Desde la industria hasta los hogares, los dispositivos conectados a IoT (Internet de las cosas, por sus siglas en inglés) han ganado terreno, su fácil instalación, aplicación en diferentes sectores y hasta la integración de inteligencia artificial han hecho que su demanda tenga un continuo crecimiento. Por otra parte, un equipo conectado a IoT sobre el cual un usuario pone poco esfuerzo en protegerlo podría representar una nueva superficie de ataque para un ciberataque.

Los vectores de ataque sobre estas plataformas han tomado tal relevancia que en el Reino Unido se ha propuesto poner en marcha una nueva ley sobre la cual obligará a los fabricantes a prohibir el uso de contraseñas consideradas débiles o predeterminadas, por ejemplo: admin, 1234, etc. Según el Departamento de Ciencia Innovación y Tecnología, además del periódico británico “The Guardian” esta iniciativa es la primera a nivel mundial.

Adicionalmente dentro de esta ley se menciona que en caso de que un usuario pretenda usar una contraseña débil, el software del fabricante deberá impedirlo.

Algunos usuarios aún desconocen el alcance que un atacante podría realizar con un dispositivo conectado al IoT que fue comprometido, por lo que a continuación se presentan algunos ejemplos:

• Ataques DDoS (Distributed Denial of Service): un atacante podría tomar el control de un equipo para realizar múltiples ciberataques entre los que se destaca los de denegación de servicio, involucrando al equipo en un delito informático.
• Acceso a redes internas: los dispositivos IoT comprometidos pueden actuar como puntos de entrada para que los atacantes accedan a redes corporativas o personales, culminando en escenarios como el bloqueo de información por ransomware, por lo que la información podría nunca ser recuperada y filtrada.
• Exfiltración de datos: los sensores y cámaras de seguridad conectados pueden ser manipulados para recolectar y enviar información sensible a actores malintencionados sin que el usuario esté enterado.

SCILabs reconoce la importancia de proteger los entornos IoT entendiendo que la seguridad en estos dispositivos no es opcional, sino esencial para evitar que se conviertan en herramientas de los cibercriminales, por lo cual se promueve la implementación de prácticas de seguridad robustas. A continuación, se comparten las siguientes recomendaciones:

• Uso de contraseñas robustas: cambiar la contraseña de tu equipo de IoT por una que contenga al menos 12 caracteres donde se incluyan letras mayúsculas, minúsculas, números y símbolos. Evita usar información personal o que te identifique tales como tu fecha de nacimiento cumpleaños o nombre de algún familiar, evita usar secuencias o palabras comunes como Abcd12334, contrasña1233, etc.
• Segmentación de red: asegurar que los dispositivos IoT estén aislados en redes separadas de los sistemas críticos, para minimizar los riesgos en caso de un incidente.
• Actualizaciones frecuentes: mantener todos los dispositivos IoT actualizados con los últimos parches de seguridad.
• Monitoreo continuo: implementar soluciones de monitoreo específicas para IoT que detecten actividades anómalas y posibles compromisos.

La seguridad en IoT es una prioridad para cualquier organización que dependa de dispositivos conectados, al entender y mitigar los riesgos, podemos aprovechar al máximo los beneficios del IoT sin comprometer la seguridad.

Fuentes:

La Vanguardia. (2024, 30 de abril). Reino Unido prohíbe por ley las contraseñas demasiado débiles. La Vanguardia. https://www.lavanguardia.com/vida/20240430/9606216/reino-unido-prohibe-ley-contrasenas-demasiado-debiles-123456.html

National Institute of Standards and Technology (NIST). (n.d.). NIST Cybersecurity for IoT Program. https://www.nist.gov/itl/applied-cybersecurity/nist-cybersecurity-iot-program