En 2019, Medtronic encontró una vulnerabilidad que permitiría a un hacker entrar a desfribriladores cardiovasculares. A control remoto esta persona podría controlar el dispositivo médico y provocarle un ataque cardíaco a una víctima.
En 2013, la misma compañía de dispositivos médicos alertó que encontraron cómo un ciberatacante puede modificar ajustes en otro dispostivo para diabéticos y así enviar más insulina de la que un paciente necesita. "Debido a la vulnerabilidad encontrada, estas personas podrían recibir demasiada o muy poca insulina si un ciberatacante decidiera secuestrar los sistemas de comunicación y enviar estos comandos. En ambos casos, el resultado podría ser perjudicial para el individuo, ya que una dosis repentina de demasiada insulina puede provocar convulsiones o un coma diabético", dijo la compañía.
Se estima que en 2025, más de 75.000 millones de dispositivos estarán conectados al Internet de las Cosas. Eso incluye un número creciente de dispositivos médicos como marcadores de pasos, donde los pacientes confían sus vidas en el correcto funcionamiento del aparato.
Para Mike Nelson, jefe de seguridad de IoT de Digicert, los consumidores tienen derecho a pensar que sus dispositivos son seguros. "Muchos consumidores no piensan en seguridad, sino en conveniencia. Por ende, muchos fabricantes están viendo ciberseguridad. Se están asegurando que los dispositivos sean seguros. El riesgo es que alguien pueda entrar a un dispositivo de corazón, atacarlo y matar al paciente", apuntó Nelson.
Digicert, el principal proveedor de certificados digitales del mundo, realizó un Security Summit en San Diego. Nelson enfatizó: 'Estamos proporcionando a los fabricantes una interfaz de programación de aplicaciones que les ayude a autenticar sus transacciones y encriptar su data'. Digicert quiere hacer más, quiere que cada dispositivo conectado necesite ser asegurado ya que alguien eventualmente intentará hackearlo.
Lea más: Cómo mantener segura la información IoT
Hay pruebas de distintos dispositivos donde hackers mandan un mensaje, instalan malware y desde ahí pueden manipular la configuración del dispositivo.
¿Cuál es el escenario que viene?
"Creo que ya comenzamos a ver Gobiernos, como en Reino Unidos, que están instalando leyes para la seguridad del IoT. Japón está trabajando en estándares de seguridad. EEUU, el Estado de California también. Los Gobiernos están poniendo ojo en eso porque entienden los riesgos", apuntó Nelson. Digicert es el proveedor líder en ofrecer certificados de seguridad en internet: para determinar que una conexión es segura de punta a punta.Por ejemplo, Nelson informó que el CI+ en Europa sirve para validar el contenido audiovisual que reciben los televisores inteligentes en Europa. "En Europa el CI+ es estándar para asegurar el contenido que reciben los SmartTVs. Necesitas encriptarlo, ver que va en el lugar adecuado".
Carros inteligentes, iluminación inteligente, edificios inteligentes… las posibilidades para ataques masivos se multiplican. "Las cámaras de seguridad tienen la capacidad de espiar o ejecutar ataques Botnet para buscar dispositivos vulnerables y usarlos para atacar servidores, como lo que pasó con Wannacry", agregó Nelson.
Nelson enfatizó que en el futuro espera que los Gobiernos impulsen más regulaciones que hará que los fabricantes hagan bien las cosas desde el principio.
Si te duele, harás algo
El experto en seguridad de Digicert enfatizó que las compañías actúan una vez que les duele en costos, en pérdidas de operatividad. En 2017, al menos 465.000 marcapasos de Abbott (antes St. Jude Medical) fueron vulnerables a un ciberataque en uso de radiofrecuencias.'St. Jude Medical demostró que se puede atacar un dispositivo. El día que se hizo el anuncio se han cayeron las acciones 20%. ¿Crees que el CEO le importa? Claro que sí, porque le duele, porque es pérdida de dinero', insistió Nelson.
Por eso, Nelson insiste en que las soluciones de Digicert tienen tres parámetros de seguridad por cada dispositivos:
1. Una vez un dispositivo está conectado entra a un polo de verificación. 'Digicert ofrece un certificado para que cuando la conexión se hace: chequea que hay un certificado que valida que la conexión es la correcta. Si no está ahí, termina la conexión. Solo acceden los certificados confiables', dijo Nelson.
Lea también: Los 5 sectores que liderarán la adopción de Internet de las Cosas
2. Privacidad de los datos. 'IoT generan N cantidad de data, cada 5 minutos los dispositivos dan información a mi teléfono. El reto es: si alguien puede interceptar esta data, los certificados aseguran la integridad'.
3. Autenticación y encriptación de la data en movimiento. Una vez establecida la conexión y después de usar señales digitales para asegurarse que la data recibida es la correcta, se resuelven puntos críticos de información para los dispositivos IoT.
