10 mesures per protegir la Internet de les Coses

Els exemples abasten tot allò imaginable, des d’electrodomèstics comuns fins a joguines i fins i tot complements en peces de roba. A més, les aplicacions que podem trobar inclouen àrees tan diverses com la indústria 4.0, el transport, la salut o l’agricultura, només per mencionar-ne algunes poques.

Aquesta immensa superfície de connectivitat, que continuarà expandint-se de manera aclaparadora, s’ha convertit en un dels fronts que cal tenir molt en compte en matèria de ciberseguretat. Tot i ser inofensius en un principi, els objectes que proliferen al mercat dins de la categoria IoT poden transformar-se, sense gaires dificultats, en plataformes que faciliten una miríada d’atacs per part de ciberdelinqüents.

Precisament, tenir accés a la xarxa implica que qualsevol dispositiu IoT presenta vulnerabilitats que poden ser explotades de manera malintencionada. De fet, mai s’ha d’oblidar que molts elements IoT arriben al mercat amb configuracions de fàbrica que requereixen una revisió en matèria de ciberseguretat, ja que és freqüent que incorporin, per exemple, contrasenyes molt bàsiques i fàcils de descobrir. Per aquesta raó, comencem la nostra llista de recomanacions per protegir la Internet de les coses amb aquest punt:

• CANVIAR LES CONTRASENYES PER DEFECTE 
  Allà on el producte vingui amb alguna contrasenya preestablerta (del tipus “admin” o “12345”), cal procurar substituir-la per una altra personal que compleixi els requisits de solidesa que dificultin enormement el seu descobriment per part de tercers. En general, es recomana incloure una seqüència de caràcters de més de vuit elements, entre els quals hi haurà lletres majúscules i minúscules, números, signes i símbols especials. També es recomana canviar regularment la clau i no fer servir la mateixa en tots els dispositius.

• CONNECTAR-SE A UNA XARXA SEGURA
  No sempre serà possible seguir les indicacions de l’apartat anterior, ja que pot ocórrer que el dispositiu no permeti aquest tipus de modificacions. En tot cas, sempre s’ha de procurar que l’accés a Internet pugui ser monitorat i controlat mitjançant dispositius de seguretat que suposin una barrera davant de possibles intrusions (tallafocs, etc.).

• SEGMENTAR L’ACCÉS D’UN DISPOSITIU IOT A LA XARXA
  Per augmentar la ciberseguretat és possible compartimentar la manera com es distribueix l’ús de la xarxa, la qual cosa afegeix una capa de protecció que busca, davant de qualsevol accés no autoritzat, no comprometre la integritat, confidencialitat i disponibilitat de la resta d’elements connectats.

• MANTENIR ELS DISPOSITIUS ACTUALITZATS
  Aquesta mesura ens ajudarà a incorporar les modificacions que resolguin les vulnerabilitats que s’hagin anat detectant, fet que disminueix el risc de ser víctima d’un atac.

• EVITAR MANIPULACIONS QUE MODIFIN PARÀMETRES SENSIBLES DEL PRODUCTE
  Especialment en l’àmbit domèstic, pot resultar temptador seguir les indicacions d’algun “tutorial” que es trobi allotjat a qualsevol pàgina web i prometi millorar la funcionalitat del dispositiu, ja sigui augmentant la velocitat o afegint característiques no oficials, mitjançant la realització de canvis il·legals en el software o hardware que puguin afectar la integritat del producte. Aquestes modificacions podrien obrir la porta a elements destinats a irrompre la privadesa, al hora que augmenten les possibilitats de patir un ciberatac. 

• PRIORITZAR AQUELLS DISPOSITIUS QUE INCLOUEN LA SEGURETAT PER DISSENY
  Si abans parlàvem de la responsabilitat del consumidor, ara posem l’accent en l’obligació dels fabricants d’incloure mesures que ajudin a protegir els seus clients contra possibles ciberatacs. Cal vetllar que els dispositius segueixin el principi del mínim privilegi, evitant que les funcions estiguin disponibles quan no són activades voluntàriament. És imprescindible seguir les directrius establertes pels organismes oficials encarregats de vetllar per la protecció de dades. A més, cal facilitar al màxim i comunicar de manera clara i senzilla les configuracions requerides pel dispositiu. Aquest últim pas evitarà problemes de seguretat derivats de configuracions inadequades.

• DESACTIVAR COMPONENTS QUE NO S’ESTIGUIN UTILITZANT
  Els dispositius IoT poden incorporar càmeres, micròfons, etc., que és aconsellable limitar a l’ús immediat que n’hi fem, deixant-los inoperatius quan no es requereixi la seva funcionalitat.

• COMPROVAR LA INFORMACIÓ QUE EL DISPOSITIU IOT TRANSMET A LA XARXA
  Hi ha recursos que permeten localitzar els dispositius connectats en una àrea determinada. Un dels més populars és Shodan. Entre la informació que proporciona es troba l’adreça IP i els ports i serveis que un dispositiu té operatius. Aquesta informació resulta molt útil per atendre aspectes de configuració relacionats amb la seguretat.

• MONITORATGE DE L’ACTIVITAT
  Tot i que sovint associem el terme Internet de les Coses (IoT) amb utilitats comercials que proliferen al mercat, cal assenyalar que, a nivell professional, també hi ha una creixent presència del que es coneix com l’IIoT (Industrial Internet of Things), és a dir, el conjunt de dispositius (sensors, etc.) que, connectats a la xarxa, transmeten dades rellevants per millorar la productivitat d’una empresa. Hi ha solucions SIEM que permeten supervisar l’activitat generada per aquests dispositius, controlant així les irregularitats que es puguin detectar.

• CONSCIENCIACIÓ
  Una de les millors mesures de seguretat que existeixen és la informació. Per això, un ús responsable dels dispositius IoT requereix aprendre a cuidar els aspectes relacionats amb la seva adequada protecció. Un ús que descuidi aquesta dimensió exposa de forma temerària aquell qui desconeix les mesures elementals que cal conèixer, així com les amenaces que, cada vegada en major mesura, es detecten.

Amb aquestes deu mesures, serà molt més difícil que ens convertim en víctimes d’un ciberatac.