La primer defensa es incorporar seguridad fuerte al principio de los proyectos con esta tecnología y asegurarse que los datos se usen solo para el propósito previsto.

*Por Jared Peterson, Lead Marketing Manager de Internet de las Cosas, AT&T
 
Es justo decir que la seguridad en el mundo del Internet de las Cosas (IoT, por sus siglas en inglés) sigue evolucionando. Para resguardar las implementaciones de IoT, es necesario entender que es exactamente lo que los hackers quieren conseguir al vulnerar estos sistemas.
 
Ingeniería social en la era digital

Los dispositivos IoT están poblando las redes rápidamente. Se están convirtiendo en nodos en los hogares, comunicando la ubicación y la temperatura. También mantienen registros de la velocidad de los vehículos de reparto, y monitorean el tráfico en las plantas de manufactura.
 
En todos los casos, la información recopilada está destinada a ser utilizada para comprender las condiciones actuales, o controlar esas condiciones.
 
Por sí mismo, el conjunto de datos de cada dispositivo es útil sólo para los fines previstos. Sin embargo hay riesgos, ya que diferentes segmentos de datos se combinan con datos de otros dispositivos IoT y con información que puede provenir de entornos sin ninguna relación.
 
El riesgo de los dispositivos IoT se puede comparar con la práctica conocida como ingeniería social, una estrategia previa a la era digital para recopilar información en papel, o hablando directamente con la gente.
 
El Instituto Infosec Institute define a la ingeniería social como “un término que describe un ataque no-técnico que depende de la interacción humana y de engañar a la gente para quebrar procedimientos de seguridad normales”. En práctica, implica recopilar fragmentos de información aparentemente insignificantes de múltiples fuentes, cada una de ellas desprevenidas acerca de que las otras están proveyendo información.

Por supuesto, los hechos recolectados se recopilan y organizan para producir algún nivel de información que está oculta. En el mundo corporativo, la recolección resultante podría proporcionar detalles sobre planes de productos que serían valiosos para un competidor.
 
El chantaje podría ser la intención en entornos más siniestros. En cualquier caso, podría ser que la fuente real de la información nunca fuera descubierta porque no hay una única fuente ni un único culpable que haya divulgado información sensible.
 
Los dispositivos IoT presentan retos similares, pero proveen fuentes de información mucho más robustas que los ladrones especializados en datos pueden usar en una versión digital de ingeniería social. Es por eso que es importante considerar los siguientes factores.
 
Seguridad irregular de los dispositivos IoT

Los dispositivos IoT fueron desdeñados como inseguros. A principios de este año, por ejemplo, Ars Technica advirtió que la seguridad del “Internet de las Cosas” está ridículamente comprometida y que está empeorando. Mientras que los estándares están emergiendo, muchos proyectos IoT todavía se crean con el foco principal de desarrollo de entregar un producto.
 
A menudo la seguridad se toma en cuenta después, y muchas veces no se agrega al producto entregado. El resultado es que se puede acceder a dispositivos inocuos para recolectar fragmentos de datos que en sí mismos no tienen ningún valor, pero cuando se usan en un esfuerzo de ingeniería social pueden producir información útil.
 
Datos no esenciales

Los dispositivos IoT suelen tener tareas muy específicas. Los datos necesarios para que los dispositivos IoT realicen sus trabajos incluyen conjuntos de información muy limitados. Sin embargo, los desarrolladores pueden incluir fragmentos adicionales para propósitos de resolución de problemas, e incluso si los datos se descubren, generalmente incluyen metadatos que describen cómo se acceden y se utilizan los datos.
 
Analítica de Big Data

Muchos proyectos corporativos de big data fueron exitosos en la búsqueda de resultados descubiertos involuntariamente a través del uso de procesamientos analíticos sofisticados. Una vez que se descubre que los hallazgos iniciales son valiosos, los científicos expertos en datos pueden ser reclutados para extraer resultados específicos. Estas herramientas también están disponibles para los hackers que pueden aplicarlos a los conjuntos de datos recogidos de los dispositivos IoT.
 
Puede ser que los ladrones de datos todavía no sepan lo que están buscando de los dispositivos IoT, pero las posibilidades de aplicar principios de ingeniería humana a los datos colectados tienen que ser consideradas por toda empresa que crea dispositivos IoT. La primer defensa es incorporar seguridad fuerte al principio de los proyectos IoT y asegurarse que los datos se usen solo para el propósito previsto.