IOT y protección de datos

El término internet de las cosas, idC (en inglés, Internet of Things, IOT) hace referencia a la interconexión de dispositivos electrónicos: electrodomésticos, luces, coches, dispositivos industriales, dispositivos médicos, etc. Esta interconexión incrementa la funcionalidad. El concepto de smart home y smart city tiene el IOT como uno de sus pilares. Las aplicaciones son muy variadas: controlar los dispositivos de una casa a través del móvil, control del tráfico en tiempo real, etc.

Se estima que actualmente hay sobre los 11.000 millones de dispositivos IOT y que en 2025 serán unos 21.000 millones. Se espera que la llegada del 5G sea un revulsivo para el IOT.

Limitaciones y riesgos

Si bien los riesgos de seguridad son una constante en todas las tecnologías, el IOT tiene algunas limitaciones a la hora de gestionarlos:

• Dispositivos pequeños y con batería que no pueden consumir demasiados recursos en aspectos de seguridad.
• En gran parte, dispositivos sin sistema de monitorización y con interacción limitada con las personas. Es difícil detectar cambios de comportamiento.

Los riesgos son muy variados y dependen en gran medida de la aplicación concreta. Los clasificamos en dos grandes categorías:

• Disrupción o alteración del servicio. El dispositivo no cumple con su función.
• Protección de datos. Los dispositivos recogen, procesan y comunican información personal.

La OWASP da una lista de vulnerabilidades comunes en el IOT:

• Contraseñas débiles o fijadas al software.
• Servicios de red vulnerables al dispositivo IOT.
• Vulnerabilidades a los sistemas de control del dispositivo IOT.
• Falta de un sistema para actualizar el dispositivo.
• Almacenamiento y transferencia de datos insegura.
• Configuración por defecto insegura.

Caso : Mirai Botnet

Una red de zombis (botnet) es una red de dispositivos que han sido atacados y que ahora están bajo el control de los atacantes. Los dispositivos IOT, por tener conexión muy permanente en la red, son objetivos potenciales. Aparte, las limitaciones mencionadas anteriormente dificultan su detección. 

En 2016 apareció la red Mirai, que controlaba más de 100.000 routers domésticos (utilizando contraseñas por defecto) y que se ha utilizado para hacer ataques a gran escala contra grandes empresas de internet. En años posteriores la botnet se ha diversificado, tanto en la manera de tomar el control de nuevos dispositivos como en la tipología de ataques (minar bitcoins, etc.). Se estima que actualmente tiene varios millones de dispositivos bajo control.

Recomendaciones

Por sus características, la tarea de mantener la seguridad de los dispositivos IOT corresponde principalmente al fabricante. Dicho esto, los consumidores también tienen su papel:

• Ser conscientes de la necesidad de seguridad en los dispositivos IOT y tenerlo en cuenta a la hora de adquirirlos.
• Seguir las recomendaciones del fabricante en cuanto a mantenimiento y actualizaciones de software.

En LleidaPro somos consultores expertos en protección de datos. ¿Te ayudamos?

Fuente: Autoritat Catalana de Protecció de dades