Back
Iniciar sesión Hablemos

Todo lo que necesita para gestionar su conectividad IoT

Hacemos que IoT funcione en todos los sectores

¿Listo para iniciar su viaje por el IoT?

Solicitar un kit de prueba

¿Siente curiosidad por IoT? Tenemos todo lo que necesita

Tú eres el nº 1 Nosotros somos Tele2

Estamos muy orgullosos de ocupar el puesto 37 en la lista de TIMES de las empresas más sostenibles del mundo

A Tele2 IoT White Paper

Documento técnico sobre seguridad IoT de Tele2

IoT y Seguridad: lo que necesitas saber

Warren Buffet afirma que la ciberseguridad es la mayor amenaza a la que se enfrenta la humanidad, incluso más peligrosa que las armas nucleares. Puede parecer un poco exagerado, pero proteger los dispositivos conectados y las redes —y entender cómo hacerlo de forma eficaz— será de suma importancia a medida que el IoT siga convirtiéndose en una parte fundamental de tu estrategia empresarial.

Las empresas siguen diciendo que abordar los problemas de seguridad es importante para ellas y sigue siendo una prioridad en sus agendas, pero no se está haciendo lo suficiente a pesar de los crecientes riesgos y vulnerabilidades y las implicaciones de no abordar la seguridad que podrían tener un efecto perjudicial no solo en sus propios negocios, sino también en la sociedad en general.

La seguridad en IoT no consiste solo en ser seguros técnicamente, sino también en informar a los usuarios sobre lo que ocurre con su información y dispositivos para que puedan tomar decisiones informadas sobre cómo quieren gestionar esa información. También se trata de educar a los empleados sobre cómo manejar datos y dispositivos.

Los datos actúan como una ventana a nuestras vidas, y cuando se trata de tu empresa, pueden ser una ventana no solo a tu negocio, sino también a los negocios de tus clientes. Los datos sensibles son extremadamente valiosos y, en las manos equivocadas, pueden suponer una amenaza seria.

Las implicaciones de no abordar los riesgos de seguridad son muy amplias. Hasta que las tres capas de seguridad del IoT no estén gestionadas y bajo control, tu negocio y tus clientes seguirán siendo vulnerables.

IoT y Seguridad: los antecedentes

Muchas empresas han asumido tradicionalmente que cualquier solución IoT es segura y, aunque han contado con departamentos de TI especializados trabajando con seguridad digital en general, a menudo no se han centrado en desarrollar un plan de implementación específico para sus soluciones IoT. Al mismo tiempo, los expertos en seguridad llevan tiempo señalando el riesgo potencial de un gran número de dispositivos conectados no seguros, y algunos afirman que tendrán que ocurrir varios ataques globales importantes antes de que la seguridad se tome en serio; una vez que eso ocurra, todos se darán cuenta de lo importante que es para cualquier empresa que despliegue IoT tener una estrategia de seguridad.

A medida que aumenta la concienciación, la calidad de las medidas de seguridad también ha mejorado. Esto significa que la mayoría de los componentes IoT tienen cierto nivel de seguridad, pero sigue dependiendo de quien desarrolle o diseñe la solución asegurarse de que esos componentes funcionen bien juntos. En otras palabras, no hay una solución mágica: aún tienes que desarrollar e implementar tu propia estrategia de seguridad.

Tres capas de seguridad IoT que deberías considerar:

  • Tecnología física: desde hardware hasta software e infraestructuras
  • Sistema de gestión de derechos: quién tiene acceso a qué
  • Información – cómo te comunicas con los clientes y usuarios finales – y qué ocurre con tu información

IoT y seguridad: ataques, riesgos y protección

Los ataques y la protección son dos caras de la misma moneda. Y los ataques o problemas (riesgos) pueden venir tanto de dentro como de fuera, por lo que las implicaciones de no abordar los riesgos de seguridad son muy amplias.

Los 3 principales riesgos de seguridad del IoT según Tele2 IoT:

  • Robo de datos y dispositivos
  • Manipulación de datos y dispositivos
  • Cumplimiento del almacenamiento de datos

Además, puede ser muy difícil detectar brechas de seguridad. Si no tienes la visión o el conocimiento de TI y seguridad, puede que ni siquiera te des cuenta hasta que sea demasiado tarde.

Cuando hablamos de seguridad, nos referimos a la ‘superficie’ del ataque, básicamente cuánta exposición tienes. Es tan sencillo como saber que cuando sales al exterior en invierno, cuanta más piel tengas, más rápido tendrás frío. Abordar la seguridad es lo mismo: cuanto menos exposición tengas, menos riesgo hay. No sufrirás hipotermia si tienes la cobertura adecuada.

