Después de tanto tiempo: de vuelta a la “escribidera”:….

Una disculpa rápida para quien me lee. Desde mi último post pasaron más cosas buenas que “no tan buenas”. De cualquier manera; en este tiempo logré aparte de una operación quirúrgica (No se engañe, yo fui el paciente, claro), también culminar el propósito de certificarme en Security+ de la CompTIA.

Así mismo, como miembro de ISACA estuve activo logrando participar en la Conferencia Latinoamericana Latin/CACS 2015 que se llevó a cabo en Septiembre en México DF; 2 días muy intensos con una gran cantidad de pistas o tracks de estudio lo cual aproveche para fortalecer mis conocimientos de Cobit en su versión 5. Incluso previo a las conferencias aproveche la toma de un Workshop sobre ciberseguridad aplicando Cobit 5 y la ISO 27001 todo ello dentro del marco de referencia del Cyber Security Framework (CSF) del NIST.

Con tanto estudio no quedó tiempo para muchas actividades mas allá del trabajo que me permitió llevar a cabo tal gestión.

Bueno, esto lo expondré en otro lugar, así que a lo nuestro:

Si revisan el historial, mi anterior post fue sobre el mismo tema. Hoy entre otras áreas de interés como el Ransomware sobre lo cual ya revisé casos en nuestro País, el tema del IoT continua no solo vigente sino, trayendo mas preocupaciones a la comunidad pues las cifras que alcanzará el negocio son estratosféricas.

O sea, hay nuevas no tan nuevas; la cosa se pondrá mas caliente de aquí al 2020.

Por ejemplo: Se proyecta que para el 2020 el número de dispositivos IoT ascenderá a las 50 billones de unidades (1) ; eso es un gran número tomando en cuenta que ya hoy los vendors ofrecen cada cosa a unos mercados ávidos por poseer el juguete mas novedoso y lo delicado del asunto: Con muy baja seguridad e incluso en muchos de ellos: Sin seguridad.

Eso es inquietante tomando en cuenta que al ser dispositivos que están en nuestra vida cotidiana en una gran cantidad, también lo están en industrias verticales que abarcan: Desde el Sector público en donde los encontramos controlando infraestructuras como: Sistemas de control de tráfico, Iluminación (y no digamos con lo de las ciudades inteligentes); pasando por Infraestructuras Críticas como plantas generadoras de energía, hasta los sistemas de salud (2) de los cuales la información que manejan en el mercado negro de Internet se cotiza más alto que las tarjetas de crédito.

Si nos vamos a nosotros como “individuos blancos del mercado”, talvez ya portamos el Smartphone de última generación y no digamos con algún tipo de “wearable” (o lo que cargamos) como ser: Un smartwatch o al menos un FitBit que nos “ayuda a cuidar nuestra salud”; Como un botón de muestra, Target Corp ( Si, la misma que hackearon a finales del 2013 con no recuerdo cuantos millones de credenciales de tarjetas de crédito en el “vagón” (3) ) ofreció a sus empleados 335,000 FitBits Smartbands.

Mas? Los nuevos vehículos sobre los cuales se hicieron pruebas de concepto en el último Defcon (Convención de seguridad) sobre como controlarlos a distancia, pues la “computadora” que portan ya no es solo para controlar la inyección de combustible sino mas allá, enciende/apaga, acelera, frena,…. Etc. Ahora imagine que viaja a 120 km por hora y un cibercriminal le bloquea los frenos; las consecuencias son fáciles de deducir.
Al respecto, la Fiat-Chrysler solicitó llevar a sus talleres 1.4 millones del modelo 2014 Grand Cherokee pues precisamente se demostró que podía ser fácilmente hackeado. (4)

Pero bueno, cual es el problema? Bien, (y esta es una preocupación en la comunidad InfoSec), el problema es que los fabricantes/desarrolladores o vendors en general, como que no se están preocupando mucho por lanzar productos a este mercado hambriento (O que nos han hecho creer que tenemos hambre) que no cuentan con las características de seguridad adecuadas para resguardarlos y con ello la privacidad del usuario.

Hoy vemos un mercadeo rampante que presiona para que nuestros dispositivos sean renovados cuanto antes, aun cuando todavía no sea necesario cambiarlos. Por otro lado, vemos los vendors por obtener plata rápido, no buscan establecer controles para la seguridad sobre las mesas de diseño/desarrollo sino hasta que ya han entrado al mercado cuando es más difícil aplicar cambios o parchos.

Y que con las empresas en donde esos usuarios laboran? Fácil: miremos esta relación: 1. Mi wearable-2. mi Smartphone-3. mi pc en la oficina o en casa (Recordemos que trabajo de oficina también se hace en casa). Por lo general los dos 1ros tienen o muy poca o nada de seguridad. Conclusión: Mi pc (Notebook/Workstation, etc) se vuelve vulnerable por la relación aceptada con estos dispositivos. La sincronización se establece con los dispositivos de confianza y el cibercrimen ya cuenta con sus canales de comunicación y adquiere superficie de ataque.

De hecho, tendríamos a estos dispositivos como “escuchas” o peor aún, backdoors bien ubicados dentro de la empresa; todo esto sin dejar de mencionar que son objetos del deseo para los que gustan de lo ajeno con lo cual, al ser robados o extraviados, tendremos a extraños dueños de información de las empresas “desplegada en plano o disponible a la vista” pues la misma con excepciones, no estará encriptada o ni siquiera tendrá un PIN de seguridad.

Bien, es de proceder en consecuencia y no ponerse paranoicos. Como dice Zeus Kerravala (2), “La seguridad es mandatoria. Nuestros Usuarios deben tener el mayor nivel de confianza y confidencia sabiendo que su información personal no será (o no se verá) comprometida (5). Los dispositivos de las personas deben ser asegurados y su acceso a otros componentes de la red debe ser limitado a sus roles o utilidad.”

Sobre el tema de la privacidad e información personal estaré escribiendo en poco tiempo, tomando en cuenta que espero que pronto contemos con la “Ley de protección de datos personales”.

De nuevo para terminar: O sea, hay nuevas no tan nuevas; la cosa se pondrá mas caliente de aquí al 2020.

(1) http://internetofthingsagenda.techtarget.com/blog/IoT-Agenda/Future-behemoths-of-the-IoT
(2) https://twitter.com/zkerravala/status/573163973673009152
(3) http://money.cnn.com/2014/01/10/news/companies/target-hacking/
(4) http://www.reuters.com/article/us-fiat-chrysler-recall-idUSKCN0PY1U920150724
(5) Nota del Editor (N/E): …”no será (o no se verá) comprometida….” Entiendo que el Editor (ZK) no pretendió plantear esta aseveración de manera absoluta tomando en cuenta que nadie puede garantizar tal cosa en un 100%; con todo, es su punto de vista.