.
La ciberdelincuencia: un tema más actual que nunca
“Dado que la interconectividad es inevitable, hay riesgos a los que debemos estar atentos. Muchos incidentes ocurren en redes no seguras, se atacan dispositivos que carecen de características básicas de ciberseguridad, por esta razón está aumentando la velocidad a la que se piratean estas redes y dispositivos no protegidos ”, comentó Abelardo A. Tous-Mulkay, director general de Genetec México.
“Si bien las empresas reconocen la importancia de la ciberseguridad, en la práctica aún no están lo suficientemente alertas para revisar y mejorar las normas y prácticas de seguridad de la industria para protegerse a sí mismas y a sus clientes en un entorno cada vez más complejo y amenazador”, señala el director general de Genetec México.
Las pequeñas y medianas empresas (PYMES) son blanco frecuente para los piratas cibernéticos, según IBM, el 62% de todos los ataques cibernéticos (4,000 por día, aprox.) son contra PYMES.
Estos ataques se producen en función de una serie de factores: las organizaciones continúan agregando dispositivos y sistemas a sus redes y tienen políticas de dispositivos propios (BYOD) deficientes. Con frecuencia, los servicios se subcontratan para reducir los costos y, a menudo, dependen de los instaladores para implementar prácticas de seguridad efectivas, lo que los convierte en “objetivos flexibles” de ataque.
Al igual que ocurre con cualquier entidad interconectada, los sistemas de seguridad pueden ser blanco de un ataque. El ataque de los piratas informáticos a un sistema de seguridad puede adoptar una gran cantidad de formas, incluidos los ataques de fuerza bruta, de analizadores de paquetes y los de intermediarios (man-in-the-middle). En algunos casos, los delincuentes cibernéticos pueden escuchar y modificar las comunicaciones, incluso cuando los usuarios creen que su sistema es seguro. Esta variedad de estrategias de ataque requiere una variedad igual de niveles de defensa.
¿Qué medidas tomar?
De acuerdo con los expertos de Genetec al elegir una solución de seguridad basada en IP, las organizaciones y entidades de gobierno deben examinar y evaluar las políticas de seguridad cibernética del proveedor:
- ¿Cuáles son sus principios y prácticas?
- ¿Los mecanismos de seguridad incorporados que se ofrecen en sus soluciones?
- ¿Utilizan comunicaciones encriptadas de múltiples capas, capacidades de protección de datos y autenticación de usuario y protección de contraseña sólidas?
Asegurarse de que estos elementos sean considerados en un proyecto de seguridad IP ayuda a proteger a las empresas y gobiernos contra ataques maliciosos, además de que también garantiza que solo aquellos con privilegios específicos puedan acceder o usar recursos, datos y aplicaciones.
Si ocurre un hecho lamentable y se produce una violación de datos, los costos de recuperación pueden alcanzar cientos de millones de dólares, además de que el daño a la reputación de la empresa o entidad gubernamental afectada es a menudo irreversible.
National Cybersecurity Alliance descubrió que el 60% de las pequeñas empresas no pueden sostener sus negocios más de seis meses después de un ataque cibernético importante.
Por ello, Genetec sugiere integrar soluciones seguras, auditadas y en conformidad con las normas, que ayuden a proteger la privacidad sin comprometer la seguridad, así como a incorporar líneas de defensa múltiples y variadas, es decir, contar con una estrategia de defensa en profundidad de seguridad cibernética, para enfrentar las amenazas comunes y emergentes, y proteger los entornos empresariales y del sector público.
Es por esto que a medida que IoT tiene una mayor penetración y las regulaciones evolucionan, será fundamental fortalecer las políticas de seguridad cibernética para todos los sistemas, incluidas las soluciones de seguridad física: “Para que las empresas combatan el desafío de la ciberseguridad es necesario que haya una integración verdadera y confiable entre la seguridad cibernética y física, y una responsabilidad y asociación compartidas entre todas las partes involucradas”, concluyó Abelardo A. Tous-Mulkay.
Fuente: Tecnoseguro