1 El Internet of Things: La conectividad que está cambiando su vida
Transcripción
1 El Internet of Things: La conectividad que está cambiando su vida
1 El Internet of Things: La conectividad que está cambiando su vida Fuente: mediapressconsulting.com / DIANE NOBOA Está sucediendo en este momento. El Internet evoluciona convirtiéndose en lo que llamamos el “Internet of Things” (IoT) y es la conversación más relevante de nuestro tiempo. ¿Qué significa el “Internet of Things” (IoT) y cómo nos afecta? Complejidades técnicas impiden entender la magnitud del Internet of Things. El IoT (como se lo abrevia), es la capacidad de crear artefactos con sensores wi-fi que se comunican entre ellas y envían datos a sobre los usuarios y su comportamiento. Esto incluye cafeteras, lavadoras, audífonos y relojes hasta autos y casas enteras con comandos accesibles desde nuestro móvil. Aplica a maquinaria pesada, aviones y redes eléctricas para ciudades inteligentes como Barcelona, España. Según un estudio por la firma de análisis e investigación Gartner, se estima que para el 2020 existirán más de 26 mil millones de artefactos conectados –sin contar celulares y tablets – impactando el consumo directo, la seguridad cybernética, la reducción de costos laborales y la oportunidad de crear nuevas líneas de negocio con ganancias extraordinarias. El mismo estudio prevée una ganancia agregada de $1.9 trillones en varios sectores al 2020. Las compañías líderes ya lo implementan y los artefactos que se construyan a partir de ahora tendrán sensores de IoT incorporados. ¿Cómo nos impacta esta tecnología? Los ejemplos más sencillos son los cotidianos. Si usted se levanta a las 6:00 am, su alarma sonará y le mandará mensaje a su cafetera para que empiece a hacer café. Luego se subirá a su auto, conectará su celular al vehículo dándole acceso a su calendario. El auto le dirá – según su hora de salida – cuál es la mejor ruta a su destino. Si hay un accidente o tráfico pesado, su auto podrá enviar un mensaje a las personas de la reunión informando sobre su atraso. 2 En la oficina funcionará de la misma manera. Algo tan sencillo como su máquina copiadora tendrá un sensor que le indicará a la compañía de suministros que necesita tinta o si es necesario hacer mantenimiento. Los dispositivos serán autónomos y funcionarán con más eficiencia que los operadores humanos. Existen oportunidades y aplicaciones infinitas, las que se aprovecharán de maneras aún no comprensibles en los próximos 5 años. Las industrias de la salud, hotelería, las aseguradoras y la manufactura están entre las pioneras en implementar y beneficiarse de esta tecnología. En manufactura, el beneficio viene de tener una cifra exacta del inventario y su relación con materias primas y componentes en tiempo real, dándoles la oportunidad de reaccionar inmediatamente al mercado y a preferencias de consumo. En la industria de la salud, ropa con sensores podrán detectar cuando personas ancianas se caigan y llamar a la unidad de emergencia si no se levantan. Frascos inteligentes podrán detectar si la persona enferma olvidó tomar su medicamento, enviándole un mensaje de alerta a su celular. El mercado de las casas inteligentes conectadas al Internet, donde todo está centralmente monitoreado y controlado, tendrá un volumen de venta de 4.1 mil millones de Euros para el 2017 sólo en Europa, según estudios de Deloitte & Touche. A mayor escala, el IoT se aplica a las ciudades inteligentes en transporte, uso de agua, energía eléctrica y reducción de desechos. Un ejemplo excelente desde el 2010 es Barcelona, España, líder actual en inteligencia urbana sustentable. La necesidad de transformación digital de los negocios Con la increíble rapidez de implementación del IoT y la digitalización global de los modelos de negocio, es alarmante que la mayoría de empresas en Ecuador aún no tengan algo tan básico como una página web dinámica diseñada para móviles y adaptada a las necesidades de su consumidor digital. Según John Chambers, CEO de Cisco, los negocios que