Internet de las cosas o Internet de los trastos
¿Sabes qué es el IoT o el Internet de las cosas? Lo que seguro sabes es que los lugares de trabajo cada vez están más interconectados. la comodidad que supone el ajustar el aire acondicionado o la iluminación desde el móvil, que la cafetera avise de que se ha quedado sin alguno de sus productos e incluso en un futuro cercano abrir un coche remotamente, impiden detenernos a hacernos la siguiente cuestión ¿Estos dispositivos son realmente seguros?
En INCIBE disponen de información sobre las medidas de ciberseguridad sobre Internet de las cosas a la hora de conectar a las redes de las empresas por ejemplo, las impresoras multifunción, en las que de base reflejamos su deficiente configuración y protección respecto a otros sistemas como ordenadores, servidores, etc. que sí «solemos» tener convenientemente protegidos mediante el uso de cortafuegos, instalando antimalware, utilizando contraseñas fuertes, etc.
En la actualidad, estos no son los únicos dispositivos que tenemos conectados al Internet de las cosas, o a lo que es lo mismo a la red de la empresa y a internet. Hay otros dispositivos desprotegidos con los que no contamos para la ciberseguridad de la empresa ya que no suelen estar incluidos en las auditorías de seguridad.
Los sistemas de seguridad físicos como cámaras de vigilancia Web IP, sistemas de control de presencia o alarmas que permiten el control remoto, sistemas de videoconferencia, medidores de energía o termostatos controlados en remoto desde un servidor, etc. son dispositivos que disponen de conexión directa a internet o las redes internas de la empresa y que no suelen estar contemplados por la política de seguridad de redes de las empresas. Son dispositivos englobados en lo que se denomina IoT o «Internet de las cosas», que consiste en conectar a internet objetos cotidianos con el fin de que puedan ser manejados o gestionar la información que generan en remoto.
Todos estos dispositivos pueden parecer inofensivos para la ciberseguridad de nuestras redes y empresas pero la realidad es que no es así. Al ser dispositivos conectados a internet de las cosas, son susceptibles de ser accedidos y comprometidos. Además, no suelen contar con los mismos estándares de calidad de seguridad de fábrica que otros dispositivos de red. Estos dispositivos suelen incluir deficiencias de seguridad como:
- usuarios y contraseñas de acceso por defecto y sin mecanismos que obliguen al usuario a cambiarlas por otras más seguras;
- páginas web de control y configuración inseguras o accesibles en remoto;
- inexistencia de cifrado en las comunicaciones;
- falta de personalización en la configuración de la seguridad;
- falta de soporte y actualizaciones de los fallos de seguridad detectados tanto en el software de control como en el firmware de los dispositivos.
Esto hace que sean una presa fácil para los ciberdelincuentes, que buscan este tipo de dispositivos como punto de entrada a las redes de las empresas o a otros puntos de la red que se encuentran más protegidos. El ataque y compromiso de estos dispositivos puede dar lugar a consecuencias graves para la seguridad como:
- ser añadidos a una red zombi que pueda realizar ataques DDoS, como es el caso de la red Mirai, que dejó en 2016 sin servicio a varias de las empresas más importantes a nivel mundial durante varias horas;
- ser utilizado como puente o punto de entrada para atacar otros equipos de la misma red, para poder robar información o comprometer servidores para realizar otras acciones delictivas;
Hemos de ser conscientes del problema que suponen estos dispositivos para la seguridad de nuestra empresa, así como las consecuencias que puede acarrear su deficiente instalación, configuración y mantenimiento. Para ello debemos tomar todas las medidas de precaución que nos permitan estos dispositivos y tratarlos como cualquier otro elemento que tengamos conectado a nuestras redes, incluyéndolos dentro de las políticas de seguridad y del Plan Director de Seguridad (PDS) de la empresa.
Algunas medidas o buenas prácticas que podemos adoptar para proteger estos dispositivos conectados a Internet de las cosas podrían ser:
- cambiar las contraseñas de fábrica por defecto;
- adquirir los dispositivos que resulten más seguros y que permitan actualizaciones de seguridad;
- habilitar su acceso a la red solo cuando sea necesario;
- evitar configurar el acceso a la red wifi de la empresa;
- deshabilitar el acceso remoto a los mismos desde fuera de la red interna corporativa;
- restringir el acceso únicamente al personal estrictamente necesario;
- desactivar la interfaz web si es posible;
- establecer un canal cifrado de comunicación.
Los fabricantes, de momento, priman la experiencia de usuario antes que la ciberseguridad por lo que debemos ser precavidos con los dispositivos que conectamos a nuestras redes corporativas, ya sea a través de cable o por medio de una red wifi, por inofensivo que parezca. Cualquier dispositivo conectado a la red es susceptible de ser atacado y comprometido, y más si no dispone de las medidas de seguridad suficientes.
Autor: Marco Antonio Lozano Merino, Especialista en Ciberseguridad del INCIBE
El papel se conecta a Internet de las Cosas
Un trozo de papel es uno de los objetos de uso diario más comunes y versátiles. Ahora, conectar elementos del mundo real con el entorno del Internet de las Cosas es posible utilizando tecnología existente y un patrón de bolígrafo, pegatina o plantilla.
Investigadores de la Universidad de Washington, Disney Research y la Universidad Carnegie Mellon han creado formas de dar a un pedazo de papel capacidades de detección que le permiten responder a comandos de gestos y conectarse con el mundo digital.
El método se basa en pegatinas de identificación por radiofrecuencia (RFID), que están adheridas, impresas o dibujadas sobre el papel para crear interfaces interactivas y ligeras que pueden hacer cualquier cosa, desde controlar la música usando un bastón de papel, hasta encuestas en directo en una clase.
El papel es nuestra inspiración para esta tecnología
Cuando la mano de una persona toca, golpea, cubre o se mueve sobre una etiqueta, la mano perturba la trayectoria de la señal entre una etiqueta individual y su lector. Los algoritmos pueden reconocer los movimientos específicos, y a continuación clasificar una interrupción de la señal como un comando específico. Por ejemplo, deslizando una mano por una etiqueta colocada en un libro de pop-up se puede hacer que el libro reproduzca un sonido específico, programado.
EL CALENDARIO DE PAPEL ELECTRÓNICO
Google es uno de los creadores del futuro y otra prueba de ello es este revolucionario “invento” del diseñador japonés Kosho Tsuboi.
¿En qué consiste?
Ni más ni menos que en conectar nuestro calendario de papel a nuestro calendario de Google. Hablamos de un nuevo concepto, una nueva tecnología que tiene como base el papel. Hablamos del epaper, hablamos del papel electrónico o conectado.
El calendario que reemplazará al que a día de hoy tenemos en las mesas de oficina o en las paredes de casa será también de papel pero de papel electrónico y se sincronizará de forma automática con nuestros smartphones. Quizá se quede en un prototipo pero sin duda este tipo de diseños abre un nuevo abanico de posibilidades al papel y por tanto a nuestro sector.
En definitiva, el epaper o papel electrónico es una tecnología de visualización basada en papel y plástico flexible que no requiere de una fuente de energía para mostrar la información, ya que por lo menos en este caso, el papel electrónico emplea luz ambiental para mostrar los datos.