A principios de este año, una historia alarmante acaparó todos los titulares: unos hackers se apoderaron del sistema de llaves electrónicas de un hotel de lujo en Austria. Los huéspedes no pudieron entrar en sus habitaciones hasta que el hotel pagó un rescato. La noticia, por supuesto, resultó aterradora para los propios huéspedes del hotel y para cualquier persona que alguna vez se aloje en un hotel. Sin embargo, no sorprendió a los expertos en ciberseguridad, quienes cada vez prestan más atención a las muchas formas en que los dispositivos físicos conectados a internet -el llamado internet de las cosas (IoT, por sus siglas en inglés)- pueden hackearse y manipularse. (El hotel anunció que volverá a utilizar llaves físicas).

No resulta descabellado por tanto imaginar un escenario IoT repleto de dispositivos rehenes o protagonizado por cualquier de las otras formas en que los hackers pueden causar estragos con los objetos conectados en red que usamos a diario. Los dispositivos inteligentes impregnan nuestros hogares y oficinas. Detectores de humo, termostatos, aspersores y controles de acceso físico pueden controlarse en remoto. Asistentes virtuales, televisores, monitores de bebés y juguetes infantiles recopilan y envían datos a la nube. (Una de las últimas brechas de seguridad involucró a los ositos de peluche CloudPets y es ahora objeto de una investigación del Congreso de los Estados Unidos). Por supuesto, algunas de estas tecnologías inteligentes también pueden salvar vidas, como los dispositivos médicos que controlan las dosis intravenosas de medicamentos y monitorizan a distancia los signos vitales.

El problema es que muchos dispositivos IoT no están diseñados (ni se realiza un mantenimiento) con la seguridad como prioridad. Según un estudio reciente de IBM Security y el Instituto Ponemon, el 80 % de las organizaciones no comprueban de forma rutinaria sus aplicaciones IoT para detectar posibles vulnerabilidades de seguridad. Esto hace que sea mucho más fácil para los delincuentes utilizar dispositivos de IoT para espiar, robar e incluso causar daño físico.

Algunos analistas atribuyen el fallo a la actual fiebre del oro en torno al IoT y piden que el gobierno intervenga para regular el uso de dispositivos intelignetes. Sin embargo, cuando se trata de ciberseguridad, la regulación puede ser bienintencionada pero equivocada. Las listas de verificación de condiciones de seguridad elaboradas por entes gubernamentales grandes y lentos no pueden seguir el ritmo de la evolución de la tecnología y la ciberdelincuencia. Los protocolos de cumplimiento, además, pueden desviar los recursos necesarios y dar una falsa sensación de seguridad. En el caso de Estados Unidos, si sumamos todas las diferentes agencias federales, estatales e internacionales que reclaman su pedazo del pastel reglamentario, obtenemos una mezcla de requisitos superpuestos que pueden confundir y constreñir a las empresas, pero sin reducir el espacio de los hackers para maniobrar.

Gestionar el riesgo

La administración del anterior presidente de los EE.UU. Barack Obama impulsó propuestas para regular la infraestructura de ciberseguridad en sus primeros años de gobierno, pero finalmente se orientó hacia un enfoque más eficaz centrado en la gestión de riesgos. Este enfoque se materializó en el ampliamente aclamado y reconocido Protocolo de Ciberseguridad del Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST por sus siglas en inglés). Desarrollado en colaboración con la industria, el protocolo ofrecía claves y guías a la industrias basadas en el riesgo junto a una serie de buenas prácticas que podían adaptarse a cualquier organización sin importar su tamaño o perfil. Las primeras señales indican que la administración del actual presidente Donald Trump planea continuar con el enfoque del NIST.

