El Internet de las Cosas (IoT) ha revolucionado nuestra vida cotidiana, lo que ha permitido que una multitud de dispositivos físicos, como electrodomésticos, vehículos, dispositivos médicos, entre otros, se conecten a la red y ofrezcan una amplia gama de servicios y funcionalidades. Desde hogares inteligentes hasta ciudades conectadas, el IoT promete un futuro de eficiencia, automatización y comodidad. Sin embargo, esta interconexión masiva también introduce una serie de riesgos de seguridad que, si no se abordan adecuadamente, pueden provocar consecuencias catastróficas. En México, un país que está adoptando con rapidez estas tecnologías, los desafíos y riesgos asociados con el IoT son en particular significativos.

En este texto, abordaré los riesgos más inmediatos que, en mi opinión, pueden enfrentar los usuarios de esta tecnología. Asimismo, presentaré algunas estrategias que, tanto a nivel organizacional como individual, pueden implementarse para mitigar estos riesgos. Es fundamental considerar que tanto los riesgos como las estrategias de seguridad evolucionan al mismo ritmo que el desarrollo tecnológico, por lo que la premisa central de este artículo es la necesidad de una vigilancia constante.

El auge del IoT en México

México ha sido testigo de un crecimiento notable en la adopción de tecnologías IoT en diversos sectores. Los hogares inteligentes, con dispositivos que controlan la iluminación, la temperatura y la seguridad, están ganando popularidad. En el ámbito industrial, las fábricas inteligentes utilizan sensores y sistemas conectados para optimizar la producción y reducir costos. Las ciudades mexicanas también están comenzando a implementar soluciones de ciudades inteligentes, como sistemas de tráfico conectados y redes de vigilancia avanzada. Tan solo basta echar un vistazo a las aplicaciones de la Ciudad de México, en las cuales ya podemos guardar nuestros documentos con biométricos, como la licencia de conducir. Incluso están aquellas aplicaciones que para acceder a un estadio de futbol capturan un reconocimiento facial del individuo.

Este rápido crecimiento es impulsado por varios factores. La reducción en los costos de los sensores y la conectividad ha hecho que el IoT sea más accesible para empresas y consumidores. Además, las iniciativas gubernamentales y las inversiones en infraestructura de telecomunicaciones están facilitando la expansión de la tecnología IoT. No obstante, este avance no está exento de riesgos.

En el mundo cibernético, identificar riesgos no es una actividad única y definitiva; es un proceso recurrente que implica caracterizar los riesgos posibles y estimar su potencial impacto en la organización.

Riesgos que pueden enfrentar los usuarios de esta tecnología

  1. Vulnerabilidad de los dispositivos.

Los dispositivos IoT a menudo son diseñados con un enfoque en la funcionalidad y la velocidad de comercialización, y dejan la seguridad en un segundo plano. Muchos dispositivos vienen con contraseñas predeterminadas que los usuarios no cambian, lo cual los hace vulnerables a accesos no autorizados. Además, la falta de actualizaciones periódicas de seguridad permite que las vulnerabilidades conocidas permanezcan sin corregir, exponiendo los dispositivos a posibles ataques.

  1. Interconexión y efecto en cadena.

La naturaleza interconectada del IoT significa que una vulnerabilidad en un solo dispositivo puede comprometer una red entera. Por ejemplo, un termostato inteligente hackeado puede proporcionar una puerta de entrada a otros dispositivos conectados en la misma red, como cámaras de seguridad o sistemas de alarmas. Este efecto en cadena aumenta significativamente el alcance y el impacto potencial de los ataques. Por ello es indispensable tener en cuenta de manera permanente el principio de Zero Trust (confianza cero).

Hace poco, tuve la oportunidad de escuchar una charla del equipo de Red Team. En ella, se mencionó un interesante caso en el que, mediante un USB Drive con scripts de automatización, lograron crear una VPN para un cliente. Sin embargo, en este caso, la VPN se configuró de manera inversa, lo que permitió que la red corporativa se conectara a la red doméstica del cliente.

  1. Recolección y exposición de datos sensibles.

Los dispositivos IoT recopilan y transmiten grandes cantidades de datos, incluyendo información personal y patrones de comportamiento. Si estos datos no se protegen adecuadamente, pueden ser interceptados y utilizados para fines maliciosos, como el robo de identidad o el espionaje. En México, donde la protección de datos personales aún enfrenta desafíos significativos, este riesgo es particularmente preocupante.

Aunque las instituciones bancarias han hecho una gran inversión en la protección de datos, aún existen brechas que pueden ser explotadas por atacantes. Según varios estudios, las organizaciones que implementan soluciones de DLP (Data Loss Prevention) pueden experimentar una reducción significativa en la frecuencia de incidentes de pérdida de datos. De hecho, se estima que la implementación de DLP puede reducir los incidentes de pérdida de datos en un rango de 50% a 70%.

