El Internet de las Cosas: cómo evitar que el beneficio se convierta en desastre

Contadores inteligentes, vehículos sin conductor, wearables, domótica, automonitoreo… y, así, un sin fin de cosas más todas relacionadas con el Internet de las Cosas (IoT, por sus siglas en inglés). Un concepto que nació en el Instituto de Tecnología de Massachusetts (MIT) para referirse a la interconexión de objetos cotidianos con Internet a los que, ahora, acompaña la etiqueta ‘inteligente’.

Pocos hubieran adivinado que algún día unas zapatillas de deporte serían capaces de registrar datos como el tiempo y la distancia recorrida, que un frigorífico hiciera la compra por nosotros y nos avisara cuando un producto caduca, que un tenedor nos diera los datos de la velocidad a la que comemos o que un inodoro fuera capaz de hacer un análisis de nuestra orina y recomendarnos la dieta más adecuada.

Todas estas funcionalidades son hoy una realidad (o lo serán en muy poco tiempo) gracias al Internet de las Cosas, que constituye un cambio fundamental en la forma en que nuestro entorno interactúa con Internet. Además, su potencial de crecimiento es indudable. Tanto que para 2020 se espera que el mercado mundial de IOT ascienda a 1.7 billones de dólares, lo que representará una tasa de crecimiento anual conjunto del 16,9%, según el Pronóstico Mundial de IDC.

Las ilimitadas posibilidades que ofrece el Internet de las Cosas y el incremento exponencial de fuentes de información conectadas abren la puerta a nuevos y emocionantes retos en la recopilación e investigación de datos. Por eso, es tan importante que las empresas cuenten con las políticas y procedimientos cibernéticos adecuados, porque sin ellos se arriesgan a que los ciberdelincuentes puedan acceder a la información de forma inadvertida y contaminarla.

No se puede obviar que la tecnología wearable no cesa de aumentar su popularidad a pasos agigantados con 78.1 millones de dispositivos entregados por proveedores en 2015, un aumento del 171.6% respecto a 2014. Las predicciones para este año tampoco se quedan atrás, ya que se espera que 2016 finalice con 111 millones de entregas de dispositivos wearable, que en 2019 ascenderán a 215 millones, según el Radar Trimestral de IDC.

El Internet de las Cosas supone además un ahorro importante para los distintos agentes económicos. La ciudad de Barcelona, por ejemplo, estima un ahorro de 58 millones de dólares al año por administración de agua conectada y 37 millones de dólares a través de alumbrado público, según recoge un informe de la universidad de Harvard. Ante esta revolución, ¿qué hay que tener en cuenta para contar con una estrategia adecuada de ciberseguridad? ¿Qué tipo de ataques llegan de la mano del Internet de las Cosas?

Anatomía de un ciberataque a través de IoT

El informe Internet of Things de KPMG explica la anatomía de un ciberataque a través de la tecnología del Internet de las Cosas, y cómo deberíamos prepararnos para prevenirlos.

  1. En la conferencia RSA Conference de 2015 sobre seguridad de la información, un grupo de hackers mostró un plan de ataque a una central eléctrica —una infraestructura crítica— mediante el uso de IoT para obtener datos confidenciales en el domicilio de un empleado.
  2. Mediante el uso de ingeniería social (manipulando al empleado para obtener información sensible) y software de piratería informática, accedieron al WiFi doméstico a través de un horno ‘inteligente’.
  3. Desde este acceso obtuvieron capacidad para entrar en el ordenador portátil de trabajo del empleado, donde se almacenaban contraseñas y datos confidenciales sobre la central eléctrica.
  4. De este modo, los ciberdelincuentes consiguieron privilegios de administrador y el poder para provocar daños catastróficos en la central eléctrica.

Otro ejemplo del mal uso de IoT que describe el informe de KPMG se remonta a 2001. Vitek Boden era un empleado descontento que se ocupaba de gestionar los sistemas de control supervisor y adquisición de datos (SCADA, por sus siglas en inglés) de una infraestructura municipal de alcantarillado en Sunshine Coast (Australia). Boden pirateó los nodos que controlaban el flujo de vertidos a través de las tuberías y provocó que varios millones de litros de aguas residuales sin tratar inundaran parques municipales, instalaciones de hoteles y canales.

El ciberataque de Boden se considera el primer delito de este tipo en Australia dirigido a infraestructuras críticas. En respuesta a ello, el ayuntamiento del condado de Maroochy destinó más de 50.000 dólares a mejorar los sistemas de seguridad. Con el auge de IoT, muchas otras ciudades corren el riesgo de que sus sistemas sean vulnerables de forma similiar.

Un caso parecido ocurrió en 2010, pero a una escala mucho mayor. El denominado gusano Stuxnet se introdujo en millones de ordenadores de todo el mundo, incluidas redes de tráfico, centrales eléctricas y hospitales. Diseñado para acceder a las centrifugadoras nucleares de Irán, tenía capacidad para modificar el proceso normal más allá del nivel de seguridad y, a la vez, indicar a los ingenieros que “todo estaba correcto”. El virus destruyó más de 1.000 centrifugadoras y retrasó el programa nuclear de Irán durante tres años.

Estos ejemplos unidos a las previsiones de crecimiento del Internet de las Cosas en los próximos años, provocarán que cada vez resulte más complicado frenar un ataque a través IoT. El especialista en forensic debe saber que la información confidencial ya no está confinada en un ordenador o en un dispositivo móvil, sino que puede encontrarse en vehículos, tarjetas RFID de identificación por radiofrecuencia e incluso en una nevera.

Por ello, resulta clave desarrollar una plataforma estandarizada dentro del negocio para garantizar la máxima seguridad de la red IoT o determinar qué datos son críticos en términos de seguridad, y velar por que se protejan adecuadamente. El Internet de las Cosas abre un mundo de oportunidades, pero si no se está preparado, el beneficio se convertirá en desastre.