no inviertan en digitalizar sus procesos y mejorar su tecnología no podrán competir y desaparecerán en los próximos 5 años. Esto aplica especialmente a instituciones financieras, servicios de salud, aseguradoras y retail (desde almacenes en línea hasta centros comerciales). El IoT lo cambia todo y obliga a las empresas a digitalizarse si quieren mantenerse a flote. Esto no incluye únicamente insumos digitales necesarios como páginas web, sino un mejoramiento de la conectividad y tecnología de soporte, los procesos de recolección y análisis de datos, la cyberseguridad y la capacitación del personal a trabajar en modelos de colaboración horizontal entre departamentos y sucursales. Las desventajas del IoT La tecnología no viene sin peligros. Uno de los más grandes es el de seguridad. Con miles de millones de artefactos conectados y enviando nuestra información personal sin encripción de manera constante al cyberespacio, somos altamente vulnerables. Sería fácil para un hacker entrar en el sensor de la lavadora y acceder a toda nuestra información personal desde nuestra propia red. O a gran escala, hackear la información de la compañía que produce las lavadoras y robarse el dato de todos sus clientes. 3 La cantidad de información que genera esta tecnología también propone un riesgo al no tener una plataforma estándard. Las soluciones más efectivas provienen de empresas como Cisco, que agrupa y gestiona toda la información IoT además de garantizar su seguridad. ¿Y ahora qué? Las conversaciones sobre IoT son la tendencia alrededor del mundo competitivo, analizando las oportunidades y el impacto que tendrá sobre nuestras vidas, nuestras interacciones y como hacemos negocios a medida que más dispositivos se unen a la tecnología. Por ahora lo mejor que podemos hacer es educarnos y preparar nuestros negocios para este cambio inevitable. 26.000 millones de ventanas abiertas al cibercrimen El 'Internet de las cosas', que pretende hacer 'smart' cualquier objeto, promete ser el mayor reto en seguridad digital de la historia Fuente: Tecnología El País / ÁNGEL LUIS SUCASAS PETER DAZELEY (GETTY IMAGES) La nevera. El coche. La ropa. Los juguetes… Enumerar la lista de objetos que nos rodea e imaginarlos conectados entre sí y a la Red es el sueño del Internet de las cosas (IOT). Las posibilidades, infinitas, desde lograr el sueño del coche autotripulado que encuentra aparcamiento por sí solo hasta el juguete parlanchín que ayuda en su aprendizaje al niño mediante análisis lingüístico. Son dos ejemplos de los 26.000 millones de objetos conectados que la consultora Gartner predice para 2020. Pero estos miles de millones de objetos son también miles de millones de ventanas para el cibercrimen. Y los expertos apuntan a una conclusión: el IOT no está preparado para tapiarlas. “No lo estamos del todo porque la conectividad llega cada vez a más dispositivos. Las personas que diseñan los sistemas operativos y el software en Apple, Google o Microsoft siempre tienen en cuenta la seguridad. No pasa lo mismo con otros aparatos online como bombas de insulina, electrodomésticos, coches, aviones comerciales… 4 Todos ellos son vulnerables ante cualquier tipo de ciberataque”, explica Alfonso Ramírez, director general de la compañía antivirus Kaspersky Lab Iberia. Informes sobre el IOT apuntan a esta misma tendencia. El pasado verano, HP analizó los 10 objetos con funciones online más usados para llegar a una inquietante conclusión. El 70% de estos dispositivos fueron vulnerables a los ataques. Y la mayoría no usaba ningún tipo de sistema de encriptación para proteger los datos de los usuarios. “Con tantos dispositivos transmitiendo esta información desde la red de los hogares, los usuarios están a solo un error de configuración de la red de exponer sus datos al mundo a través de las redes inalámbricas”, indica Craig Smith, líder de dicho informe de HP en el análisis. De hecho, a los expertos no les cuesta imaginar nuevos panoramas para el cibercrimen, como apunta Vicente Díaz, analista de la marca