  1. Ataques distribuidos de denegación de servicio (DDoS).

Se denomina botnets de dispositivos IoT a las redes de aparatos conectados a Internet, como cámaras de seguridad, enrutadores, electrodomésticos inteligentes y otros, que han sido infectados con malware y están controlados de manera remota por un atacante. Estas botnets han demostrado cómo los dispositivos inseguros pueden ser explotados para llevar a cabo ataques DDoS masivos, que pueden derribar sitios Web y servicios críticos, causando interrupciones significativas. En un contexto en el que los servicios digitales son cada vez más esenciales, la capacidad de los atacantes para utilizar dispositivos IoT como armas representa una amenaza grave.

¿Cómo olvidar aquel ataque cibernético que sacudió al sector bancario justo en un fin de semana, dejando a los usuarios sin acceso a los servicios de banca en línea y pago con tarjeta en múltiples establecimientos? Este ataque, dirigido específicamente al principio de disponibilidad dentro del modelo CIA (confidencialidad, integridad y disponibilidad), demostró la vulnerabilidad de los sistemas bancarios ante este tipo de amenazas.

  1. Inseguridad en infraestructuras críticas.

Muchos dispositivos IoT se utilizan en infraestructuras críticas, como sistemas de energía, agua y transporte. Un ataque exitoso contra estos sistemas puede ocasionar consecuencias devastadoras, afectando no solo la economía, sino también la seguridad y el bienestar de la población. En México, donde la infraestructura crítica a menudo carece de robustos mecanismos de seguridad, este riesgo es alarmante.

Recordemos la estrategia de defensa en profundidad, también conocida como ‘protección en capas’, un principio fundamental en ciberseguridad que involucra la implementación de múltiples niveles de seguridad para salvaguardar los activos y datos de una organización. Cada capa de seguridad actúa como una barrera adicional, dificultando el acceso de los atacantes a los sistemas. En caso de que una capa sea comprometida, las otras capas están preparadas para mitigar los riesgos y proteger la integridad de los activos.

El contexto de seguridad en México

México se enfrenta a varios desafíos únicos en cuanto a la ciberseguridad. La falta de conciencia y educación entre la población general es un problema persistente. Muchos usuarios no están al tanto de los riesgos asociados con el IoT ni de las mejores prácticas para proteger sus dispositivos. Además, las empresas, especialmente las pequeñas y medianas, a menudo no cuentan con los recursos para implementar medidas de seguridad adecuadas.

La infraestructura de telecomunicaciones en México también presenta debilidades. Aunque ha habido mejoras significativas, muchas áreas rurales y semiurbanas todavía carecen de una conectividad confiable y segura. Esta brecha digital no solo limita la adopción del IoT, sino que también crea puntos vulnerables que los atacantes pueden explotar.

Las regulaciones y políticas de ciberseguridad en México están en desarrollo, pero aún queda mucho por hacer. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares es un paso en la dirección correcta, pero su implementación y cumplimiento presentan desafíos. Además, no existe una normativa específica para la seguridad del IoT, lo que deja muchos dispositivos desprotegidos.

Ejemplos relevantes

Para ilustrar los riesgos del IoT en México, consideremos algunos ejemplos.

  1. Cámaras de seguridad comprometidas.

En 2019, se informó que varias cámaras de seguridad en hogares y negocios en México fueron hackeadas y sus transmisiones en vivo fueron publicadas en línea. Los atacantes aprovecharon contraseñas predeterminadas y falta de actualizaciones de firmware para acceder a estos dispositivos. Este incidente subraya la importancia de cambiar las configuraciones predeterminadas y mantener los dispositivos actualizados.

  1. Sistemas de tráfico vulnerables.

En la Ciudad de México el sistema de semáforos inteligentes es un componente crítico de la infraestructura de la ciudad. Sin embargo, informes han sugerido que estos sistemas son vulnerables a ataques debido a la falta de encriptación y autenticación robusta. Un ataque a estos sistemas podría causar caos en el tráfico, afectando a diario millones de vidas.

  1. Dispositivos médicos conectados.

Los hospitales en México están adoptando dispositivos médicos conectados para mejorar la atención al paciente. Sin embargo, estos dispositivos también son objetivos codiciados por los hackers. Un ataque a un dispositivo médico conectado podría poner en peligro la vida de los pacientes. La falta de protocolos de seguridad adecuados en estos dispositivos es una preocupación creciente.

