Los peligros de ciberseguridad en la CRA y los dispositivos inteligentes IOT

Hoy en día, los peligros de la ciberseguridad son constantes en nuestro vivir cotidiano. En radio, televisión, en internet escuchamos los peligros de recibir posibles ataques a dispositivos inteligentes. Estos dispositivos son ya protagonistas en nuestras vidas y pueden ser parte integrantes de un sistema de alarmas. Entonces, ser sujetos de posibles verificaciones por parte de los operadores de la CRA en caso de salto de alarma. Este escenario es como una espada de doble filo, que puede afectar en la (ciber)seguridad sea por el lado del cliente de un servicio de conexión a CRA a través del sistema de alarmas o sea del lado de las mismas infraestructuras de la Central Receptora de Alarmas que reciben los saltos de alarmas, los verifican y avisan a las fuerzas de seguridad en caso de que fuera necesario.

Esta situación es la consecuencia directa de la proliferación de los dispositivos IOT, internet of things, se trata de los dispositivos conectados de cualquier tipo. En los últimos años han tenido un crecimiento más que exponencial. De hecho, hay el triple de iot que seres humanos: más de 35 mil millones. A este crecimiento tan exagerado se le asocian todos los riesgos relacionados con estos tipos de dispositivos.

Estos son los principales riegos y peligros de ciberseguridad de los dispositivos inteligentes IOT:

• Los recursos limitados: muchos de estos dispositivos son pequeños, son muy básicos, tienen una potencia muy limitada y además disponen de poca memoria y de poca capacidad de almacenamiento. Entonces, en muchos de estos casos no permiten aplicar políticas de seguridad avanzadas de forma eficaz.
• El bajo coste: en algunos casos los fabricantes tienen que estar limitados por el tema económico con respeto a las características del hardware. Por ende, si se le corta el presupuesto de fabricación de los equipos, a esto se le asocia una disminución de la inversión en la ciberseguridad del dispositivo inteligente.
• Falta de experiencia de los fabricantes: dado que estos dispositivos han salido como “setas en los bosques” durante los últimos años. Además, a este “boom” se le ha asociado la creación de nuevas empresas y nuevos fabricantes. Profesionales que por primera vez miraban hacia este tipo de mercado cogiendo las oportunidades que puede ofrecer este tipo de negocio. También en este escenario, se refleja la falta de aplicación de todas las medidas de seguridad y de todas las políticas necesarias que se deberían aplicar a estos dispositivos IOT.
• Fallos en el diseño: cuando se construye un aparato de este tipo, la ciberseguridad no se centra solo en el software, en la parte del programa que vas a ver y utilizar como usuario. La (ciberseguridad) empieza desde el momento cero, desde el mismo momento en que se desarrolle y se va a fabricar el equipo. Vamos a poner un ejemplo: imagina que se crea y fabrica un nuevo sistema de alarmas y se le conecta una placa exterior o lo que sea a nivel externo. Esta placa externa permite que se anule el sistema de alarma o que las señales de alarmas vayan a donde tú quieras. El desarrollo de esta “placa” tiene que ser planificado durante todas las fases de diseño del dispositivo de seguridad. Cuando se crea esta “placa exterior” hay que prever y hacer de manera que nadie ni nada, ni una persona ajena pueda manipularla, para que este dispositivo funcione siempre como esté diseñado a funcionar. Estamos delante a una posible vulnerabilidad. Ahora, piensa si una persona descubriese esta vulnerabilidad, puede conseguir accesos a miles de equipos de seguridad, de alarmas o dispositivos inteligentes conectados. Los modifica y luego tiene el acceso (el poder) para desconectarlos, enviar datos e información confidencial a donde quieras, o cualquier tipo de acción ilegal, vulnerando así la ciberseguridad y la seguridad de las personas que han comprado estos dispositivos IOT, confiando en la marca que se lo has vendido.
• Falta de control sobre la información que se almacena: cuando se compra un dispositivo que no sabes donde ha sido fabricado, que incorpora una aplicación para el móvil para gestionar el dispositivo. Este dispositivo al igual que la aplicación almacena información sobre ti, sobre tu casa, sobre tu ubicación, sobre tu wifi, sobre lo que sea. ¿Esta información a dónde va? ¿Quién gestiona esta información? ¿Se utilizará para algo más, además para el servicio que está prestando? En muchos casos, se desconoce el paradero y no hay transparencia en el uso de la información confidencial que compartimos a través de los dispositivos inteligentes. Esto es bastante grave, de hecho, hay dispositivos que incluso almacenan datos médicos, como puede ser una pulsera deportiva, un reloj, una báscula inteligente. Registran pulsaciones, tu peso, prácticamente te hace un escaneo de tu cuerpo. ¿Estos datos adónde van? ¿Se almacenan? ¿Dónde se almacenan? ¿Solo en tu dispositivo o vienen enviados quien sabes dónde a través de la app de tu dispositivo móvil?
• Suelen estar administrados por personas comunes: por ejemplo, si tienen un portal de administración, es muy probable que se quede con la contraseña por defecto (1234 o 0000), o que el usuario ponga una menos segura. Pero eso ya depende del usuario final.
• El cifrado de los datos que se almacenan: a menudo, los dispositivos inteligentes comercializados en el mercado pueden tener un cifrado obsoleto, que ya hayan descubierto como “hackearlo” y que puedan acceder fácilmente a esos datos. Incluso, pueden no tener cifrado de datos.
• Las puertas traseras: las “puertas” que se necesitan para configurar y/o administrar el dispositivo inteligente, pueden no estar debidamente protegidas por el fabricante y ser así vulnerables de hackeo. De esta manera, algún ciberdelincuente puede acceder a ellas a través de internet, manipularte el dispositivo, acceder a tus datos, prácticamente podrá hacer lo que desea de manera fraudulenta.

