Si tan solo una simple clasificación de dispositivos pudiera salvarnos de un ciberataque

Las sugerencias de que se otorgue un puntaje de seguridad a los dispositivos conectados es una idea encantadora que sería casi imposible de implementar. 25 de julio de 2017 Calificaciones de seguridad cibernética

Calificaciones de seguridad cibernética





En estos días hiperconectados, donde todos los dispositivos habilitados para Internet parecen estar acorralados por delincuentes para llevar a cabo ataques cibernéticos, ¿no sería genial encontrar un poco de tranquilidad?

¿No sería bueno, por ejemplo, si cada vez que fueras a comprar un aparato, una pequeña etiqueta te dijera qué tan seguro es el dispositivo, para que pudieras hacer una compra con la certeza de que estás haciendo lo mejor que puedes para evitar que sus dispositivos sean secuestrados? Al menos podría aliviar los dolores de cabeza de muchos consumidores, que han encontrado su enrutadores y monitores inteligentes para bebés y impresoras wifi pirateados, ya que buscan agregar refrigeradores y lavadoras inteligentes y cualquier otra cosa a su batería de dispositivos domésticos conectados.

Ciertamente, eso es lo que Mike Barton, un jefe de policía británico y líder policial del Reino Unido para operaciones contra el crimen, cree que debería suceder. El guardián informes que a Barton le gustaría que las empresas publicaran una calificación de seguridad en sus productos, al igual que se les exige que enumeren las calificaciones de eficiencia energética en muchos países.



Tienes una situación en la que no sabemos cómo es la seguridad en los dispositivos que estamos comprando en Internet de las cosas. Simplemente no se informa. Y, sin embargo, ese es el componente más importante de lo que está comprando, explicó, según el periódico, mientras describía cómo podría verse comprometida una nevera inteligente. Lo que está en riesgo no es solo la cantidad de yogures que está comiendo, sino que su Internet de las cosas está conectado a la misma red. Esa es una puerta trasera en su red.

Rebuscando entre la confusión, él está, por supuesto, en lo correcto. Un dispositivo con poca seguridad puede ser pirateado y controlado de forma remota. Eso podría proporcionarles a los delincuentes acceso a las redes de su hogar, o pueden usar el hardware para un propósito mayor al reclutarlo para uno de los crecientes ejércitos de Botnets of Things (consulte: '10 tecnologías innovadoras 2017: Botnets of Things').

Lamentablemente, no llega a describir cómo sería posible implementar un sistema de calificación de este tipo. Y a diferencia de la eficiencia energética, que es relativamente fácil de medir objetivamente, la seguridad digital es un concepto resbaladizo. Puede ser bastante fácil para una empresa marcar las casillas para asegurar a los usuarios que, por ejemplo, no usan contraseñas predeterminadas débiles, pero es casi imposible garantizar que el software de un dispositivo no tenga vulnerabilidades de seguridad que puedan ser explotadas por delincuentes. .



De hecho, lo único que realmente es posible garantizar sobre cualquier tipo de dispositivo conectado es que lo hace tienen alguna vulnerabilidad, incluso si aún no se ha identificado.

La seguridad de un dispositivo también depende en gran medida de su software. Por lo tanto, la capacidad de un dispositivo para resistir la piratería se puede cambiar de la noche a la mañana mediante una actualización (ya sea mejorándola o, a través de un código de mala calidad, empeorándola). Del mismo modo, la seguridad de un dispositivo se degradará con el tiempo si no recibe actualizaciones, ya que los piratas informáticos desarrollan nuevas herramientas y los dispositivos se sientan usando los mismos sistemas operativos antiguos.

Barton ciertamente no es el primero en expresar este tipo de preocupaciones. El año pasado, los expertos en seguridad cibernética advirtieron al Congreso que la situación de seguridad en torno a los dispositivos conectados estaba empeorando porque los fabricantes carecen de incentivos para priorizar la seguridad. En ese momento, Kevin Fu, profesor de informática e ingeniería en la Universidad de Michigan, dijo que el gobierno de los EE. UU. debería establecer un organismo independiente para probar la seguridad de los dispositivos IoT. Esa es quizás una idea mejor que la de Barton, pero nuevamente, aún no está claro cómo funcionaría en la práctica.



Por ahora, los consumidores continúan comprando hardware y conectándolo a Internet con poca idea de qué tan seguro es el dispositivo, aparte de una vaga noción de confianza. Puede haber una mejor manera, por supuesto, pero aún no se ha presentado.

(Lee mas: El guardián , Expertos en seguridad advierten al Congreso que el Internet de las cosas podría matar personas , 10 tecnologías innovadoras: Botnets de las cosas , El Internet de las cosas se vuelve corrupto )

esconder