1 El Internet of Things: La conectividad que está cambiando su vida

1 El Internet of Things: La conectividad que está cambiando su vida

1
El Internet of Things: La conectividad que está cambiando su vida
Fuente: mediapressconsulting.com / DIANE NOBOA
Está sucediendo en este momento. El Internet evoluciona convirtiéndose en lo que
llamamos el “Internet of Things” (IoT) y es la conversación más relevante de nuestro
tiempo.
¿Qué significa el “Internet of Things” (IoT) y cómo nos afecta?
Complejidades técnicas impiden entender la magnitud del Internet of Things. El IoT
(como se lo abrevia), es la capacidad de crear artefactos con sensores wi-fi que se
comunican entre ellas y envían datos a sobre los usuarios y su comportamiento.
Esto incluye cafeteras, lavadoras, audífonos y relojes hasta autos y casas enteras con
comandos accesibles desde nuestro móvil. Aplica a maquinaria pesada, aviones y
redes eléctricas para ciudades inteligentes como Barcelona, España.
Según un estudio por la firma de análisis e investigación Gartner, se estima que para
el 2020 existirán más de 26 mil millones de artefactos conectados –sin contar celulares
y tablets – impactando el consumo directo, la seguridad cybernética, la reducción de
costos laborales y la oportunidad de crear nuevas líneas de negocio con ganancias
extraordinarias.
El mismo estudio prevée una ganancia agregada de $1.9 trillones en varios sectores al
2020. Las compañías líderes ya lo implementan y los artefactos que se construyan a
partir de ahora tendrán sensores de IoT incorporados.
¿Cómo nos impacta esta tecnología?
Los ejemplos más sencillos son los cotidianos. Si usted se levanta a las 6:00 am, su
alarma sonará y le mandará mensaje a su cafetera para que empiece a hacer café.
Luego se subirá a su auto, conectará su celular al vehículo dándole acceso a su
calendario. El auto le dirá – según su hora de salida – cuál es la mejor ruta a su
destino. Si hay un accidente o tráfico pesado, su auto podrá enviar un mensaje a las
personas de la reunión informando sobre su atraso.
2
En la oficina funcionará de la misma manera. Algo tan sencillo como su máquina
copiadora tendrá un sensor que le indicará a la compañía de suministros que necesita
tinta o si es necesario hacer mantenimiento. Los dispositivos serán autónomos y
funcionarán con más eficiencia que los operadores humanos.
Existen oportunidades y aplicaciones infinitas, las que se aprovecharán de maneras
aún no comprensibles en los próximos 5 años. Las industrias de la salud, hotelería, las
aseguradoras y la manufactura están entre las pioneras en implementar y beneficiarse
de esta tecnología.
En manufactura, el beneficio viene de tener una cifra exacta del inventario y su
relación con materias primas y componentes en tiempo real, dándoles la oportunidad
de reaccionar inmediatamente al mercado y a preferencias de consumo.
En la industria de la salud, ropa con sensores podrán detectar cuando personas
ancianas se caigan y llamar a la unidad de emergencia si no se levantan. Frascos
inteligentes podrán detectar si la persona enferma olvidó tomar su medicamento,
enviándole un mensaje de alerta a su celular.
El mercado de las casas inteligentes conectadas al Internet, donde todo está
centralmente monitoreado y controlado, tendrá un volumen de venta de 4.1 mil
millones de Euros para el 2017 sólo en Europa, según estudios de Deloitte & Touche.
A mayor escala, el IoT se aplica a las ciudades inteligentes en transporte, uso de agua,
energía eléctrica y reducción de desechos. Un ejemplo excelente desde el 2010 es
Barcelona, España, líder actual en inteligencia urbana sustentable.
La necesidad de transformación digital de los negocios
Con la increíble rapidez de implementación del IoT y la digitalización global de los
modelos de negocio, es alarmante que la mayoría de empresas en Ecuador aún no
tengan algo tan básico como una página web dinámica diseñada para móviles y
adaptada a las necesidades de su consumidor digital.