Karspersky: “No se ha dado el caso aún, pero se puede fabular con un ejemplo especial de ramsonware (el secuestro exprés de datos) con un coche inteligente. Te bloquean el mecanismo de apertura y te piden un rescate para recuperarlo”. Otros riesgos potenciales estarían en la recopilación de datos sobre rutinas diarias a través del móvil o de cualquier otro dispositivo. Hasta se da el caso de dispositivos que ofrecerían al cibercriminal la opción de tener orejas dentro del hogar de la víctima. El pasado mes de febrero, estalló la polémica por una aplicación de Samsung de comandos por voz que grababa las conversaciones de los usuarios y las enviaba a terceros. La compañía aseguró a medios como The Guardian que toda esta información se enviaba encriptada y en ningún caso era vendida a otras empresas. Pero la preocupación por el riesgo a que un pirata pudiera vulnerar ese protocolo o al mero hecho de que el usuario se despiste de que tiene activada esa función y grabe una conversación íntima avivó la polémica. Ni siquiera la industria del juguete se libra. Apenas un mes después de los titulares sobre la función espía del televisor Samsung, una nueva muñeca de Mattel, Hello Barbie copó las cabeceras mundiales por usar la misma función de grabado de voz. La ONG norteamericana Campaña por una Infancia Libre de Publicidad inició una recogida de firmas para pedir a Mattel que cese la producción. Casi siete mil personas la han apoyado hasta la fecha. ¿Soluciones? Para empezar, un cambio de mentalidad en el orden de prioridades en las empresas. “Esta industria está comenzando y tiene muchos retos. Y lamentablemente la seguridad no es lo primero que se mira. Las vulnerabilidades de los dispositivos pueden aún ser desconocidas para los agresores y para los defensores y hacen del IOT un terreno abonado a la ciberdelincuencia”, explica Luis Corrons, director técnico de Panda Labs. Las campañas de concienciación están en marcha. El 16 de septiembre de 2014, las agencias de protección de datos europeas acuñaron un dictamen de 24 páginas exclusivamente dedicado al IOT. Las conclusiones: que las empresas se tomen muy en serio toda la reglamentación relativa a seguridad online, que informen a sus usuarios de qué datos han capturado y que borren la información en bruto que almacenen y se queden solo con aquella específica del servicio que ofrecen. Proyectos sin ánimo de lucro como OWASP –apoyado por empresas como HP, Nokia o Adobe– dedican sus esfuerzos a que quede claro que tapiar las ventanas del IOT solo será posible con un esfuerzo conjunto de usuarios, gobiernos y empresas. 5 Tres peligros del IOT Muñecos parlantes La Hello Barbie, que graba la conversación de su usuario, acapara la polémica este 2015. Pero no es el único juguete en el punto de mira. En enero de este año, el experto en seguridad Ken Munro hackeó en directo para la BBC a la muñeca Cayla para demostrar que se le podría hacer decir cualquier barbaridad. Coches 'hackeables' Un coche utilizado como arma. O como medidor de cómo conduce un potencial cliente de una aseguradora. Son algunas de las vulnerabilidades detectadas en el informe que el senador Ed Markey de Massachusets hizo públicas en su informe sobre el automóvil online del pasado mes de febrero. Lavadoras zombi Con el IOT, el pirata puede encontrar viejas soluciones para nuevas realidades. Una que ya se ha teorizado es la thing-net, evolución de la bot-net, redes de ordenadores controlados remotamente como zombis sin que su usuario lo sepa. La horda de secuaces serían, en este caso, todos los objetos conectados a la red. Aumentan las amenazas en el ambiente de los equipos móviles Fuente: Kaspersky.com Según un reporte de Kaspersky, el malware móvil creció casi tres veces en el segundo trimestre de 2015. El 51% de los ataques se generaron en webs maliciosas de Rusia. Tras el fuerte crecimiento de equipos móviles, Kaspersky informa que este segmento ha sufrido grandes cifras de ataques de amenazas de malwares. Según el análisis de la compañía, en el reporte del segundo semestre, se han detectado que el 51% de los ataques procedentes de Internet bloqueados tuvieron origen desde recursos web maliciosos localizados en Rusia durante el segundo trimestre. Este panorama estuvo seguido por países como los Estados Unidos, Holanda, Alemania, Francia, Islas Vírgenes, Ucrania, Singapur, Reino Unido y China. 