La mayoría de los dispositivos vienen con contraseñas predeterminadas, y el uso de estas contraseñas es la raíz de la mayoría de las vulnerabilidades. Es rápido y fácil para alguien comprobar si no tienes la contraseña protegida correctamente, así que cambiar las contraseñas predeterminadas es fundamental. Y si tu dispositivo está en Internet público, los motores de búsqueda lo indexarán rápidamente, que luego crearán una lista de dispositivos con la puerta abierta de par en par y, ¡boom! Tienes un problema de seguridad.

No actualizar es un problema tan grande para las empresas que despliegan IoT como para los no expertos que no se molestan en actualizar su navegador o sistemas operativos. Actualizar es una forma sencilla y sencilla de aumentar la seguridad, pero es un paso que a menudo se pasa por alto.

No tener un ciclo de actualización verificado también es un riesgo y puede hacer que alguien acceda a tus dispositivos y los manipule, es decir, los controle remotamente.

Otro escenario es que alguien acceda a tus dispositivos no para modificar o manipular nada, sino para usarlos como medio para atacar a otros dispositivos. En otras palabras, crean un ejército de dispositivos que pueden usarse para atacar tu empresa. Tomemos la botnet MIRAI: dispositivos IoT inseguros derribaron gran parte de la infraestructura central de Internet de Estados Unidos, incluyendo Twitter, Netflix, CNN, etc., y se desató el caos.

La botnet MIRAI puede ser un ejemplo bastante extremo, pero mira tu propia empresa y pregúntate dónde están los riesgos. ¿Dónde en tu configuración puedes detectar vulnerabilidades y qué puedes hacer para solucionarlas?

Changing default passwords and updating regularly are two steps you should be implementing right away.

Como personas no expertas, cuando pensamos en seguridad, nos preocupa si nuestras cuentas de redes sociales han sido hackeadas o nuestra información bancaria comprometida, pero el hackeo también es un gran problema dentro del IoT.

If you are hacked any data could be modified – and any data that is modified cannot be trusted.

Por ejemplo, si tu central nuclear está informando de comportamientos específicos a las autoridades, un hacker podría modificar esos datos durante el tránsito, lo que resultaría en que las decisiones se tomen basadas en hechos incorrectos. El hacker podría modificar las pruebas de auditoría y hacer muy difícil y costoso identificar qué información es correcta y cuál no.

Por supuesto, no todos los hacks tienen el potencial teórico de consecuencias tan drásticas. Tomemos al ficticio granjero John, que ha colocado pequeños sensores en sus vastos campos. Puede que no pienses que saber lo húmedo que está su suelo o cuándo cosechará tendría valor para nadie más que para él, pero si la ventana de cosecha es solo de tres o cuatro días y sus dispositivos envían información comprometida o no funcionan y él no sabe que no funcionan, podría perder toda su cosecha. Esto no solo afectaría a sus resultados, sino también a la cadena de suministro alimentaria.

Dentro de la UE, un gran riesgo es no cumplir con el RGPD, el Reglamento General de Protección de Datos de la UE. No cumplir no solo es malo para ti: te enfrentarás a multas enormes, que tendrán un gran impacto en tus resultados económicos; también es perjudicial para tus clientes y usuarios finales.

Transmitir datos sensibles entre tus dispositivos y tu centro de operaciones podría llevar a escuchas, con alguien obteniendo información sobre tu empresa o uno de tus clientes que no quieres que tengan y que no deberían tener.

Un ejemplo sencillo sería un marcapasos conectado: según el RGPD, el paciente/cliente tiene derecho a que cualquier información sensible se transmita privada y protegida. Si esa información está comprometida, solo di que porque alguien ha conseguido hackear tu sistema, te enfrentas a grandes problemas.

No todos los riesgos de seguridad implican filtraciones de datos, pero cualquier ataque que te impida vender productos o servicios —o incluso que te impida facturar a tus clientes— podría causarte una serie de problemas no deseados.

Ser consciente de cualquier vulnerabilidad mientras se toman las medidas adecuadas para protegerse disminuirá cualquier riesgo potencial de seguridad.

Protegerte a ti mismo

La mayoría de las vulnerabilidades explotadas por la comunidad hacker/hacker se conocen desde hace más de seis meses. Aunque las vulnerabilidades suelen tener un parche y hay una actualización disponible, si esperas un año para actualizar tienes una gran exposición porque cuanto más tiempo esperas para actualizar, más comunes se vuelven los escaneos. Como resultado, cada vez más atacantes conocerán tu vulnerabilidad, facilitando mucho la entrada en tu sistema.

