Los nuevos caballos de Troya
La ciberseguridad de las empresas se verá desafiada por los riesgos emergentes que presentan 5G e IoT
Para el año 2035 el 5G habrá supuesto un crecimiento de la economía mundial de 11,9 billones de euros (IHS Markit). En 2025 se espera que Internet de las cosas (IoT) genere globalmente entre 3,5 y 9,9 billones de euros de saldo positivo (McKinsey). Para poner estas cifras en contexto se puede tomar como referencia el PIB de China. En 2017, generó 11 billones de euros. Si miramos a España, ese año el PIB fue de 1,18 billones de euros.
La automatización, un mayor control de la producción o la agilidad en las comunicaciones son algunos de los beneficios que obrarán este repunte económico. Pero estas nuevas tecnologías también abren la puerta a nuevos riesgos. Un informe de la Agencia de Ciberseguridad de la UE (ENISA) advierte que las redes 5G estarán más basadas en software que las anteriores generaciones. Esto significa que podrían tener más vulnerabilidades derivadas de una mala praxis en el desarrollo del programa. Al mismo tiempo, con el 5G la integridad de las comunicaciones se volverá crítica para el negocio de muchas empresas.
“El 5G va a unir infinidad de cosas. En primer lugar, muchos dispositivos IoT, que no siempre están preparados con las medidas de seguridad adecuadas, pero también se impulsarán las transmisiones en tiempo real”, apunta Eutimio Fernández, responsable de ciberseguridad de Cisco España, quien destaca que la proliferación de los terminales IoT aumentará la superficie de ataque en las empresas.
Habrá más de 38.600 millones de dispositivos IoT en 2025.
Una de las conclusiones más aceptadas es que el 5G hará posible la explosión del mercado IoT. La firma MarketsandMarkets calculaba antes de la pandemia del coronavirus que esta clase de dispositivos crecerían desde los 700 millones en 2020 a los 6.300 millones en 2025. Deepak Daswani, especialista en hacking y ciberseguridad, cree que existe un riesgo real: “Al haber una mayor cantidad de dispositivos conectados, aumenta la posibilidad de que muchos de ellos, las interfaces o el software que los manejan hayan sido diseñados con vulnerabilidades y alguien las pueda explotar para comprometer la seguridad de las organizaciones”.
El riesgo está especialmente presente en la cadena de producción. La augurada Revolución 4.0 sembrará de sensores las fábricas, los almacenes y la cadena logística. “En una smart factory, los riesgos se dan sobre la IT, la infraestructura tecnológica tradicional, y sobre la OT, toda la parte operacional, que incluye sensores, actuadores y PLCs (computadoras de automatización industrial)”, explica Daswani.
El especialista en ciberseguridad destaca que la introducción de malware en cualquiera de las dos partes podría abrir un camino para infectar a la otra. “A partir de ahí se puede llegar a paralizar la producción, generar defectos en la fabricación o practicar un robo de la propiedad intelectual en una empresa del sector industrial”, señala. En el almacén conectado ocurre igual. “Tienen robots y sistemas automatizados que facilitan los productos. Así que un ataque podría encaminarse a manipular toda la parte que tenga que ver con el control de stock o con las solicitudes que se hacen para enviar productos a determinados sitios”, detalla Daswani.
El incremento de ataques al IoT es ya un hecho. El total de amenazas detectadas por la compañía de ciberseguridad F-Secure en la primera mitad de 2019 creció más de un 300%. Y la empresa lo atribuye a la “desenfrenada explotación de los dispositivos IoT” a través de los protocolos Telnet y UPnP, muy usados en este tipo de unidades. Todo apunta a que la tendencia seguirá al alza, sobre todo cuando se espera que los dispositivos IoT pasen de 22.000 millones en 2018 a 38.600 millones en 2025, con datos de Statista.
Eutimio Fernández, de Cisco, resume el reto venidero: “Lo que dice el sentido común es que si antes teníamos que chequear 200 PCs o cuatro switches, ahora será más complicado, porque habrá de por medio muchos más sensores”. Como antídoto recomienda trabajar con fabricantes de confianza que diseñen sus dispositivos con la máxima seguridad por defecto.
Ataques dirigidos
Uno de los peligros emergentes con IoT son los ataques a una compañía en particular. Entre los riesgos que habitualmente afrontan las empresas están el robo de información, ya sea de propiedad intelectual o de otros datos confidenciales, y las pérdidas de disponibilidad de sus servicios. En ocasiones esto se produce mediante un ataque pensado para infectar a un objetivo determinado. “A la hora de planificar el ataque se estudia toda la información pública sobre la compañía, a nivel de infraestructura, sistemas, sedes físicas, recursos humanos, a qué se dedica la empresa, tecnología IP”, señala el consultor en ciberseguridad Daswani. El aumento de dispositivos multiplica irremediablemente las vías de entrada para los cibercriminales.