6 El informe público, ‘Panorama de ciberamenazas del segundo trimestre’, explica que hubo un total de 291,800 nuevos programas de malware para dispositivos móviles que se vieron en el surgieron de este trimestre, siendo un total de 2.8 veces mayor a lo registrado en el primer trimestre de 2015. Asimismo, hubo un millón de paquetes de instalación de malware para móviles, siendo siete veces mayor a lo contabilizado en el trimestre anterior. Además, la firma dijo que las operaciones bancarias móviles permanecieron como el objetivo principal entre las amenazas para móviles. En el primer trimestre de 2015 se encontró al virus Trojan-SMS.AndroidOS.OpFake.cc, el cual era capaz de atacar a no menos de 29 de aplicaciones bancarias y financieras. A su vez, en el apartado de ataques a financieras, hubo 5,900,000 notificaciones acerca de intentos de infección por malware para robar dinero mediante acceso en línea a cuentas bancarias, pero fue 800,000 menor que el primer trimestre. Las amenazas financieras no están limitadas a programas de malware bancario los cuales atacan a clientes de sistemas bancarios en línea. Además del malware bancario (83%), las amenazas financieras son generadas por mineros de Bitcoin (9%) – estos son programas de malware que utilizan los recursos informáticos de la computadora de la víctima para generar Bitcoins, así como ladrones de billeteras de Bitcoin (6%) y registradores de teclas (2%). Por esta razón, contar con soluciones de seguridad móvil puede ayudar a prevenir y mitigar varias de estas amenazas, sobre todo si se utilizan, en mayor medida, para transacciones online y sistema de billetera electrónica. 10 formas de prevenir los ataques cibernéticos en dispositivos médicos Fuente: prensariotila.com / Bob Nilsson Un gran número de departamentos de TI de hospitales, centros de salud, ingeniería clínica y fabricantes de dispositivos médicos, ha llamado poderosamente su atención el tema de la seguridad. Están reconociendo la importancia de proporcionar conectividad inalámbrica a un número cada vez mayor de dispositivos médicos no sólo para el monitoreo remoto del expediente clínico electrónico, sino sistemas con un alto grado de complejidad y sensibilidad como lo pueden ser dispensadores electrónicos de medicamento o monitores de signos vitales. Teniendo en cuenta el crecimiento exponencial del número de dispositivos que se conectan a la red (Wi-Fi de alto rendimiento o redes locales) y la explosión de dispositivos médicos inalámbricos, los hospitales deben reevaluar cual es la visión y el apoyo de las redes en ambientes de misión crítica. 7 En el reporte Seguridad Cibernética e Infraestructura Crítica de las Américas realizado por la Organización de los Estados Americanos (OEA), se indica que en Latinoamérica el número de ciberataques está aumentando, tanto en número como en su nivel de sofisticación, dado que quien está detrás de este tipo de amenazas, podrían estar apuntando a infraestructuras de misión crítica que ponen en riesgo mucho más que simples datos y procesos de negocio. En 2014 el robo de información médica aumento en un 600%, esto de acuerdo a un reporte publicado por la empresa de seguridad Panda Security. Cabe señalar que en el mes de agosto de ese mismo año tuvo lugar en Estados Unidos uno de los robos de información médica más importante hasta hoy registrado. La información personal de más de cuatro millones de pacientes de la red de hospitales de Community Health Systems fue comprometida. A través de una red inalámbrica, hackers informáticos técnicamente podrían abrirse paso en poco tiempo a sistemas con capacidades IoT (Internet de las cosas) de los hospitales y modificar, si no se cuenta con medidas precautorias de alto nivel y soluciones de visibilidad de red de alto nivel, acceso al expediente clinico electrónico, monitores de salud y hasta dispensadores de medicamento conectados a la red. La urgencia con la cual los centros de salud deben reaccionar para atender proactivamente estas áreas de mejora críticas, debe ser atendida sin más excusas. Extreme Networks en conjunto con la Asociación para el Avance de la Instrumentación Médica, AAMI (por sus siglas en inglés), propone a organizaciones de salud 10 recomendaciones clave para resguardar la integridad de redes hospitalarias. 