SG45 - Tecnología y equipamiento para la seguridad

31 RECEPTORAS DE ALARMAS ende, si se le corta el presupuesto de fabricación de los equipos, a esto se le asocia una disminución de la inversión en la ciberseguridad del dispositivo inteligente. Falta de experiencia de los fabricantes: dado que estos dispositivos han salido como “setas en los bosques” durante los últimos años. Además, a este “boom” se le ha asociado la creación de nuevas empresas y nuevos fabricantes. Profesionales que por primera vez miraban hacia este tipo de mercado cogiendo las oportunidades que puede ofrecer este tipo de negocio. También en este escenario, se refleja la falta de aplicación de todas las medidas de seguridad y de todas las políticas necesarias que se deberían aplicar a estos dispositivos IOT. Fallos en el diseño: cuando se construye un aparato de este tipo, la ciberseguridad no se centra solo en el software, en la parte del programa que vas a ver y utilizar como usuario. La (ciberseguridad) empieza desde el momento cero, desde el mismo momento en que se desarrolle y se va a fabricar el equipo. Vamos a poner un ejemplo: imagina que se crea y fabrica un nuevo sistema de alarmas y se le conecta una placa exterior o lo que sea a nivel externo. Esta placa externa permite que se anule el sistema de alarma o que las señales de alarmas vayan a donde tú quieras. El desarrollo de esta “placa” tiene que ser planificado durante todas las fases de diseño del dispositivo de seguridad. Cuando se crea esta “placa exterior” hay que prever y hacer de manera que nadie ni nada, ni una persona ajena pueda manipularla, para que este dispositivo funcione siempre como esté diseñado a funcionar. Estamos delante a una posible vulnerabilidad. Ahora, piensa si una persona descubriese esta vulnerabilidad, puede conseguir accesos a miles de equipos de seguridad, de alarmas o dispositivos inteligentes conectados. Los modifica y luego tiene el acceso (el poder) para desconectarlos, enviar datos e información confidencial a donde quieras, o cualquier tipo de acción ilegal, vulnerando así la ciberseguridad y la seguridad de las personas que han comprado estos dispositivos IOT, confiando en la marca que se lo has vendido. Falta de control sobre la información que se almacena: cuando se compra un dispositivo que no sabes donde ha sido fabricado, que incorpora una aplicación para el móvil para gestionar el dispositivo. Este dispositivo al igual que la aplicación almacena información sobre ti, sobre tu casa, sobre tu ubicación, sobre tu wifi, sobre lo que sea. ¿Esta información a dónde va? ¿Quién gestiona esta información? ¿Se utilizará para algo más, además para el servicio que está prestando? En muchos casos, se desconoce el paradero y no hay transparencia en el uso de la información confidencial que compartimos a través de los dispositivos inteligentes. Esto es bastante grave, de hecho, hay dispositivos que incluso almacenan datos médicos, como puede ser una pulsera deportiva, un reloj, una báscula inteligente. Registran pulsaciones, tu peso, prácticamente te hace un escaneo de tu cuerpo. ¿Estos datos adónde van? ¿Se almacenan? ¿Dónde se almacenan? ¿Solo en tu dispositivo o vienen enviados quien sabes dónde a través de la app de tu dispositivo móvil? Suelen estar administrados por personas comunes: por ejemplo, si tienen un portal de administración, es muy probable que se quede con la contraseña por defecto (1234 o 0000), o que el usuario ponga una menos segura. Pero eso ya depende del usuario final. El cifrado de los datos que se almacenan: a menudo, los dispositivos inteligentes comercializados en el mercado pueden tener un cifrado obsoleto, que ya hayan descubierto como “hackearlo” y que puedan acceder fácilmente a esos datos. Incluso, pueden no tener cifrado de datos. Las puertas traseras: las “puertas” que se necesitan para configurar y/o administrar el dispositivo inteligente, pueden no estar debidamente protegidas por el fabricante y ser así vulnerables de hackeo. De esta manera, algún ciberdelincuente puede acceder a ellas a través de internet, manipularte el dispositivo, acceder a tus datos, prácticamente podrá hacer lo que desea de manera fraudulenta. ¿QUÉ ES EL ATAQUE “MAN IN THE MIDDLE”? En definitiva, estas son las principales vulnerabilidades y los principales riesgos en los cuales se puede incurrir a la hora de adquirir un dispositivo inteligente IOT. A nivel de CRA, las repercusiones en las cuales se pueden incurrir durante la verificación de los saltos de alarmas dependen del tipo de dispositivo utilizado. Porque, si yo contrato un sistema de alarma conectándolo 24/7 a CRA, y le pongo una cámara ip. Si la información que esta cámara ip almacena y/o retransmite en “streaming”, es decir en directo con o

RkJQdWJsaXNoZXIy Njg1MjYx