Errores básicos en las prácticas de seguridad en los dispositivos IoT
La gran mayoría de los proveedores de dispositivos conectados no contempla o no conoce las prácticas y soluciones más básicas de ciberseguridad, según un estudio de CITL.
La gran mayoría de los proveedores de dispositivos conectados (IoT) no contempla o no conoce las prácticas y soluciones más básicas de ciberseguridad, según un estudio de CITL. Solo el hecho de añadir capacidades firmware añadiría una capa de seguridad muy importante, pero prácticamente nadie lo hace. Y, lo que es peor aún, el futuro pinta peor.
“Y eso que es muy fácil de hacer”, asevera Sarah Zatko, científica jefe de CITL, en relación a la posibilidad de activar características básicas de seguridad en los dispositivos. “No hay una buena razón para no hacerlo, aunque no creo que este descuido sea a propósito. Es una negligencia benigna. Simplemente a alguien no se le ocurrió que ese era su trabajo”.
En cualquier caso, los proveedores de IoT podrían activar fácilmente estos indicadores de seguridad y verificarlos como parte de su proceso de administración de próximas versiones. SI bien ninguna de estas mitigaciones de seguridad es mágica, sirven como ‘airbags y cinturones de seguridad’ de este mundo. Solo requiere un par de horas extras de trabajo de ingeniería. Y tal vez no eviten el choque, pero pueden salvarte la vida.
Dado que ni el mercado ni la regulación han logrado fomentar una cultura responsable de la ciberseguridad en este aspecto, la pregunta es qué cosa grave tiene que suceder para que se imponga cierto control. Sin embargo, Zatko espera que los grandes compradores puedan marcar la diferencia. “El mercado libre por sí solo no está haciendo mucho”, admite. “Si las personas que toman grandes decisiones de compra comenzaran a inquirir sobre la seguridad, se empezaría a estimular a los proveedores. Hay que tener en cuenta que tanto empresas como administraciones públicas compran grandes cantidades de productos IoT”.
Por lo general, los compradores tienen una lista de verificación de las preguntas de seguridad que hacen antes de firmar un contrato. “La obligación de introducir estas preguntas obligaría a los vendedores a verificar más exhaustivamente y les daría la información de que los grandes compradores se preocupan por la seguridad”.