Hay dos tipos de atacantes a tener en cuenta:

1. Oportunista2. Dirigida
Los hackers oportunistas están continuamente escaneando y aprovechándose de cada vulnerabilidad. Piénsalo como un ladrón recorriendo un barrio probando cada puerta para ver cuál está sin cerrar. Es de bajo coste y saben que pueden tener suerte en cualquier momento, encontrándose con una enorme cantidad de información. Lo que hacen con esa información es un misterio. Por otro lado, los hackers que llevan a cabo ataques dirigidos no están jugando con las probabilidades. Quieren acceso a sistemas específicos y están trabajando en un nivel de compromiso mucho más alto. Un ataque dirigido requiere más trabajo para acceder a un sistema específico: los hackers tienen que encontrarlo y saber qué hacer con él. Es mucho más difícil protegerse de un ataque dirigido simplemente porque este tipo de atacantes serán mucho más persistentes.

Si usas un dispositivo de seguimiento, idealmente te pedirían que actualices el software, pero aunque tu teléfono, tu tablet o tu portátil te enviarán notificaciones push para actualizar, la mayoría de dispositivos IoT no son lo suficientemente inteligentes para autoactualizarse, así que puede que tengas que hacerlo manualmente.

Sin embargo, a veces no es posible actualizar tus dispositivos IoT, lo que significa que tendrás que cambiarlos para actualizar tu sistema. Este es un aspecto importante a tener en cuenta al elegir tu solución IoT.

A mobile network system makes it difficult to go from one device to another, so someone who compromises one device will have a tough time accessing the rest. This reduces the ability of attacks/infections spreading.

Por supuesto, no hay nada que diga que tengas que poner tus dispositivos en Internet público. Con un APN privado, tus dispositivos nunca están expuestos a Internet (público), por lo que nunca aparecerán en un motor de búsqueda. Pero ten en cuenta que, incluso si sacas un dispositivo comprometido de Internet y lo conectas a una red privada, podría seguir siendo comprometido, pero el daño que puede causar y el riesgo de exposición se reducirán. Además, tus dispositivos estarán aislados no solo entre sí, sino también de otros clientes, lo que eleva mucho el listón en cuanto a seguridad.

Cómo protegerte: La lista de verificación de seguridad IoT

  • Actualiza tu software regularmente y a tiempo.
  • Cambia tus contraseñas predeterminadas.
  • Credenciales de acceso seguras.
  • Limita la exposición (cortafuegos, redes privadas, etc.).
  • Restringir el acceso a los sistemas (solo a las personas y ordenadores que necesitan acceso).
  • No pongas tu sistema de control de fábrica crítico para el negocio en el mismo sistema que tu oficina corporativa. Incluye procesos sólidos para los empleados.
  • Cuenta con un equipo de TI cualificado, infórmate y busca activamente posibles brechas de seguridad.
  • Incluye la seguridad como parte de tu proceso de diseño y estrategia en IoT.
  • Análisis de riesgos: esto te ayudará a diferenciar los diferentes niveles de riesgo y a evaluar en consecuencia.

Caja privada de datos APN

ServicioAPN privadoAPN privado
con VPN IPSec 		APN privado con
Interconexión privada
Transferencia de datos de forma segura++++++
IndustriaN/A+++++
Escalado de la capacidad de transferencia de datos++++++

Desde una perspectiva de seguridad, deberías tener cero confianza y deberías implementar procesos sólidos, auditorías, verificaciones, monitorizaciones y evaluaciones de riesgos. No es que no confíes en tus empleados, es que no puedes confiar en que nada se vea comprometido. El portátil de alguien podría verse comprometido sin que lo sepan y eso podría ser suficiente para que los hackers accedan a un sistema seguro. A la luz de esto, no deberías poner tu sistema de control de fábrica crítico para el negocio en el mismo sistema que tu oficina corporativa. Si alguien contrae un virus en su portátil en casa y luego lo lleva a la oficina, no solo puede afectar a otros equipos de trabajo, sino también infectar tu planta —y será muy difícil eliminar esa infección.

Contar con un plan de implementación bien pensado para tu estrategia de seguridad IoT es tan importante como contar con una estrategia global de IoT: ahorrarás dinero y reducirás posibles quebraderos de cabeza.

Comprender los riesgos y problemas que pueden surgir, al mismo tiempo que te educas sobre cómo protegerte, es fundamental. Así como tienes un equipo de TI que se asegura de que tus ordenadores estén protegidos, también deberías contar con un equipo que garantice que tu solución IoT no sea vulnerable a ataques. Elegir la tecnología adecuada y luego tomar las medidas necesarias para protegerla ayudará a mantener segura tu solución y también a proteger tu información y la de tus clientes.

Descubre más sobre seguridad aquí.

Si quieres saber más, ponte en contacto con nosotros.

Habla con un experto en IoT

Véase también