Según John Chambers, CEO de Cisco, los negocios que no inviertan en digitalizar sus
procesos y mejorar su tecnología no podrán competir y desaparecerán en los próximos
5 años. Esto aplica especialmente a instituciones financieras, servicios de salud,
aseguradoras y retail (desde almacenes en línea hasta centros comerciales).
El IoT lo cambia todo y obliga a las empresas a digitalizarse si quieren mantenerse a
flote. Esto no incluye únicamente insumos digitales necesarios como páginas web,
sino un mejoramiento de la conectividad y tecnología de soporte, los procesos de
recolección y análisis de datos, la cyberseguridad y la capacitación del personal a
trabajar en modelos de colaboración horizontal entre departamentos y sucursales.
Las desventajas del IoT
La tecnología no viene sin peligros. Uno de los más grandes es el de seguridad. Con
miles de millones de artefactos conectados y enviando nuestra información personal
sin encripción de manera constante al cyberespacio, somos altamente vulnerables.
Sería fácil para un hacker entrar en el sensor de la lavadora y acceder a toda nuestra
información personal desde nuestra propia red. O a gran escala, hackear la
información de la compañía que produce las lavadoras y robarse el dato de todos sus
clientes.
3
La cantidad de información que genera esta tecnología también propone un riesgo al
no tener una plataforma estándard. Las soluciones más efectivas provienen de
empresas como Cisco, que agrupa y gestiona toda la información IoT además de
garantizar su seguridad.
¿Y ahora qué?
Las conversaciones sobre IoT son la tendencia alrededor del mundo competitivo,
analizando las oportunidades y el impacto que tendrá sobre nuestras vidas, nuestras
interacciones y como hacemos negocios a medida que más dispositivos se unen a la
tecnología.
Por ahora lo mejor que podemos hacer es educarnos y preparar nuestros negocios
para este cambio inevitable.
26.000 millones de ventanas abiertas al cibercrimen
El 'Internet de las cosas', que pretende hacer 'smart' cualquier objeto, promete ser el
mayor reto en seguridad digital de la historia
Fuente: Tecnología El País / ÁNGEL LUIS SUCASAS
PETER DAZELEY (GETTY IMAGES)
La nevera. El coche. La ropa. Los juguetes… Enumerar la lista de objetos que nos
rodea e imaginarlos conectados entre sí y a la Red es el sueño del Internet de las
cosas (IOT). Las posibilidades, infinitas, desde lograr el sueño del coche autotripulado
que encuentra aparcamiento por sí solo hasta el juguete parlanchín que ayuda en su
aprendizaje al niño mediante análisis lingüístico. Son dos ejemplos de los 26.000
millones de objetos conectados que la consultora Gartner predice para 2020. Pero
estos miles de millones de objetos son también miles de millones de ventanas para el
cibercrimen. Y los expertos apuntan a una conclusión: el IOT no está preparado para
tapiarlas.
“No lo estamos del todo porque la conectividad llega cada vez a más dispositivos. Las
personas que diseñan los sistemas operativos y el software en Apple, Google o
Microsoft siempre tienen en cuenta la seguridad. No pasa lo mismo con otros aparatos
online como bombas de insulina, electrodomésticos, coches, aviones comerciales…
4
Todos ellos son vulnerables ante cualquier tipo de ciberataque”, explica Alfonso
Ramírez, director general de la compañía antivirus Kaspersky Lab Iberia.
Informes sobre el IOT apuntan a esta misma tendencia. El pasado verano, HP analizó
los 10 objetos con funciones online más usados para llegar a una inquietante
conclusión. El 70% de estos dispositivos fueron vulnerables a los ataques. Y la
mayoría no usaba ningún tipo de sistema de encriptación para proteger los datos de
los usuarios. “Con tantos dispositivos transmitiendo esta información desde la red de
los hogares, los usuarios están a solo un error de configuración de la red de exponer
sus datos al mundo a través de las redes inalámbricas”, indica Craig Smith, líder de
dicho informe de HP en el análisis.
