El 43% de las empresas no protege completamente su infraestructura IoT

Kaspersky estudia las vulnerabilidades de los sistemas IoT empresariales
Kaspersky estudia las vulnerabilidades de los sistemas IoT empresariales - KASPERSKY
Publicado: miércoles, 2 marzo 2022 11:54

   BARCELONA, 2 Mar. (Portaltic/EP) -

   El 43 por ciento de las empresas no protege lo suficiente sus infraestructuras del Internet de las Cosas (IoT), lo que se traduce en que es posible que se produzcan ataques de ciberseguridad en dos de cada cinco marcas o negocios.

   Esta es una de las conclusiones que revela Kaspersky en su último informe, 'Superar los límites: Cómo abordar las demandas específicas de ciberseguridad y proteger el IoT', donde también se indica que las filtraciones de datos son la principal barrera para la implementación de proyectos de este tipo para muchas empresas.

   Este estudio se sustenta en la 'Encuesta Global de Riesgos de Seguridad TI Corporativa' de Kaspersky, una encuesta de trabajadores de TI global para la que se realizaron un total de 4.303 entrevistas a empresas de más de 50 empleados en 31 países desde mayo a junio de 2021.

   Según IoT Analytics, se espera que el número de dispositivos IoT conectados crezca un 9 por ciento hasta alcanzar los 27.000 millones de conexiones IoT en 2025, un crecimiento que necesita estar acompañado de soluciones de seguridad.

   A pesar de ello, el estudio concluye que en 2021 el 53 por ciento de las organizaciones encuestadas abandonaron nuevos proyectos empresariales debido a la incapacidad de abordar los riesgos de ciberseguridad.

   Además, aunque dos tercios de las organizaciones en todo el mundo utilizan soluciones de ciberseguridad para proteger sus dispositivos de los ciberataques, el 43 por ciento no las protege totalmente. De ese modo, alguno de sus proyectos IoT quedan expuestos a los ciberdelincuentes.

   Entre algunos de los motivos que expone Kaspersky están la gran diversidad de dispositivos que se están lanzando actualmente y sistemas IoT, que no son siempre compatibles con las soluciones de seguridad.

   "Con toda la nueva tecnología que surge, la industria comete el mismo error. No piensa en la seguridad en el propio diseño del dispositivo", ha comentado el analista de seguridad y miembro del equipo de investigación global GReAt de Kaspersky, Daniel Creus, en una entrevista concedida a Europa Press en el marco de MWC 2022.

   Además de que depende de la tecnología que integre el dispositivo, desde el estudio se destaca la importancia de elegir una solución de ciberseguridad adecuada. En este caso, el 74 por ciento de las empresas encuestadas se enfrentó a una situación de falta de una solución de ciberseguridad acorde a sus necesidades.

   Esto se debe a que la aplicación de controles de ciberriesgos en todas partes y por igual no siempre funciona, y que la ciberprotección es un producto que forma parte de un proceso continuo.

   "Algunas empresas creen que con la inversión de cierta cantidad en una solución en un momento determinado es suficiente. La seguridad es un proceso, no es un estado. Es algo muy activo, necesitas un 'partner' [de seguridad] que tenga el mismo ritmo de dinamismo para adaptarse a los problemas", ha dicho Creus.

   Otros de los principales problemas a los que se enfrentan las compañías es su percepción acerca de este tipo de soluciones. Tanto que el 46 por ciento de las empresas encuestadas a nivel global temen que los productos de ciberseguridad puedan afectar al rendimiento del IoT y el 40 por ciento cree que pueda ser demasiado difícil encontrar una solución que se ajuste a sus necesidades.

   No obstante, una de las causas por las que las empresas aún no están protegidas completamente es que éstas no invierten por sus costes elevados. En concreto, el 40 por ciento de ellas se enfrenta a este problema y el 36 por ciento a la imposibilidad de justificar la inversión ante la junta directiva.

