Abelardo A. Tous-Mulkay, Director General de Genetec.
Con la rápida adopción de Internet de las cosas (IoT), nos estamos moviendo hacia un mundo completamente interconectado, desde organizaciones inteligentes a ciudades inteligentes. Nadie puede rebatir el poder que representa IoT, así como los retos sin precedentes que trae consigo en relación a la ciberseguridad.
Por lo tanto, su implementación debe ser pensada estratégicamente junto con una colaboración a gran escala, responsabilidad, apertura, accesibilidad y, sobre todo, confianza entre todas las partes involucradas: proveedores, integradores de sistemas, consultores, departamentos de TI y especialistas en ciberseguridad.
A medida que se depende cada vez más de los servicios basados en la web y de dispositivos conectados, se corre el riesgo de una mayor vulnerabilidad, especialmente si no reconocemos la importancia de la ciberseguridad en relación con IoT. Y es que tan solo en la actualidad, en Chile según Subtel (Subsecretaría de Telecomunicaciones), se han superado los 15 millones de conexiones a la red 4G, siendo el 85% a través de dispositivos móviles.
A nivel nacional, Subtel también da cuenta de una penetración de Internet de 112,9 accesos por cada 100 habitantes, con un crecimiento anual de 8,5 puntos porcentuales. De acuerdo con datos de la consultora Garner, el mercado de IoT a nivel mundial para 2019 se estima sea de US$745 millones y para 2022 superará el billón de dólares. Todo un panorama de crecimiento sostenido a altas tasas.
Dentro de estos dispositivos conectados están las cámaras, los controladores de puertas y otros dispositivos y sistemas de seguridad física, que son más inteligentes y potentes que nunca, y como parte de las redes públicas y privadas, estos están cada vez más interconectados. Ello facilita su administración, acelera las comunicaciones y aumenta la colaboración. Por encima de todo, estos ayudan a los profesionales de la seguridad a mantener a salvo a las personas y las organizaciones. Pero esta creciente conectividad no solo reporta beneficios. Las amenazas cibernéticas emergentes, los peligros y la actividad criminal originan nuevas vulnerabilidades y riesgos.
Conectividad es igual a vulnerabilidad
En las redes tanto públicas como privadas, los dispositivos se están interconectando cada vez más para facilitar su administración, acelerar las comunicaciones y aumentar el intercambio de datos. Sin embargo, en los últimos cinco años ha proliferado la disponibilidad de herramientas de ciberataques, y los delincuentes se han vuelto más sofisticados. Sin la seguridad adecuada, estos dispositivos conectados proporcionan una puerta de entrada a las redes personales, corporativas y gubernamentales donde se pueden robar datos confidenciales, o se puede instalar un malware.
Ataques como WannaCry, que inutilizó a más de 200 mil computadores en 150 países, entre ellos infraestructuras críticas como hospitales y fábricas que se vieron obligados a detener su producción; o las pérdidas por más de US$10.000 milloness que generó NotPetya, el ciberataque más costoso hasta el momento, son ejemplos de lo cuantioso y del impacto que puede generar la flexibilidad en nuestras prácticas de ciberseguridad en el mundo empresarial y gubernamental.
El año pasado Chile experimentó dos graves ciberataques, uno de ellos calificado como el más cuantioso al sufrir el Banco de Chile un robo de más de US$10 millones; y un mes después un grupo de Hackers llamado “The Shadow Broker” publicó bases de datos con información personal de cerca de 14 mil usuarios de tarjetas de crédito, lo que abrió el debate en el país sobre el tema de la ciberseguridad.
Un tema más actual que nunca
“Dado que la interconectividad es inevitable, hay riesgos con los que debemos estar atentos. Muchos incidentes ocurren en redes no seguras, atacando dispositivos que carecen de características básicas de ciberseguridad, por lo que la velocidad a la que se piratean estas redes y dispositivos no protegidos está aumentando”, comenta Abelardo A. Tous-Mulkay, Director General de Genetec.
“Si bien las empresas pueden reconocer la importancia de la ciberseguridad, en la práctica aún no están lo suficientemente alertas para revisar y mejorar las normas y prácticas de seguridad de la industria para protegerse a sí mismas y a sus clientes en un entorno cada vez más complejo y amenazador”, señala el ejecutivo.
Las Pymes son objeto de blanco para los piratas cibernéticos y, según IBM, el 62% de todos los ataques cibernéticos, aproximadamente 4 mil por día, es contra este tipo de empresas.
Estos ataques se producen en función de una serie de factores: las organizaciones continúan agregando dispositivos y sistemas a sus redes, y tienen políticas de dispositivos propios (BYOD) deficientes. Con frecuencia, los servicios se subcontratan para reducir los costos y, a menudo, solo dependen de los instaladores para implementar prácticas de seguridad efectivas, lo que los convierte en “objetivos flexibles” de ataque.
Al igual que ocurre con cualquier entidad interconectada, los sistemas de seguridad pueden ser el blanco de una ofensiva. El ataque de los piratas informáticos a un sistema de seguridad puede adoptar una gran cantidad de formas; incluidos los ataques de fuerza bruta, de analizadores de paquetes, y los de intermediarios (“man-inthe-middle”). En algunos casos, los delincuentes cibernéticos pueden escuchar y modificar las comunicaciones, incluso cuando los usuarios crean que su sistema es seguro. Esta variedad de estrategias de ataque requiere una variedad igual de niveles de defensa.
¿Qué medidas tomar?
De acuerdo con Genetec, proveedor global de soluciones de seguridad, inteligencia y operaciones, al elegir una solución de seguridad basada en IP, las organizaciones y entidades de gobierno deben examinar y evaluar las políticas de seguridad cibernética del proveedor: ¿Cuáles son sus principios y prácticas? ¿Los mecanismos de seguridad incorporados que se ofrecen en sus soluciones? ¿Utilizan comunicaciones encriptadas de múltiples capas, capacidades de protección de datos y autenticación de usuario y protección de contraseña sólidas? Asegurarse de que estos elementos sean considerados en un proyecto de seguridad IP ayuda a proteger a las empresas y gobiernos contra ataques maliciosos, además de garantizar que solo aquellos con privilegios específicos puedan acceder o usar recursos, datos y aplicaciones.
Si ocurre un hecho lamentable y se produce una violación de datos, los costos de recuperación pueden alcanzar cientos de millones de dólares, además de que el daño a la reputación de la empresa o entidad gubernamental afectada es a menudo irreversible. National Cybersecurity Alliance descubrió que el 60% de las pequeñas empresas no puede sostener su negocio más de seis meses después de un ataque cibernético importante.
Por ello, Genetec sugiere integrar soluciones seguras, auditadas y en conformidad con las normas que ayuden a proteger la privacidad sin comprometer la seguridad; así como incorporar líneas de defensa múltiples y variadas, es decir, contar con una estrategia de defensa en profundidad de seguridad cibernética, para enfrentar las amenazas comunes y emergentes, además de proteger los entornos empresariales y del sector público.
Es por esto que a medida que IoT tiene una mayor penetración y las regulaciones evolucionan, será fundamental fortalecer las políticas de seguridad cibernética para todos los sistemas, incluidas las soluciones de seguridad física: “Para que las empresas combatan el desafío de la ciberseguridad, es necesario que haya una integración verdadera y confiable entre la seguridad cibernética y física, y una responsabilidad y asociación compartidas entre todas las partes involucradas”, concluye Abelardo A. Tous-Mulkay.