De hecho, a los expertos no les cuesta imaginar nuevos panoramas para el
cibercrimen, como apunta Vicente Díaz, analista de la marca Karspersky: “No se ha
dado el caso aún, pero se puede fabular con un ejemplo especial de ramsonware (el
secuestro exprés de datos) con un coche inteligente. Te bloquean el mecanismo de
apertura y te piden un rescate para recuperarlo”. Otros riesgos potenciales estarían en
la recopilación de datos sobre rutinas diarias a través del móvil o de cualquier otro
dispositivo.
Hasta se da el caso de dispositivos que ofrecerían al cibercriminal la opción de tener
orejas dentro del hogar de la víctima. El pasado mes de febrero, estalló la polémica
por una aplicación de Samsung de comandos por voz que grababa las conversaciones
de los usuarios y las enviaba a terceros. La compañía aseguró a medios como The
Guardian que toda esta información se enviaba encriptada y en ningún caso era
vendida a otras empresas.
Pero la preocupación por el riesgo a que un pirata pudiera vulnerar ese protocolo o al
mero hecho de que el usuario se despiste de que tiene activada esa función y grabe
una conversación íntima avivó la polémica. Ni siquiera la industria del juguete se libra.
Apenas un mes después de los titulares sobre la función espía del televisor Samsung,
una nueva muñeca de Mattel, Hello Barbie copó las cabeceras mundiales por usar la
misma función de grabado de voz. La ONG norteamericana Campaña por una Infancia
Libre de Publicidad inició una recogida de firmas para pedir a Mattel que cese la
producción. Casi siete mil personas la han apoyado hasta la fecha.
¿Soluciones? Para empezar, un cambio de mentalidad en el orden de prioridades en
las empresas. “Esta industria está comenzando y tiene muchos retos. Y
lamentablemente la seguridad no es lo primero que se mira. Las vulnerabilidades de
los dispositivos pueden aún ser desconocidas para los agresores y para los
defensores y hacen del IOT un terreno abonado a la ciberdelincuencia”, explica Luis
Corrons, director técnico de Panda Labs.
Las campañas de concienciación están en marcha. El 16 de septiembre de 2014, las
agencias de protección de datos europeas acuñaron un dictamen de 24 páginas
exclusivamente dedicado al IOT. Las conclusiones: que las empresas se tomen muy
en serio toda la reglamentación relativa a seguridad online, que informen a sus
usuarios de qué datos han capturado y que borren la información en bruto que
almacenen y se queden solo con aquella específica del servicio que ofrecen.
Proyectos sin ánimo de lucro como OWASP –apoyado por empresas como HP, Nokia
o Adobe– dedican sus esfuerzos a que quede claro que tapiar las ventanas del IOT
solo será posible con un esfuerzo conjunto de usuarios, gobiernos y empresas.
5
Tres peligros del IOT
Muñecos parlantes
La Hello Barbie, que graba la conversación de su usuario, acapara la polémica este
2015. Pero no es el único juguete en el punto de mira. En enero de este año, el
experto en seguridad Ken Munro hackeó en directo para la BBC a la muñeca Cayla
para demostrar que se le podría hacer decir cualquier barbaridad.
Coches 'hackeables'
Un coche utilizado como arma. O como medidor de cómo conduce un potencial cliente
de una aseguradora. Son algunas de las vulnerabilidades detectadas en el informe
que el senador Ed Markey de Massachusets hizo públicas en su informe sobre el
automóvil online del pasado mes de febrero.
Lavadoras zombi
Con el IOT, el pirata puede encontrar viejas soluciones para nuevas realidades. Una
que ya se ha teorizado es la thing-net, evolución de la bot-net, redes de ordenadores
controlados remotamente como zombis sin que su usuario lo sepa. La horda de
secuaces serían, en este caso, todos los objetos conectados a la red.
Aumentan las amenazas en el ambiente de los equipos móviles
Fuente: Kaspersky.com
Según un reporte de Kaspersky, el malware móvil creció casi tres veces en el segundo
trimestre de 2015. El 51% de los ataques se generaron en webs maliciosas de Rusia.