Un siguiente paso inteligente sería aprovechar ese éxito y desarrollar un marco similar para el IoT. En lugar de intentar dictar formas de control específicas para un conjunto de tecnologías cada vez más grande, dicho marco de acción podría armonizar las mejores prácticas internacionales para el IoT y ayudar a las empresas a priorizar las estrategias de seguridad más relevantes para su situación particular. Esto es básicamente lo que la comisión bipartita del Congreso de los Estados Unidos para el fortalecimiento de la ciberseguridad nacional recomendó a la nueva administración en diciembre de 2016. Un marco de acción de este tipo también podría servir como el muy necesario punto de coordinación para toda una serie de iniciativas independientes y fragmentadas de IoT ya en marcha en las diferentes agencias federales.

Esperar al que el gobierno intervenga sería, sin embargo, un error para la industria del IoT. El problema de la seguridad del IoT es urgente y lo será cada vez más a medida que salgan a la luz nuevos ataques -como seguramente sucederá- a dispositivos y estructuras IoT. Existe por tanto una oportunidad para que los proveedores de servicios y dispositivos de IoT demuestren que se toman en serio la seguridad si adoptan algunas medidas básicas.

En primer lugar, la seguridad y la privacidad deben integrarse en el diseño y el desarrollo. La mayoría de las pruebas de seguridad de dispositivos IoT se realizan durante la fase de producción, cuando ya es demasiado tarde para realizar cambios significativos. Planificar e invertir por adelantado puede ser de gran ayuda. Por ejemplo, muchos dispositivos IoT utilizan los mismos nombres de usuario y contraseñas por defecto bien conocidos y disponibles con tan solo una búsqueda rápida en Google. Dado que la mayoría de los consumidores no cambian la configuración de fábrica, los fabricantes deberían diseñar los productores para activarse con credenciales únicas o exigir nuevas credenciales desde el primer uso. Esto frustraría el método más fácil y generalizado para comprometer la seguridad de los dispositivos IoT. El otoño pasado, por ejemplo, los hackers usaron las credenciales por defecto para infectar miles de DVRs y cámaras web con la botnet Mirai, la cual se usó para causar cortes masivos de internet.

En segundo lugar, los dispositivos IoT deberían poder recibir actualizaciones de software durante toda su vida útil.  Las nuevas vulnerabilidades de software a menudo se descubren después del lanzamiento de un producto, lo que convierte a los parches de seguridad en algo crítico para defenderse contra las amenazas. Si existe algún tipo de límite en el tiempo para facilitar las actualizaciones necesarias, entonces es necesario que el producto esté claramente etiquetado con una "fecha de caducidad" a partir de la cual no se podrá asegurar su seguridad frente a nuevas ciberamenazas.

En tercer lugar, debe mejorarse la transparencia frente a los consumidores. A diferencia de los teléfonos móviles y los ordenadores, los dispositivos IoT a menudo funcionan sin supervisión o a la vista de los humanos. Muchos de estos objetos carecen de pantallas para mostrar mensajes. Al igual que ocurre cuando se retiran otro tipo de productos, los propietarios necesitan ser notificados cuando un dispositivo tiene un problema de seguridad y saber cómo instalar nuevas actualizaciones de seguridad. Cuando los dispositivos IoT se revenden, debería haber una manera sencilla de llevar a cabo un reseteo a condiciones de fábrica para borrar los datos y credenciales de cualquier usuario anterior. Por ejemplo, IBM Security ha demostrado recientemente cómo los vendedores de coches usados pueden retener el acceso a las funciones remotas de los vehículos (como la geolocalización) sin que los compradores sean conscientes.

El mundo del IoT todavía está en sus albores, pero es un mundo que se mueve con rapidez. Miles de millones de nuevos dispositivos se conectan a la red cada año a la vez que la oportunidad para construir un ecosistema digno de confianza se cierra. ¿Seguirán otras empresas afectadas el ejemplo del hotel austriaco y se desconectarán del IoT cuando sus aparatos -y su fiabilidad- sean atacados? La industria del IoT no debe sentarse a esperar. Ahora tenemos la oportunidad de invertir en asegurar esa confianza y disfrutar con seguridad de los beneficios de esta extraordinaria tecnología. O, por el contrario, podemos esperar a que los hackers causen más estragos y que los gobiernos intervengan con mano dura.