Es probable que la mayoría de las empresas tengan al menos un empleado con un dispositivo vulnerable. Para los ciberdelincuentes, uno es suficiente.
En el ámbito del consumidor, la tecnología de Internet de las cosas (IoT) ha sido reconocida durante mucho tiempo por su seguridad extremadamente mala.
Hoy en día, los hogares están inundados de dispositivos conectados a Internet, ya sea una máquina de café espresso con una aplicación o una cámara de seguridad con conexión Wi-Fi. La electrónica de consumo representará el 63% de todos los dispositivos de IoT instalados en 2020, según Statista. Estos dispositivos pueden recopilar datos sobre sus usuarios, que se envían a los proveedores de servicios para ayudar a mejorar sus productos. Fabricar estos dispositivos es un negocio lucrativo y, a medida que crece la demanda, los consumidores compran cada vez más dispositivos de clase económica más baratos. El problema es que sus estándares de seguridad suelen ser bastante débiles.
Hasta hace poco, las vulnerabilidades de seguridad y los agujeros de seguridad en el Internet de las cosas del consumidor no eran un gran problema en el mundo empresarial: los ejecutivos conocedores de la privacidad solo tenían que acercarse para apagar la oficina de Alexa durante una reunión de misión crítica. Pero dado que se espera que solo un tercio de los trabajadores regrese a la oficina en otoño, la casa del trabajador se ha convertido en un lugar de trabajo; si se inunda con IoT inseguro, se trata de un problema de ciberseguridad grave. El 15% de los propietarios de dispositivos de IoT todavía usan contraseñas predeterminadas , por lo que es muy probable que la mayoría de las empresas tengan al menos un empleado con un dispositivo vulnerable: los ciberdelincuentes ya no lo necesitan.
"La mayoría de los dispositivos de IoT comprados para el hogar son relativamente baratos, en parte porque los fabricantes no ponen mucho esfuerzo en protegerlos en hardware o software", dijo Darryl Jones, director de gestión de productos de IoT en ForgeRock. como especialista en identidad digital en una conversación con TechHQ.
"Desde una gestión deficiente de credenciales, firmware desactualizado y puntos de acceso redundantes que quedan en los dispositivos de los consumidores hasta actualizaciones de seguridad poco frecuentes, estos dispositivos a menudo no dicen ser seguros para empezar".
En 2020, los jefes y diputados de delitos cibernéticos se vieron abrumados por el aumento de los delitos cibernéticos. La cantidad de correos electrónicos de phishing que explotan las circunstancias de la cuarentena se ha disparado y la migración repentina de la fuerza laboral al trabajo remoto ha llevado a un aumento en la cantidad de nuevos puntos finales que deben protegerse. A medida que las empresas y los empleados se movían en línea, los delincuentes los seguían en masa.
Al mismo tiempo, solo en 2019, la cantidad de ataques cibernéticos a dispositivos IoT aumentó en un 300% y es probable que continúe creciendo.
El ejemplo más notorio de la vulnerabilidad de los dispositivos IoT fue la ola de ataques DDoS de la botnet Mirai en 2016, que en algún momento resultó en la imposibilidad de acceder a Internet enen toda la costa este de los Estados Unidos . El gobierno de EE. UU. Inicialmente sospechó que era obra de un país paria, pero el culpable resultó ser una red de 400.000 dispositivos de IoT de consumo comprometidos convertidos en armas por un jugador de Minecraft descontento.
Entonces, ¿por qué los líderes empresariales se ven sorprendidos por la amenaza de IoT para el consumidor?
“En pocas palabras, la pandemia ha cambiado la situación. Antes jugaban al ajedrez, ahora necesitan jugar a las damas ”, dice Jones. “Las vulnerabilidades de los dispositivos han existido desde el principio, pero el enorme aumento en el número de empleados que trabajan desde casa y el aumento constante en el número debido a la pandemia han aumentado la gravedad del problema en un orden de magnitud.
"Si bien los CIO han trabajado para proteger sus dispositivos y redes durante años, estos cambios plantean nuevos desafíos tanto para los líderes empresariales como para los CIO".
Jones sugiere que las estrategias de ciberseguridad revisadas orientadas hacia el futuro del trabajo distribuido deben abordar las crecientes amenazas no solo en términos de Bring Your Own Device (BYOD), sino también de otros dispositivos propiedad de los empleados que pueden acceder a la red.
“Las empresas deben investigar nuevas tecnologías domésticas que separen la red corporativa para que una interrupción en la parte de la red que contiene los dispositivos de consumo no comprometa la parte de la red utilizada para fines corporativos”, dice Jones.
Un enfoque es que las empresas requieran que solo se creen redes Wi-Fi privadas para dispositivos corporativos, una pauta que el FBI ha promovido en numerosas ocasiones.en USA. El gobierno también debería establecer códigos de mejores prácticas, o mejor aún, legislación en lo que respecta a la seguridad de los dispositivos de IoT. El año pasado, Finlandia se convirtió en el primer país europeo en certificar dispositivos inteligentes seguros, donde los productos que cumplen con el estándar requerido reciben una “marca de ciberseguridad” claramente visible .
“La identidad digital única debería ser la nueva base de seguridad, ya que puede usarse para proteger dispositivos en el lugar de trabajo, así como dispositivos domésticos nuevos o existentes. Además, la implementación del modelo de seguridad Zero Trust o CARTA puede ayudar con esta nueva norma al garantizar que cada interacción sea segura y comprender el comportamiento normal del dispositivo y el usuario para detectar interacciones sospechosas ”, dice Jones.
"Las empresas también deben adoptar nuevas políticas de seguridad corporativa y capacitación de empleados que requieran el uso de redes privadas y restringir el uso de esas redes solo a dispositivos corporativos".
“La detección temprana de intrusiones también es fundamental. Las empresas deben tener soluciones para detectar anomalías, incluso cuando se conecta un nuevo dispositivo a la red, así como otras soluciones de monitoreo: terminales, comportamiento, red ... "
