Guayoyo alerta sobre nuevas vulnerabilidades en las tecnologías IoT

Más de 200 Billones de dispositivos IoT estarán conectados al finalizar 2020, según Intel. Los riesgos asociados a las tecnologías IoT van en aumento debido a que muchas veces son componentes con carencias de seguridad. Los dispositivos IoT, en su mayoría, no disponen de sistemas de actualización incorporados, por lo que no se podrá resolver las vulnerabilidades en estos dispositivos de forma fácil. 

Conversamos con Edgar Salazar, especialista en ciberseguridad y co-fundador de Guayoyo, para conocer más de cerca a qué nos enfrentamos y cómo podemos hacer frente a esta problemática. 

******** 

“Los ciberatacantes están buscando la forma más fácil de acceder a nuestros hogares y empresas con la intención de robarnos datos, secuestrar nuestra información o sistemas, interferir con nuestros procesos o dañar nuestra reputación y de esta forma intentar obtener un rédito económico. La tecnología IoT abre un camino para que puedan acceder remotamente a través de vulnerabilidades ubicadas en estas tecnologías”, explica Edgar. 

En junio de este año, se identificó un conjunto de vulnerabilidades denominadas Ripple 20. Corresponde a 19 vulnerabilidades que residen en un componente utilizado en múltiples dispositivos IoT.   

Ripple20 llegó a dispositivos de IoT críticos de diferentes sectores y que involucran a un grupo diverso de proveedores. Los proveedores afectados van desde Pymes hasta corporaciones multinacionales Fortune 500, incluidas HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter. 

Howler Monkey como sistema de alerta para las nuevas vulnerabilidades 

Guayoyo desarrolló HowlerMonkey (https://www.howlermonkey.io/) para que sus clientes puedan recibir alertas de vulnerabilidades que surgen diariamente y que puedan afectar a sus tecnologías, incluyendo las tecnologías IoT. De esta forma permite tomar acciones proactivas y minimizar los riesgos.  

“Muchas veces las empresas invierten mucho dinero en asegurar el perímetro de su red, hacen ejercicios de seguridad para entender cuáles son sus riesgos pero, por otro lado, se siguen añadiendo tecnologías emergentes que luego pueden representar un problema si estas no son tomadas en cuenta dentro del paraguas del equipo de ciberseguridad. Haciendo que toda la inversión realizada de alguna manera se vea que no valió la pena”, agrega Edgar.  

Cuando una empresa adopta nuevas tecnologías, también está adoptando nuevos riesgos. Los mismos deben ser evaluados para entender el impacto, posibles consecuencias y posibles controles para minimizar estos riesgos.

Las tecnologías IoT empiezan a ser utilizadas en muchas industrias y sectores como por ejemplo en la salud, industria, transporte, energía (petróleo / gas), telecomunicaciones, comercio minorista y otras industrias. El aprovechamiento de estas vulnerabilidades por parte de ciberatacantes pueden poner en riesgo incluso la vida de las personas.  

Caso de éxito. Sinergia entre Guayoyo y Dronfies. 

Este año Guayoyo estuvo trabajando junto a Dronfies (empresa del ecosistema Pyxis que se especializa en desarrollar software y tecnología para drones) en el análisis de vulnerabilidades de su producto PortableUTM (https://portableutm.com/). Consiste en un sistema de gestión de tráfico no tripulado basado en código abierto. 

“Sin dudas esto nos abrirá las puertas para realizar pruebas de seguridad en tecnologías emergentes, tanto en IoT aplicados a distintas industrias o como en este caso Flying IoT para naves no tripuladas”, valora Edgar.  

Artículos de interés: 

https://healthitsecurity.com/news/cybersecurity-in-2020-iot-medical-devices-ransomware-legacy-os
https://www.cshub.com/iot/news/industrial-iot-concerns-worsen-as-more-devices-connect-to-the-web