   "Todas las empresas van a ser, si no lo han sido ya, objeto de ataques. Tener esa percepción de 'eso no me puede pasar a mí', es peligrosísima. Las empresas no deben considerar la seguridad como un gasto, sino como una inversión", ha señalado Creus con respecto a estos planteamientos.

   El investigador ha insistido en que cada año se demuestra "que recuperarse de depende qué ataques es infinitamente más costoso que haber implementado una medida de seguridad con la cual se podrían haber minimizado esos riesgos". En este aspecto, el informe detalla que una de cada dos organizaciones (el 53% de ellas) tuvo que resolver estos problemas de filtraciones o ciberataques con soluciones de seguridad.

LA INDUSTRIA, UNO DE LOS SECTORES MÁS IMPLICADOS

   En este informe también se destaca que uno de los sectores que ha acelerado la adopción generalizada del IoT ha sido el industrial. Precisamente, este es uno de los más afectados por los ataques de los ciberdelincuentes en los últimos tiempos, tal y como ha determinado IBM Security X-Force en su último índice de Inteligencia de Amenazas X-Force.

   Por su parte, Kaspersky determina que el 68 por ciento de las empresas pertenecientes al sector manufacturero utilizan una solución IoT y se eleva al 71 por ciento en los servicios públicos y la energía.

   Cabe destacar que los dispositivos IoT se utilizan en varias empresas e industrias con el fin de sacar partido al análisis de datos, ya que estos contienen chips, cámaras, sensores y otros componentes capaces de recibir y recoger datos.

   Estos se utilizan para mejorar la eficiencia de los equipos, predecir anomalías y encontrar la mejor forma de organizar el proceso de fabricación. Debido al valor de esta fuente de información, son muchas las empresas que se preocupan por el riesgo de una violación de la ciberseguridad y el compromiso de los datos, seguido por una falta de experiencia interna (35%).

   Estas preocupaciones también se extienden al sector servicios, con el que comparte una preocupación similar, con un 50 por ciento y un 44 por ciento en estas áreas, respectivamente.

   RETOS A LA HORA DE PROTEGER EL IOT

   Las organziaciones se enfrentan a varios retos a la hora de proteger el IoT, debido a la gran variedad de dispisitivos, sistemas operativos, 'software' y componentes de 'hardware' que dificultan la protección de las plataformas de IoT frente a posibles ataques y robo de datos.

   A diferencia del 'hardware' y el 'software' para móviles y ordenadores, que están bien estudiados y estandarizados, es imposible estudiar todos los dispositivos que forman parte de la IoT, lo que hace inevitables los errores y las vulnerabilidades.

   Además, hay muchas plataformas de 'software' de código abierto que no se someten a pruebas de ciberseguridad, por lo que las vulnerabilidades se pueden introducir en el producto desarrollado y persistir durante varias versiones del mismo.

   Uno de los ataques más peligrosos en este sentido es el denominado 'día cero', cuando los 'hackers' o actores maliciosos explotan el fallo antes de que los desarrolladores puedan solucionarlo. Por eso, la solución estándar de protección 'antimalware' no se puede aplicar a este problema.

   "El antivirus, como tal, ya no existe. Ahora se dan una serie de soluciones que no solo defiendan los equipos de los ataques de 'phishing' o de código malicioso. Ahora se ofrecen medidas para restringir las posibilidades a los ciberdelincuentes, cuando los usuarios se conectan a redes no seguras y una serie de añadidos relacionados con la privacidad", ha comentado Creus.

   A pesar de que es imposible abarcar estas plataformas, existe un movimiento hacia la estandarización del desarrollo para hacerlas más fiales y seguras. Son iniciativas que nacen de asociaciones como el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE), la Unión Internacional de Telecomunicaciones (UIT) o el Instituto Europeo de Normas de Telecomunicaciones (ETSI).

   No obstante, existe una serie de recomendaciones comunes para la seguridad del IoT, como el uso de políticas de cifrado y contraseñas estrictas, la gestión de la vulnerabilidad, la segmentación de la red y el modelo de confianza cero, así como cortafuegos y protección específica para las infraestructuras en la nube.