10 maneras de minimizar el riesgo en redes de centros de salud y hospitales Contraseñas: No utilizar las contraseñas que vienen de default, cámbielas. Las contraseñas que vienen de fábrica son las primeras que los hackers intentarán usar. Para que su contraseña sea segura puede utilizar contraseñas que contengan combinaciones de letras y números, frases o contraseñas encriptadas. No utilice WEP / PSK / TKIP: Los dispositivos comparten la misma clave y si una clave es comprometida, todo los dispositivos de la red con una clave son vulnerables a un ciber ataque. Hacer que los datos estén cifrados en reposo. Realiza una buena copia de seguridad de la anterior versión del sistema operativo, configúralo para que no haya ningún cambio y asegúrate de que tu personal sepa como rescatar esa versión. Encripte las bases de datos que proporcionen datos personales de los pacientes con el fin de proteger su privacidad. Tener una instalación de gestión de parches. Las actualizaciones de software o los parches son comunes, pero a veces los parches arreglan un problema pero descomponen otro. Es conveniente tener un proceso o la facilidad de verificar el trabajo de los parches con el equipo HDO de despliegue full-scale, es una forma de minimizar el riesgo de que el parche interfiera en la comunicación de los dispositivos. Las actualizaciones del software incluye controladores, sistema operativo y cambios en aplicaciones. Notifica a todos los empleados como puede afectar esto. Emplear controles de acceso a la red basados en roles. Restringir el acceso a un hacker compromete al usuario y crear credenciales de dispositivos de seguridad es una necesidad. Una persona o dispositivo debe de tener acceso solo a la parte de la red que necesita para trabajar. 8 Esto es llamado acceso basado en roles. Garantizar la redundancia. Identificar las fallas de una de sola-falla, en cada caso la probabilidad de ocurrencia del fracaso es asociado con la falla. Si un interruptor de núcleo único falla, grandes porciones de la red caerán, así que es común tener un switch tipo hot stanby (redundante) que tome control. Verificar el sistema periódicamente. Verifica correctamente. Esto podría incluir artículos como: que los dispositivos trabajen Itinerancia de dispositivos móviles Área de cobertura de Access Point Velocidades de datos soportadas Comunicar lo necesario a los segmentos de la red Configuración de canal y energía para los Access Points Pruebas del sistema IDS / IPS Seguimiento de la ubicación correcta Access Points / Contoladores / Servidores estén dentro de los limites propuestos Ejecutar todos estos elementos en la mejor infraestructura. Mientras que los enlaces por cable son normalmente más confiables y soportan más ancho de banda que los enlaces Wi-Fi, checar los elementos de la lista anterior es necesario para ayudar a asegurarnos que red está en un inicio conocido y robusto. Pregunte por los resultados de pruebas de seguridad antes de la compra de dispositivos. Antes de que un nuevo dispositivo llegue al hospital, verifique que cumple con los requisitos de seguridad del hospital. No permita que este en red hasta que el dispositivo sea probado. Esto puede incluir: encriptación, autentificación, parches del sistema operativo y versión de protección contra virus. Realizar auditorías periódicas. En intervalos regulares, verifica que el sistema trabaja y esta configurado de la forma adecuada. Algunas de las áreas a verificar son: ¿Quién tiene acceso a cambios del sistema? ¿El sistema corre de forma adecuada con la versión de software y sistema operativo? ¿La configuración en ejecución coincide con la configuración de arranque y coincide con la copia de seguridad? ¿Todos los cambios registrados coinciden con los registros de gestión de la configuración de dispositivos? 