La importancia de la ciberseguridad en la evolución del IoT

El Internet de las cosas o IoT aún no ha alcanzado la madurez en su desarrollo, pero con todas sus posibilidades, los usuarios y fabricantes han invertido con entusiasmo sin considerar adecuadamente la seguridad.

Los usuarios todavía están descubriendo mucho sobre el IoT, por ejemplo: qué nivel de privacidad será adecuado, dónde se deben establecer los límites legales y cómo hacerlo seguro. Sin embargo, todavía no se han descubierto las respuestas a todas esas preguntas, pero obtenerlas es una carrera contra el tiempo. El problema va más allá del netamente robo de datos. Los atacantes ahora pueden aprovechar la funcionalidad de IoT para promover sus crímenes.

La importancia de IoT también se ha destacado en América Latina y el Caribe. IDC estimó que en 2019 había aproximadamente 400 millones de dispositivos IoT conectados en esta región y proyectó que ese número alcanzaría los mil millones de dispositivos para 2023. En términos de valor económico, esto representó alrededor de US$ 4 mil millones en 2017 y la proyección es que alcance $ 19 mil millones de dólares para 2023, según un estudio titulado “IoT en ALC; Tomando el pulso de Internet de las cosas en América Latina y el Caribe”, realizado por el Banco Interamericano de Desarrollo BID.

Aunque el mercado de IoT se ha retrasado desde una perspectiva global, hay signos alentadores, como el crecimiento de los ingresos proyectado para los próximos años y las tendencias de desarrollo en curso. Recientemente se ha evidenciado que en América Latina y El Caribe, no solo se importan plataformas y soluciones IoT de otras regiones, sino que también hay un sector emergente de diseñadores de dispositivos IoT basados en la región y desarrolladores de aplicaciones verticales, que trabajan en productos y servicios locales innovadores, señala el análisis del BID.

En una investigación reciente realizada por Kumar et. al. «Todo lo considerado: un análisis de dispositivos IoT en redes domésticas», los investigadores identificaron que en 11 ubicaciones geográficas diferentes y entre 15.5 millones de hogares, existen 83 millones de dispositivos IoT.

Las personas están empezando a ver estas amenazas y los gobiernos están introduciendo regulaciones en todo el mundo a nivel regional y nacional. Por ejemplo el gobierno del Reino Unido introdujo recientemente un esquema de certificación, que permitirá etiquetar los dispositivos compatibles con el estándar Secure By Design. Así mismo el gobierno finlandés ha anunciado recientemente que adoptarán medidas similares, y la tendencia es que las fuerzas del mercado ahora también ayudarán a vigilar la seguridad del IoT.

Puede tomar un tiempo para que se sienta toda la fuerza de esa regulación. Con suerte, la industria tomará medidas responsables y continuará desarrollando una buena seguridad en los dispositivos IoT.

“Todavía estamos averiguando qué queremos del IoT, qué datos vamos a dejar que se recopile y con qué nivel de autonomía van a utilizar esos datos recopilados. Desde esa perspectiva, tiene sentido adoptar prácticas de seguridad que puedan aprender y crecer con esta tecnología,” señaló Avesta Hojjati, Director del Área de Investigación y Desarrollo (R&D) de DigiCert.

La inteligencia artificial (AI) podría ayudar en este punto, ya que con AI se puede comenzar no solo a detener las amenazas sino a predecirlas. En el caso de IoT, se pueden construir tecnologías que no solo podrán detectar dispositivos de IoT maliciosos e infectados dentro de una red determinada, sino que también podrán predecir con precisión qué dispositivos serán maliciosos en el futuro o en peligro de ser incluidos.

Al recopilar datos de una variedad de dispositivos a lo largo del tiempo, se podrán identificar patrones, evaluar sistemas operativos obsoletos, contraseñas predeterminadas, bibliotecas vulnerables, falta de autenticación, cifrado y firma, todos los factores que contribuyen a la vulnerabilidad del dispositivo. Esos factores por sí solos no pueden garantizar que un dispositivo se vea comprometido, pero con suficientes datos recopilados a lo largo del tiempo, se podrá predecir la probabilidad que ese dispositivo sea atacado.

Dichos dispositivos son presa fácil para un cibercriminal. Un estudio realizado por el instituto SANS en 2017 mostró que solo toma dos minutos atacar un dispositivo una vez que se conecta a Internet. Para que un motor de IA derivado de algoritmos de Aprendizaje Automático aprenda qué será o no será malicioso, se deberán adquirir grandes cantidades de datos con el tiempo. La IA literalmente tendrá que aprender junto con el desarrollo de IoT. A medida que se solucionen problemas antiguos y se desarrollen otros nuevos, la utilización de IA aprenderá junto con él.

“Los laboratorios de DigiCert prestan atención al desarrollo de enfoques basados en IA, reconocimiento de patrones y categorización de consumo de datos de red que analizan el comportamiento de diferentes dispositivos IoT en una variedad de entornos. Cuando se trata de IoT, como con toda la tecnología, tenemos que seguir evolucionando nuestro pensamiento en torno a la seguridad». Concluyó Hojatti.