Tras el fuerte crecimiento de equipos móviles, Kaspersky informa que este segmento
ha sufrido grandes cifras de ataques de amenazas de malwares. Según el análisis de
la compañía, en el reporte del segundo semestre, se han detectado que el 51% de los
ataques procedentes de Internet bloqueados tuvieron origen desde recursos web
maliciosos localizados en Rusia durante el segundo trimestre. Este panorama estuvo
seguido por países como los Estados Unidos, Holanda, Alemania, Francia, Islas
Vírgenes, Ucrania, Singapur, Reino Unido y China.
6
El informe público, ‘Panorama de ciberamenazas del segundo trimestre’, explica que
hubo un total de 291,800 nuevos programas de malware para dispositivos móviles que
se vieron en el surgieron de este trimestre, siendo un total de 2.8 veces mayor a lo
registrado en el primer trimestre de 2015. Asimismo, hubo un millón de paquetes de
instalación de malware para móviles, siendo siete veces mayor a lo contabilizado en el
trimestre anterior.
Además, la firma dijo que las operaciones bancarias móviles permanecieron como el
objetivo principal entre las amenazas para móviles. En el primer trimestre de 2015 se
encontró al virus Trojan-SMS.AndroidOS.OpFake.cc, el cual era capaz de atacar a no
menos de 29 de aplicaciones bancarias y financieras. A su vez, en el apartado de
ataques a financieras, hubo 5,900,000 notificaciones acerca de intentos de infección
por malware para robar dinero mediante acceso en línea a cuentas bancarias, pero fue
800,000 menor que el primer trimestre.
Las amenazas financieras no están limitadas a programas de malware bancario los
cuales atacan a clientes de sistemas bancarios en línea. Además del malware
bancario (83%), las amenazas financieras son generadas por mineros de Bitcoin (9%)
– estos son programas de malware que utilizan los recursos informáticos de la
computadora de la víctima para generar Bitcoins, así como ladrones de billeteras de
Bitcoin (6%) y registradores de teclas (2%).
Por esta razón, contar con soluciones de seguridad móvil puede ayudar a prevenir y
mitigar varias de estas amenazas, sobre todo si se utilizan, en mayor medida, para
transacciones online y sistema de billetera electrónica.
10 formas de prevenir los ataques cibernéticos en dispositivos médicos
Fuente: prensariotila.com / Bob Nilsson
Un gran número de departamentos de TI de hospitales, centros de salud, ingeniería
clínica y fabricantes de dispositivos médicos, ha llamado poderosamente su atención
el tema de la seguridad. Están reconociendo la importancia de proporcionar
conectividad inalámbrica a un número cada vez mayor de dispositivos médicos no sólo
para el monitoreo remoto del expediente clínico electrónico, sino sistemas con un alto
grado de complejidad y sensibilidad como lo pueden ser dispensadores electrónicos
de medicamento o monitores de signos vitales.
Teniendo en cuenta el crecimiento exponencial del número de dispositivos que se
conectan a la red (Wi-Fi de alto rendimiento o redes locales) y la explosión de
dispositivos médicos inalámbricos, los hospitales deben reevaluar cual es la visión y el
apoyo de las redes en ambientes de misión crítica.
7
En el reporte Seguridad Cibernética e Infraestructura Crítica de las Américas realizado
por la Organización de los Estados Americanos (OEA), se indica que en Latinoamérica
el número de ciberataques está aumentando, tanto en número como en su nivel de
sofisticación, dado que quien está detrás de este tipo de amenazas, podrían estar
apuntando a infraestructuras de misión crítica que ponen en riesgo mucho más que
simples datos y procesos de negocio.
En 2014 el robo de información médica aumento en un 600%, esto de acuerdo a un
reporte publicado por la empresa de seguridad Panda Security. Cabe señalar que en el
mes de agosto de ese mismo año tuvo lugar en Estados Unidos uno de los robos de
información médica más importante hasta hoy registrado. La información personal de
más de cuatro millones de pacientes de la red de hospitales de Community Health
Systems fue comprometida.
