Desde la pulsera de actividad que lleva un empleado hasta el televisor de la sala de reuniones que se utiliza para hacer videoconferencias, pasando por el disco duro que conecta un trabajador o hasta la cafetera que hay en la cocina: cada vez más aparatos que parecen inofensivos suponen un riesgo para los sistemas de tu empresa porque están entrando a formar parte de la llamada internet de las cosas (IoT).
En realidad, todo es susceptible de entrar, ahora o dentro de poco, en esta amplísima categoría que engloba a los dispositivos conectados a internet. Tanto es así que se ha predicho que, en 2020, más de 50.000 millones de artilugios tendrán acceso a la Red de redes y se comunicarán entre ellos. Un montón de puertas y ventanas al mundo virtual que, si no se implementan las políticas adecuadas, pueden servir a un ciberatacante para penetrar las barreras de la empresa.
En 2020 más de 50.000 millones de artilugios tendrán acceso a la Red de redes y se comunicarán entre ellos.
Lo más preocupante es que estos aparatos, que en la práctica son ordenadores, no lucen como ordenadores. Ni el termostato inteligente que controla la temperatura de la oficina, ni el sistema de videovigilancia que sube las imágenes a la nube, ni la impresora que avisa cuando se le acaba el tóner o el papel se tienen tan en cuenta como riesgos informáticos como un ordenador, un móvil o una tableta. Ni siquiera a los relojes inteligentes, cada vez más populares en los centros de trabajo, se les da la importancia que se debería.
Surge así una amenaza que tiene mucho en común con la famosa ‘shadow IT’, que hacía referencia a los programas y herramientas que los empleados comenzaban a utilizar sin permiso del departamento de informática (por ejemplo, una cuenta particular de Dropbox para compartir o almacenar a archivos). Con el auge de los dispositivos conectados, llega la era de la ‘shadow IoT’, la internet de las cosas en la sombra: los artilugios que acceden a la red de la empresa sin que lo sepan sus administradores.
Para controlarlos, toda empresa debería tener una estricta política de BYOD (‘Bring Your Own Device’) que contemple no solo los dispositivos habituales (portátiles, ‘smartphones’ y ‘tablets’), sino también los nuevos aparatos de la internet de las cosas. Por desgracia, el 72% de las compañías que realizan esta práctica admiten que sus empleados utilizan ‘software’ o ‘hardware’ que no ha sido aprobado por los responsables de seguridad.
No se trata solo de crear las reglas, sino también de transmitirlas adecuadamente y comprobar que se cumplen. Además, el departamento técnico debe realizar inspecciones frecuentes del tráfico de red, pues de esta manera podrán comprobar de dónde viene, a dónde va y detectar programas y artilugios que se están conectando sin permiso. Cuando esto sucede, deben retirarse de inmediato, al menos hasta comprobar que son seguros y que cumplen con la política BYOD.
Lo grave es que muchos de los aparatos de la llamada internet de las cosas tienen un diseño muy pobre en lo que respecta a la seguridad, pues se han concebido para ser baratos o tan sencillos de utilizar que representan un problema (por ejemplo, cuando no tienen pantallas y, por lo tanto, parecen todavía más inofensivos). Tenerlos en cuenta y vigilarlos resulta esencial, pues un solo eslabón roto en la cadena de seguridad puede hacer que se rompa la cadena entera.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