Estrategias para mitigar los riesgos del IoT

Dada la magnitud de los riesgos asociados con el IoT, es crucial que se implementen estrategias efectivas para mitigar estos peligros. A continuación, se presentan algunas recomendaciones clave para mejorar la seguridad del IoT en México:

  1. Educación y concientización.

La educación es fundamental para mejorar la seguridad del IoT. Los usuarios deben ser informados sobre los riesgos y las mejores prácticas de seguridad. Las campañas de concientización pública pueden desempeñar un papel importante en la promoción de comportamientos seguros, como cambiar contraseñas predeterminadas y mantener los dispositivos actualizados.

A pesar de que los expertos en ciberseguridad reconocen la relevancia de la capacitación del personal en la prevención de amenazas internas, muchos clientes continúan considerando este proceso como un gasto innecesario en lugar de una inversión estratégica. Sin embargo, retomando el principio de Zero Trust, se entiende que el usuario es el eslabón más débil en la cadena de seguridad.

  1. Mejores prácticas de seguridad para fabricantes.

Los fabricantes de dispositivos IoT deben adoptar un enfoque de «seguridad por diseño», integrando medidas de seguridad robustas desde las primeras etapas de desarrollo. Esto incluye el uso de encriptación fuerte, autenticación multifactor y la capacidad de recibir actualizaciones de software automáticas. Las certificaciones de seguridad y los estándares de la industria pueden ayudar a garantizar que los dispositivos cumplan con los requisitos de seguridad mínimos.

  1. Regulaciones y normativas.

El gobierno mexicano debe desarrollar y promulgar regulaciones específicas para la seguridad del IoT. Estas regulaciones deben establecer estándares claros para la seguridad de los dispositivos, incluyendo requisitos para la encriptación, autenticación y gestión de vulnerabilidades. Además, se deben implementar mecanismos de cumplimiento y auditoría para garantizar que los fabricantes y proveedores de servicios cumplan con estas normativas.

Al abordar la protección de la información, no debemos olvidar consultar el National Institute of Standards and Technology (NIST), una institución clave en la promoción de la innovación y la seguridad cibernética. El NIST Cybersecurity Framework (CSF) es un recurso fundamental que proporciona un conjunto de directrices y prácticas recomendadas para gestionar y reducir el riesgo de ciberseguridad. Además, el NIST SP 800-53 es un catálogo esencial de controles de seguridad y privacidad para sistemas de información federales de EE.UU.

  1. Infraestructura de telecomunicaciones segura.

Mejorar la infraestructura de telecomunicaciones en México es fundamental para garantizar la seguridad del IoT. Esto incluye la expansión de redes seguras y confiables en áreas rurales y semiurbanas, así como la implementación de medidas de seguridad robustas en las redes existentes. La colaboración entre el sector público y privado puede facilitar estas mejoras.

  1. Colaboración internacional.

La seguridad del IoT es un desafío global que requiere colaboración internacional. México puede beneficiarse de la cooperación con otros países para compartir información sobre amenazas, mejores prácticas y desarrollos tecnológicos. Participar en iniciativas internacionales y foros de ciberseguridad puede fortalecer la capacidad de México para enfrentar los riesgos del IoT.

  1. Inversión en investigación y desarrollo.

Por último, es destacable que la inversión en investigación y desarrollo (I+D) es esencial para abordar los riesgos emergentes del IoT. El apoyo a la innovación en seguridad cibernética puede conducir al desarrollo de nuevas tecnologías y soluciones que mejoren la seguridad del IoT. Además, fomentar la formación de expertos en ciberseguridad puede ser de beneficio para cerrar la brecha de habilidades en este campo.

 A modo de conclusión

A pesar de los riesgos y desafíos, el Internet de las Cosas (IoT) tiene el potencial de transformar positivamente numerosos aspectos de la vida en México.

En un entorno laboral cada vez más automatizado, es fundamental que todos los usuarios asuman la responsabilidad de la seguridad de sus propios dispositivos. Identificar riesgos de phishing debe ser una habilidad básica para todos, ya que la seguridad de la información depende de la conciencia y la educación de los usuarios. Sin embargo, el estilo de vida actual y la política de BYOD (Bring Your Own Device) nos llevan a utilizar nuestros propios dispositivos en el entorno laboral, lo que puede aumentar el riesgo de ataques cibernéticos.

En mi opinión, dada la importancia de la seguridad de la información, el concepto de BYOD debería replantearse como BYOD (Bring Your Own Disaster). Es crucial que las organizaciones adopten un enfoque proactivo y colaborativo en ciberseguridad para garantizar un futuro seguro y próspero en el ámbito del IoT  en México.

Para lograr esto, es fundamental que los usuarios estén capacitados para identificar y mitigar riesgos de seguridad, y que las organizaciones implementen políticas y procedimientos efectivos para proteger la información y los dispositivos. Al adoptar un enfoque colaborativo, las organizaciones pueden reducir significativamente el riesgo de ataques cibernéticos y garantizar la seguridad de la información en un entorno cada vez más interconectado.

[email protected]