9 Internet de las Cosas podría matar a alguien Fuente: computerworld Imagine una flota de quadcópteros o drones equipados con explosivos y controlados por terroristas. A alguien que hackea una bomba de insulina y cambia la configuración de manera mortal. O quizás el hacker que accede al calentador y termostato de un edificio y levanta la temperatura hasta que se inicie un incendio. Todo esto puede sonar como material para una película de James Bond, pero hay expertos en seguridad que ahora creen, como lo hace Jeff Williams, CTO de Contrast Security, que “la Internet de las Cosas va a matar a alguien”. Williams, cuya firma proporciona seguridad para aplicaciones, no sabe exactamente la forma en que la Internet de las Cosas (IoT, por sus siglas en inglés) podría usarse para matar a alguien o qué dispositivo se vería implicado en el nefasto esquema, pero considera certero que un dispositivo conectado tendrá un papel en algún asesinato. De manera similar, Rashmi Knowles, chief security architect de RSA, afirmó algo análogo en una reciente entrada de blog, en la que imagina que algunos criminales podrían hackear dispositivos médicos y comenzar “una economía completamente nueva” al extorsionar a las víctimas. “La pregunta es cuándo se producirá el primer asesinato”, escribió Knowles. Uno puede considerar que estas preocupaciones son una exageración, pero muchas predicciones de la comunidad de seguridad acerca de los riesgos relacionados con Internet se han convertido en realidad. Cuando las empresas se apresuraron en desarrollar plataformas web, los expertos en seguridad imaginaron que podrían producirse enormes brechas a la seguridad, y robo de información personal y datos financieros de muchas formas posibles. No hay duda que estuvieron en lo cierto. En la actualidad, existe una nueva “carrera por conectar las cosas” y “está generando una ingeniería un poco negligente desde el punto de vista de la seguridad, logrando que los dispositivos de la IoT sean muy ‘atacables’, de la misma forma en que lo eran las aplicaciones web hace 10 años”, indicó Williams. Existen verticales industriales que están intentando evitar los problemas de seguridad de la IoT desde el inicio, estableciendo colaboración en la industria, sostuvo John Pescatore, director de tendencias emergentes de seguridad del Sans Institute. El Industrial Internet Consortium, que es una gran iniciativa, fue fundado en marzo e incluye a empresa como IBM, HP, GE, Microsoft y Toyota, entre muchas otras. Ahora se encuentra trabajando en temas de seguridad de la IoT. Existen otras industrias, como la de dispositivos médicos y automotriz, que están haciendo algo muy parecido. Sin embargo, los usuarios de empresas tendrán que integrar todas estas tecnologías, con varios sistemas operativos, y luego hacer que todas ellas trabajen juntas como un sistema, sostuvo Pescatore. El ejecutivo resaltó la dificultad que hubo para lograr los estándares de seguridad para las PC. “Creo que esto hace que la integración del sistema sea mucho más difícil”, indicó Pescatore, y fue “bastante difícil hacerlo entre PC y servidores”. Podrían surgir nuevos método para asegurar los dispositivos IoT. Por ejemplo, en un escenario en donde se hace funcionar constantemente un calentador para quemar una casa, la energía pasa por una compañía de servicios eléctricos, la cual puede actuar 10 como un proveedor de servicios administrados, o un cuasifirewall, y tomar acciones cuando se detecta un uso anómalo de la energía, indicó el ejecutivo. Predecir un asesinato vía la IoT es, por ahora, nada más que una especulación. Pero los riesgos, y los tipos de riesgos, se están incrementando.