En estos días, tenemos que dar conectividad a Internet a cosas que ni siquiera sabíamos que debían estar en línea . Con estas redes de artilugios “inteligentes” en rápido crecimiento, se necesita un tipo diferente de estrategia para mantener seguros nuestros datos e información.
optad_b
Sin embargo, las preocupaciones por la seguridad y la privacidad no siempre se encuentran entre las principales prioridades de las empresas que fabrican estos productos.
'Es absolutamente una ocurrencia tardía, si es que es un pensamiento', dice Shaun Murphy , experto en ciberseguridad de 20 años y CEO de sndr , una aplicación de comunicación.
Teniendo esto en cuenta, los consumidores tienen la responsabilidad de tomar la protección en sus propias manos, al mismo tiempo que exigen que las empresas den un paso más en la protección de los datos y la información de los usuarios. Según Murphy, los consumidores desempeñan el papel más importante en la configuración del futuro de los dispositivos de IoT y la seguridad que brindan, o, en muchos casos, no lo hacen.
Para comprender mejor cómo desempeñar ese papel, Murphy lo desglosa para el resto de nosotros.
Peligro extraño
https://twitter.com/PrivateShaun/status/713373156845752321
Una cosa que Murphy deja en claro es que, incluso si no usa dispositivos de IoT, sin darse cuenta se involucrará con ellos de alguna manera, al igual que las redes sociales.
'Siempre estás al alcance de alguien que usa las redes sociales', dice Murphy. Por lo tanto, incluso si no mantiene un perfil, es posible que alguien encuentre su foto en línea y la use en sus propios perfiles. 'Ahora, de repente, tienes un perfil en las redes sociales, simplemente no lo controlas', dice. 'Lo mismo se aplica a Internet de las cosas'.
Te estás conectando al IoT incluso si no te das cuenta. Y si tiene dispositivos conectados a Internet, al igual que sus fotos, su termostato inteligente podría ser secuestrado mientras pasa el rato en línea.
Así que esa es la realidad: todos somos parte del IoT. El problema es que este es un problema para todos.
Es probable que ejecute su propia red Wi-Fi doméstica, es decir, probablemente tenga uno o dos enrutadores Wi-Fi como conexión principal a Internet de su hogar. Es importante conocer los dispositivos que se conectan a él, incluidos los que pertenecen a personas que conocen legítimamente la contraseña de la red.
Probablemente solo esté dando su contraseña a familiares, amigos o invitados (es decir, no a piratas informáticos malintencionados que intentan derribar todo su sistema), pero nunca sabe qué dispositivos llevan gusanos dañinos. Los dispositivos habilitados para Internet pueden verse comprometidos en cualquier momento y portar vectores de ataque inactivos que pueden infiltrarse en su red para buscar un dispositivo que pueda infectar. Esa infiltración puede ser tan simple como registrar la información de autorización de Wi-Fi necesaria para conectarse a la red.
'Ahora tiene lo que llamamos una amenaza interna', dice Murphy. Los investigadores demostraron la gravedad de las amenazas internas mediante piratear el sistema de iluminación inteligente Philips Hue en una presentación en la conferencia anual de ciberseguridad de Black Hat a principios de este mes. Es el equivalente a escabullirse detrás de las líneas enemigas: una vez que pasa por alto el firewall, tiene acceso a cualquier cosa que esté desprotegida en esa red.
Para hacer que las amenazas internas sean ineficaces, Murphy tiene una solución simple para todos: Aislamiento de AP. 'Los nuevos puntos de acceso Wi-Fi proporcionan un modo de aislamiento en el que un dispositivo se conecta a Internet, pero en realidad no está conectado a ningún otro dispositivo en su red', explica. Básicamente, cuando se usa AP Isolation, los dispositivos no pueden hablar ni verse entre sí dentro de la red. 'Eso realmente limita el daño que un dispositivo puede hacer solo a ese dispositivo', dice Murphy.
El aislamiento de AP se puede usar con discreción, especialmente si necesita usar la comunicación de dispositivo a dispositivo, como conectar su computadora a su impresora inalámbrica. Una forma de solucionar este problema es configurar una red de invitados que emplea aislamiento de AP y deje su red principal para usted y sus propios dispositivos de confianza. Incluso entonces, sin embargo, sus dispositivos podrían infectarse y usted tendría el mismo problema.
Abriendo una lata entera de gusanos
Hasta ahora, hemos discutido principalmente los problemas con las redes Wi-Fi domésticas, una capa del rompecabezas de seguridad de IoT. Pero, ¿y si está interesado en instalar algunos de sus propios dispositivos inteligentes? Cosas como termostatos inteligentes y cámaras de seguridad son opciones comunes de los consumidores para sumergirse en el mundo de IoT, dice Murphy. ¿Debería tener cuidado?
El consejo más básico que sugiere Murphy es considerar la necesidad. '¿Necesita que este dispositivo esté conectado a Internet?' él pide. Si es así, tenga en cuenta el tipo de seguridad que obtendrá con el dispositivo que elija. En otras palabras, investigue, infórmese y modifique lo que hace en función de la nueva información.
“[Siempre es] difícil decirle a la gente que 'intente cambiar su comportamiento'”, dice Murphy. “En lugar de simplemente entrar y comprar el producto que desea o que se ve bien, dé un paso atrás y mire la documentación”. Al examinar un producto, compruebe si la empresa ha publicado o divulgado información sobre cómo funciona el producto y cómo protege sus datos.
