Evaluación de tres amenazas cibernéticas urgentes para IoT en 2018


Cada año vemos nuevas amenazas cibernéticas urgentes, desde nuevos objetivos para piratas informáticos hasta nuevos problemas que surgen en el espacio de ciberseguridad. 2018 no será diferente. Un área que recientemente ha llamado mucho la atención son los dispositivos de IoT, ya que el uso de dichos dispositivos ha aumentado tanto en el sector público como en el privado. Aquí en Silobreaker queremos destacar tres amenazas cibernéticas apremiantes para los dispositivos de IoT que creemos que las empresas deben conocer:

Desmontes industriales

Para 2020, se espera que el 25% de los ciberataques apunten a IoT dispositivos, muchos de los cuales serán desplegados en entornos industriales . La infección y el uso encubierto de dispositivos IoT para minar criptomonedas o realizar ataques DDoS es una tendencia que no se está desacelerando, y que es especialmente problemática en el espacio industrial porque los dispositivos industriales IoT tienden a ser poco seguros y difíciles de parchar, especialmente en un entorno distribuido como la fabricación.

Es cierto que Mirai y variantes como Okiru y Satori suponen un riesgo importante para la fabricación, donde la reducción de la potencia de procesamiento de un dispositivo conectado puede afectar seriamente la seguridad o interrumpir los procesos. Pero también existe la posibilidad de daño no focalizado y colateral en este espacio. La perspectiva de atacantes motivados que aprovechen malware destructivo como BrickerBot para limpiar dispositivos es muy preocupante, pero tales 'ataques' ni siquiera tienen por objetivo causar daños. Un exploit que se pueda usar como el utilizado por WannaCry podría causar una infección generalizada de los dispositivos de IoT industrial, con un efecto devastador, independientemente de las intenciones originales del atacante. Esperamos ver un gran evento de este tipo en 2018.

Traer a los profesionales

Otra amenaza urgente para 2018 es la escasez de habilidades y recursos. Los seres humanos siguen siendo el eslabón más débil de la cadena de seguridad pero contratar y capacitar a personas que puedan comprender y responder a los problemas en el espacio de amenazas se está volviendo cada vez más difícil. La demanda está aumentando mucho más rápido que la oferta, con 3,5 millones de puestos vacantes en el campo de seguridad cibernética previsto para 2021. Al mismo tiempo, el juego de convergencia eterno entre delincuentes y analistas continúa, y las amenazas se vuelven cada vez más sofisticadas y generalizadas.

A medida que integramos la tecnología de la IoT en nuestras vidas y en sectores como la fabricación y la infraestructura crítica, este problema no va a desaparecer, va a empeorar. Las habilidades que necesitamos para protegernos: analizar información, separar la inteligencia del ruido y comprender las motivaciones de los actores amenazantes son escasas. Ellos necesitan ser cultivados. Y hasta cierto punto esto está sucediendo ; simplemente no lo hacemos lo suficientemente rápido. Si esta brecha de habilidades se amplía demasiado rápido y demasiado rápido, no importará cuánto estén dispuestos a pagar las compañías para cubrir estas posiciones vitales; todos nos convertiremos en víctimas.

Para mitigar este problema, debemos esforzarnos más que nunca en contratar, capacitar y retener a la próxima generación de expertos en ciberseguridad. La seguridad de la información se ve cada vez más como algo más que un problema exclusivo de TI, que es un gran paso, pero los presupuestos no siempre se ajustan a las intenciones. Sí, trabajar para mejorar la "seguridad cibernética" de los empleados es importante, pero ninguna organización es infalible. Y necesitamos muchas personas más capacitadas si queremos estar preparados para cuando sucede lo peor.

El tesoro más tentador son los datos

El robo y la manipulación de información personal de los dispositivos de IoT es una preocupación creciente para 2018. Con máquinas IoT cada vez más popular entre los consumidores, tenemos que aceptar la idea de que nuestra información personal está en mayor riesgo que nunca. Dispositivos como Amazon's Echo y otros asistentes virtuales nos permiten (a menudo inconscientemente) sacrificar la conveniencia por la seguridad, como aprendimos cuando un investigador usó malware para transmitir audio a un servidor remoto . O cuando una vulnerabilidad de Bluetooth prestó eco, Google Home y miles de millones de otros dispositivos vulnerables al secuestro. No conocemos todos los métodos potenciales mediante los cuales nuestra información personal, lo que decimos y hacemos en nuestros propios hogares, puede usarse en nuestra contra, porque la exposición personal a la vida personal de esta manera es completamente nueva. El robo de identidad y la reventa de hábitos de compra son perfectamente posibles, pero estos datos también pueden permitir la delincuencia en el mundo físico. Si de repente dejó de ordenar sus compras semanales, ¿tal vez no haya nadie en casa? Suponiendo que se pueda acceder a dicha información, sin duda se venderá.

La atenuación del robo de datos de dispositivos como Echo es un problema tanto del fabricante como del consumidor. Cuanto más se venden y utilizan estos dispositivos, más atractivos se vuelven para los delincuentes. Al mismo tiempo, mientras más tiempo esperen los consumidores antes de comprar, más probada y probada (y segura) se vuelve esta tecnología. Comprar a proveedores de calidad también reducirá el riesgo de "descuidos" de seguridad y se asegurará de que las vulnerabilidades estén parcheadas. Fundamentalmente, también regresa a la cuestión muy personal de conveniencia versus seguridad; ¿En qué medida los riesgos valen la pena? Caveat emptor.

Historias relacionadas