A través de una red inalámbrica, hackers informáticos técnicamente podrían abrirse
paso en poco tiempo a sistemas con capacidades IoT (Internet de las cosas) de los
hospitales y modificar, si no se cuenta con medidas precautorias de alto nivel y
soluciones de visibilidad de red de alto nivel, acceso al expediente clinico electrónico,
monitores de salud y hasta dispensadores de medicamento conectados a la red. La
urgencia con la cual los centros de salud deben reaccionar para atender
proactivamente estas áreas de mejora críticas, debe ser atendida sin más excusas.
Extreme Networks en conjunto con la Asociación para el Avance de la Instrumentación
Médica, AAMI (por sus siglas en inglés), propone a organizaciones de salud 10
recomendaciones clave para resguardar la integridad de redes hospitalarias.
10 maneras de minimizar el riesgo en redes de centros de salud y hospitales
Contraseñas: No utilizar las contraseñas que vienen de default, cámbielas. Las
contraseñas que vienen de fábrica son las primeras que los hackers intentarán usar.
Para que su contraseña sea segura puede utilizar contraseñas que contengan
combinaciones de letras y números, frases o contraseñas encriptadas.
No utilice WEP / PSK / TKIP: Los dispositivos comparten la misma clave y si una clave
es comprometida, todo los dispositivos de la red con una clave son vulnerables a un
ciber ataque.
Hacer que los datos estén cifrados en reposo. Realiza una buena copia de seguridad
de la anterior versión del sistema operativo, configúralo para que no haya ningún
cambio y asegúrate de que tu personal sepa como rescatar esa versión. Encripte las
bases de datos que proporcionen datos personales de los pacientes con el fin de
proteger su privacidad.
Tener una instalación de gestión de parches. Las actualizaciones de software o los
parches son comunes, pero a veces los parches arreglan un problema pero
descomponen otro. Es conveniente tener un proceso o la facilidad de verificar el
trabajo de los parches con el equipo HDO de despliegue full-scale, es una forma de
minimizar el riesgo de que el parche interfiera en la comunicación de los dispositivos.
Las actualizaciones del software incluye controladores, sistema operativo y cambios
en aplicaciones. Notifica a todos los empleados como puede afectar esto.
Emplear controles de acceso a la red basados en roles. Restringir el acceso a un
hacker compromete al usuario y crear credenciales de dispositivos de seguridad es
una necesidad. Una persona o dispositivo debe de tener acceso solo a la parte de la
red que necesita para trabajar.
8
Esto es llamado acceso basado en roles.
Garantizar la redundancia. Identificar las fallas de una de sola-falla, en cada caso la
probabilidad de ocurrencia del fracaso es asociado con la falla. Si un interruptor de
núcleo único falla, grandes porciones de la red caerán, así que es común tener un
switch tipo hot stanby (redundante) que tome control.
Verificar el sistema periódicamente. Verifica
correctamente. Esto podría incluir artículos como:
que
los
dispositivos
trabajen
Itinerancia de dispositivos móviles
Área de cobertura de Access Point
Velocidades de datos soportadas
Comunicar lo necesario a los segmentos de la red
Configuración de canal y energía para los Access Points
Pruebas del sistema IDS / IPS
Seguimiento de la ubicación correcta
Access Points / Contoladores / Servidores estén dentro de los limites propuestos
Ejecutar todos estos elementos en la mejor infraestructura. Mientras que los enlaces
por cable son normalmente más confiables y soportan más ancho de banda que los
enlaces Wi-Fi, checar los elementos de la lista anterior es necesario para ayudar a
asegurarnos que red está en un inicio conocido y robusto.
Pregunte por los resultados de pruebas de seguridad antes de la compra de
dispositivos. Antes de que un nuevo dispositivo llegue al hospital, verifique que cumple
con los requisitos de seguridad del hospital. No permita que este en red hasta que el
dispositivo sea probado. Esto puede incluir: encriptación, autentificación, parches del
sistema operativo y versión de protección contra virus.