Consulte también la política de privacidad de la empresa; le dará una idea bastante rápida del compromiso de seguridad de esa empresa (o la falta de él). 'Si miras su política de privacidad y tiene como 1,000 páginas, y no puedes entenderlo, y usan la palabra 'indemnizar' en todas partes, es probable que tengan más abogados que personal de seguridad', aconseja Murphy.
Además, Murphy dice que hay una forma más sencilla de averiguar qué tan bien le va a un dispositivo de IoT en el ámbito de la seguridad. “Simplemente haga una búsqueda en Google: 'nombre del producto' y luego agregue 'seguridad'”, dice. Es probable que, si se trata de un producto más nuevo, se hayan publicado artículos de investigación o artículos sobre él. Y si hay un problema de seguridad importante, esos enlaces volverán al principio de la cola.
Considere también varias opciones y haga una comparación de productos. Busque en el sitio web de un producto una sección dedicada que describa cómo el producto permanece seguro y protege su información. Si dicha página no existe, es muy posible que el producto no sea muy seguro en absoluto, sugiere Murphy. 'Como regla general, si no puede encontrar esa información, es probable que ese dispositivo no sea seguro de forma predeterminada', dice.
Ojo en el cielo
Por último, pero quizás lo más importante, Murphy insta a todos a que se pregunten si su información se almacenará en la nube de alguna manera. El almacenamiento en la nube es una de las consideraciones más importantes, especialmente en términos de cámaras y dispositivos de vigilancia.
Usando una cámara de seguridad como ejemplo, suponga que almacena todas las imágenes en un servidor en la nube. Puede ver el video y controlar el dispositivo a través de una aplicación, y puede dejarlo encendido durante todas las horas del día. Funciona muy bien, así que es bueno, ¿verdad?
No del todo, dice Murphy.
Deconstruyamos todo lo que está mal aquí. La mayor señal de alerta es que su metraje se está almacenando en el servidor de otra persona, eso es todo lo que es la nube, y aquí está el truco: puede que esté encriptado o no. Si no es así (lo que parece más probable), eso significa que cualquier persona que obtenga acceso a ese servidor puede ver su información, incluidas las personas que trabajan para esa empresa. “Pueden estar sentados mirando su cámara web todo el día y usted no tendría ni idea”, dice Murphy. No sabemos qué tan probable es eso, pero no hay forma de demostrar realmente que alguien te está mirando o no sin que, digamos, las imágenes terminen misteriosamente en YouTube, dice Murphy. De cualquier manera, existe la oportunidad.
A veces, el dispositivo lo tiene configurado para que pueda ver su información en línea oa través de una página web personal. 'Eso debe evitarse a toda costa', dice Murphy. 'Porque, si puedes verlo en una página web, eso significa que cualquier otra persona puede'.
Además, la comunicación requerida para estos dispositivos significa que la información se envía a través de muchas vías, tocando la base en múltiples máquinas diferentes. Las vías desprotegidas suponen problemas. Son básicamente vulnerables, y el advenimiento de Shodan expone esas vulnerabilidades a lo grande . Shodan es un motor de búsqueda que aprovecha los feeds desprotegidos y los muestra en su sitio, donde prácticamente cualquier persona puede buscarlos.
https://www.youtube.com/watch?v=XB-vjRCwa9E
Para este tipo de cosas, el cifrado de extremo a extremo es el punto de venta, según Murphy. Esto significa que los dispositivos que se comunican entre sí deben hacerlo de manera que el dispositivo emisor empaque la información de una manera que solo el dispositivo receptor pueda abrirla. Aplicaciones como iMessage y Whatsapp ya están empleando esta tecnología, y es algo que los consumidores deberían comenzar a esperar de las empresas, dice Murphy.
Por último, es fácil ignorar un dispositivo como una cámara que se ejecuta en segundo plano las 24 horas del día, los 7 días de la semana. Murphy aconseja a los usuarios que no se olviden de ellos y busquen activamente actualizaciones de software y firmware. Para ilustrar el punto, cita cómo el Nest Protect, una alarma de humo inteligente, que tenía una característica defectuosa que hizo que el dispositivo simplemente dejara de funcionar en 2014 . “A menos que estuvieras buscando activamente discusiones, nunca lo habrías sabido”, dice Murphy.
El dólar se detiene en otro lugar
Si bien todas estas precauciones pueden conducir a una experiencia más segura al usar estos productos de Internet de las cosas, el hecho es que los consumidores deberían exigir más a las empresas. 'A menos que un consumidor exija [mejor seguridad], no habrá razón para que una empresa dedique tiempo y esfuerzo a solucionarlo', afirma Murphy.
¿Qué mejor manera de llamar la atención de una empresa que con dinero? 'La forma más rápida de hacer cambios es no comprar productos que no sean seguros y [de empresas que] no discutan la seguridad, y comprar productos que sean seguros ... [de empresas que] están hablando activamente sobre ello', Murphy dice. Además, aproveche la sección de comentarios y revisiones para expresar sus inquietudes sobre la falta de documentación de seguridad o posibles agujeros de seguridad. 'Las empresas se dan cuenta de eso'.
Arreglar el Internet de las cosas no es una tarea fácil de ninguna manera, y todavía nos quedan kilómetros por recorrer en términos de privacidad antes de que podamos confiar razonablemente en él. Con el estado actual de las cosas, los riesgos son importantes; imagínese encontrar una transmisión de video en vivo de su hijo dormido disponible para cualquier persona en Internet. Se necesitará el esfuerzo tanto de los consumidores como de las empresas, pero existe la posibilidad de cambio. Con estos consejos, mantenga viva la discusión y busque activamente protección contra los piratas informáticos y las filtraciones de información personal en la red profunda y oscura.