En definitiva, estas son las principales vulnerabilidades y los principales riesgos en los cuales se puede incurrir a la hora de adquirir un dispositivo inteligente IOT. A nivel de CRA, las repercusiones en las cuales se pueden incurrir durante la verificación de los saltos de alarmas dependen del tipo de dispositivo utilizado. Porque, si yo contrato un sistema de alarma conectándolo 24/7 a CRA, y le pongo una cámara ip. Si la información que esta cámara ip almacena y/o retransmite en “streaming”, es decir en directo con o sin almacenaje, no está correctamente cifrada, esta información obviamente puede ser vulnerada. Por ejemplo, a través de un ataque del tipo “man in the middle”, hombre en el medio, que alguien se ponga entre tu conexión y el punto de destino. Entonces, captura todo tu tráfico, si tu tráfico no está cifrado, todo lo que pasa en aquel punto será visible al ciberdelincuente, y será utilizado con fines maliciosos y fraudulentos.

A nivel de alarmas conectada a CRA-Central Receptora de Alarmas, los dispositivos inteligentes IOT conectados a los sistemas de alarmas no suelen tener estos tipos de problemas. Porque los fabricantes son expertos en sistemas de seguridad y cuidan todos los aspectos de producción de los sistemas de seguridad, incluyendo la ciberseguridad. Además, desde la CRA, no se conecta cualquier sistema de alarma que no tenga certificación de grado de seguridad, según normativa de ley. Además, hoy en día todos los equipos tienen que respetar determinados estándares de (ciber)seguridad.

A nivel de infraestructura de la CRA, no se han dado casos de vulneración grave de ciberseguridad, por el hecho que una cosa es comprar dispositivos inteligentes en grandes “marketplaces”, y otra es adquirir un producto y/o servicios de sistemas alarmas por empresas de seguridad homologadas. Obviamente, nada es invulnerable a los ciberataques. Pero, seguramente los fabricantes especializados en equipos de seguridad cuidarán más los detalles para proteger sus productos. Además, disponen de la experiencia y del “know out” para poder seguir mejorando sus productos a través de actualizaciones periódicas para mantener sus productos y sus infraestructuras lo más protegidas en todo momento. Además, sabrán responder prontamente en caso de ciberataques mirados.

A nivel de Central de Alarmas, se ofrece seguridad física, y al mismo tiempo seguridad virtual a los clientes que han conectados su sistema de seguridad a la CRA. El tema de la ciberseguridad, al igual que la seguridad física, implica las 24 horas. De todos modos, la ciberseguridad y la seguridad real son aspectos compatibles. Pero, cuando hablamos de ciberseguridad, se trata de otro tipo de negocio que necesita un tipo de personal completamente distinto. Hoy en día, la mayoría de las CRAs disponen de herramientas para hacer frente a los ciberataques.

En el próximo futuro, es muy probable que se desarrollen servicios de ciberseguridad específicos que se ofrecerán directamente a los clientes de sistemas de alarmas.

El problema es que si antes un hacker encontraba una vulnerabilidad de un dispositivo se la tenía por él y la explotaba, ahora la vende en la “Deep web” y la ofrece como servicio, lo que se define como “Malware as a service”. Entonces, se pueden comprar paquetes de ataques maliciosos para derrumbar web, app y dispositivos electrónicos, y al final te la echan abajo. Trabajando a nivel nacional es más fácil evitar estos determinados tipos de ataques porque se filtra las ip a través de un corta fuego. Si sufres un ataque desde Estados Unidos, cortas las ip y se acabó el ataque. Pero si eres una multinacional y tienes clientes en todo el mundo, el problema se complica porque no puedes tan fácilmente filtrar los datos. Los dispositivos IOT más vendidos son de grandes multinacionales que exportan prácticamente en todo el mundo, entonces tener cuidado al elegir cuál comprar.

La (ciber)seguridad 100% no existe.