Realizar auditorías periódicas. En intervalos regulares, verifica que el sistema trabaja y
esta configurado de la forma adecuada. Algunas de las áreas a verificar son:
¿Quién tiene acceso a cambios del sistema?
¿El sistema corre de forma adecuada con la versión de software y sistema operativo?
¿La configuración en ejecución coincide con la configuración de arranque y coincide
con la copia de seguridad?
¿Todos los cambios registrados coinciden con los registros de gestión de la
configuración de dispositivos?
9
Internet de las Cosas podría matar a alguien
Fuente: computerworld
Imagine una flota de quadcópteros o drones equipados con explosivos y controlados
por terroristas. A alguien que hackea una bomba de insulina y cambia la configuración
de manera mortal. O quizás el hacker que accede al calentador y termostato de un
edificio y levanta la temperatura hasta que se inicie un incendio. Todo esto puede
sonar como material para una película de James Bond, pero hay expertos en
seguridad que ahora creen, como lo hace Jeff Williams, CTO de Contrast Security,
que “la Internet de las Cosas va a matar a alguien”.
Williams, cuya firma proporciona seguridad para aplicaciones, no sabe exactamente la
forma en que la Internet de las Cosas (IoT, por sus siglas en inglés) podría usarse para
matar a alguien o qué dispositivo se vería implicado en el nefasto esquema, pero
considera certero que un dispositivo conectado tendrá un papel en algún asesinato.
De manera similar, Rashmi Knowles, chief security architect de RSA, afirmó algo
análogo en una reciente entrada de blog, en la que imagina que algunos criminales
podrían hackear dispositivos médicos y comenzar “una economía completamente
nueva” al extorsionar a las víctimas. “La pregunta es cuándo se producirá el primer
asesinato”, escribió Knowles.
Uno puede considerar que estas preocupaciones son una exageración, pero muchas
predicciones de la comunidad de seguridad acerca de los riesgos relacionados con
Internet se han convertido en realidad. Cuando las empresas se apresuraron en
desarrollar plataformas web, los expertos en seguridad imaginaron que podrían
producirse enormes brechas a la seguridad, y robo de información personal y datos
financieros de muchas formas posibles. No hay duda que estuvieron en lo cierto.
En la actualidad, existe una nueva “carrera por conectar las cosas” y “está generando
una ingeniería un poco negligente desde el punto de vista de la seguridad, logrando
que los dispositivos de la IoT sean muy ‘atacables’, de la misma forma en que lo eran
las aplicaciones web hace 10 años”, indicó Williams. Existen verticales industriales que
están intentando evitar los problemas de seguridad de la IoT desde el inicio,
estableciendo colaboración en la industria, sostuvo John Pescatore, director de
tendencias emergentes de seguridad del Sans Institute.
El Industrial Internet Consortium, que es una gran iniciativa, fue fundado en marzo e
incluye a empresa como IBM, HP, GE, Microsoft y Toyota, entre muchas otras. Ahora
se encuentra trabajando en temas de seguridad de la IoT. Existen otras industrias,
como la de dispositivos médicos y automotriz, que están haciendo algo muy parecido.
Sin embargo, los usuarios de empresas tendrán que integrar todas estas tecnologías,
con varios sistemas operativos, y luego hacer que todas ellas trabajen juntas como un
sistema, sostuvo Pescatore. El ejecutivo resaltó la dificultad que hubo para lograr los
estándares de seguridad para las PC. “Creo que esto hace que la integración del
sistema sea mucho más difícil”, indicó Pescatore, y fue “bastante difícil hacerlo entre
PC y servidores”.
Podrían surgir nuevos método para asegurar los dispositivos IoT. Por ejemplo, en un
escenario en donde se hace funcionar constantemente un calentador para quemar una
casa, la energía pasa por una compañía de servicios eléctricos, la cual puede actuar
10
como un proveedor de servicios administrados, o un cuasifirewall, y tomar acciones
cuando se detecta un uso anómalo de la energía, indicó el ejecutivo.
Predecir un asesinato vía la IoT es, por ahora, nada más que una especulación. Pero
los riesgos, y los tipos de riesgos, se están incrementando.