Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

Examen del sesgo de supervivencia en los ataques a IoT

Internet de los objetos (IoT)

A medida que los dispositivos IoT se abren paso en las vidas y los hogares de los consumidores, los ataques sensacionales a IoT se abren paso en los titulares. 

El pirateo de cámaras de vídeo Verkada permitió a los atacantes acceder en directo a fábricas (incluida la de Tesla), hospitales, cárceles y otros lugares. Un casino fue hackeado a través de un termómetro de pecera conectado. Los investigadores tomaron el control de un Jeep a través de una vulnerabilidad del firmware.

Aunque es difícil exagerar las ventajas de IoT y los dispositivos conectados, los riesgos de seguridad de los dispositivos IoT se han convertido en una prioridad absoluta para las partes interesadas en la confianza digital, es decir, todo el mundo. 

Pero no todo el mundo está de acuerdo sobre los riesgos, como revela el informe de Keyfactor2023, Navigating the State of IoT Security..

  • El 89% de las organizaciones que operan o utilizan IoT han sufrido ciberataques en el último año. 
  • El 22% de los que no han sufrido ataques afirman que no se enfrentan a ningún reto a la hora de proteger sus productos IoT . 
  • Sin embargo, de las organizaciones que han sufrido ataques, sólo el 2% afirma que no se enfrenta a ningún reto.

Una lectura de estas estadísticas podría suponer que estas organizaciones han sido proactivas y eficaces a la hora de proteger sus dispositivos IoT . Sin embargo, otra lectura podría sugerir sesgo de supervivencia - la suposición de que nunca podrían sufrir un ataque.

Tanto si han sufrido un ataque como si no, las organizaciones no deben dormirse en los laureles a la hora de proteger los dispositivos de IoT . 

El déficit de confianza

Según el informe, la mitad de los encuestados coincide en que su organización carece de la concienciación y los conocimientos necesarios para defenderse de los ataques a IoT , mientras que el 43% cree que está "todo lo protegida que puede estar". Mientras tanto, el 88% de los encuestados coinciden en que sus organizaciones necesitan mejorar la seguridad de IoT .

Esto demuestra que la mayoría de las organizaciones no tienen una visión de la seguridad total ni de cómo alcanzarla. En otras palabras, saben que "tan protegidos como podamos estar" no es "suficientemente protegidos". Las organizaciones que no han sido víctimas de un ataque pueden tener aún puntos ciegos en sus estrategias de seguridad IoT . 

La marea creciente

En los últimos tres años, el 69% de las organizaciones que utilizan dispositivos IoT informaron de un aumento de los ataques a IoT . En el mismo periodo, las organizaciones observaron un aumento del 20% en el número de productos conectados que utilizan.

La cuestión de la responsabilidad es endémica en la conversación. ¿Quién tiene la culpa de los atentados de IoT ? ¿Sobre quién recae la carga de prevenirlos? Mientras que el 38% de los encuestados afirma que el fabricante del dispositivo IoT y el usuario deben ser considerados responsables a partes iguales, el 47% de los encuestados afirma que el fabricante debe ser responsable en su mayor parte o en su totalidad. 

Incluso si el fabricante del dispositivo es el responsable, las organizaciones de usuarios sufren las consecuencias. La superficie de ataque está creciendo, y los atacantes están haciendo más tiros a puerta a través de IoT. 

Los costes también crecen.

Para los fabricantes, la interrupción media de certificados en las líneas de fabricación cuesta 2,25 millones de dólares. La friolera del 98% de los fabricantes de dispositivos declaró haber sufrido una interrupción de este tipo en los últimos 12 meses. 

Lo que funciona hoy puede no funcionar mañana o no funcionar a escala. El informe muestra que las organizaciones buscan el apoyo de los proveedores a medida que aumenta el número de dispositivos, lo que demuestra que las organizaciones luchan por gestionar el crecimiento y mantenerse al día en las últimas tecnologías de seguridad. 

Presión de cumplimiento

Si los ataques no incentivan a las organizaciones a buscar la seguridad en IoT , lo hará el cumplimiento de la normativa. 

En el informe IoT , el 98% de las organizaciones afirma que la normativa influye en el desarrollo de IoT y los productos conectados. Por ejemplo: 

  • El estándar Matter es un protocolo abierto para el hogar inteligente que fomenta la interoperabilidad, la fiabilidad y la seguridad entre dispositivos domésticos inteligentes, aplicaciones móviles y servicios en la nube.
  • UNECE 155/156, ISO 15118, e ISO 21434 proporcionan marcos para la seguridad en la industria del automóvil.
  • LA NORMA IEC 62443 establece un marco para los sistemas de control de automatización industrial que ofrece orientación tecnológica operativa sobre la segmentación de redes, la aplicación del principio del mínimo privilegio y el cifrado de datos.
  • IEEE 802.1AR sienta las bases de la seguridad de los dispositivos, incluidos el aprovisionamiento, el arranque, las actualizaciones de software y la comunicación.

El cumplimiento es lo mínimo

Queda por ver si estas normas y marcos se convertirán en normativas, cuáles y cuándo. Lo más probable es que los consumidores y las organizaciones presten más atención a los dispositivos conectados que utilizan. Los estudios muestran que la seguridad se ha hecho un hueco en la conciencia pública.

Las organizaciones tienen la oportunidad de hacer de la seguridad un elemento diferenciador en el mercado. Las organizaciones harían bien en utilizar estas normas como punto de partida, brújula y mínimo indispensable para crear confianza digital.