Año nuevo, seguridad nueva – Parte 1: Casos de uso de IoT

Casos de uso futuros de seguridad y privacidad para la Internet de las cosas y las redes basadas en la nube

¡Feliz Año Nuevo! En vísperas de Año Nuevo, reflexionamos sobre el año anterior: sus altibajos, lo que aprendimos y cómo queremos crecer. Ahora que ya es oficialmente 2019, es hora de mirar hacia adelante. Como CEO de Swimlane, quiero dedicar un tiempo a analizar los desafíos de privacidad que enfrentará la industria de la seguridad el próximo año. Esta es la primera de una serie de dos partes que explora cómo el Internet de las Cosas (IoT) y la transición cada vez más acelerada a la computación en la nube presentan nuevos desafíos para los centros de operaciones de seguridad (SOC) y los usuarios individuales, así como posibles casos de uso de orquestación, automatización y respuesta de seguridad (SOAR).

Tras la temporada navideña, los dispositivos conectados a través del Internet de las cosas (IoT) se están desempaquetando y distribuyendo por todo el mundo. Si bien estos dispositivos están diseñados para facilitarnos la vida de diversas maneras, se han observado casos de invasión de la privacidad mediante el IoT, como... Hackers hablando con los usuarios a través de sus cámaras o las personas que temen que sus microondas los estén espiando siguen provocando conversaciones en torno a la seguridad y la tecnología.

¿Cuando atacan las tostadoras?

Como profesional de la seguridad, soy intrínsecamente paranoico, pero no creo que la gente deba preocuparse por que sus tostadoras y microondas se rebelen contra ellos. En teoría, es posible que, mediante el uso de la cámara y la sincronización adecuada, su lavadora/secadora apilable pueda golpearlos en la cara, pero el mayor problema con el IoT es la privacidad.

Al continuar con su lavadora/secadora, piense en la Botón Dash de Amazon. A medida que gane popularidad, podrías empezar a decir: "Bueno, así es como consigo mi detergente para la ropa". Luego, tu lavadora/secadora, pero más importante aún, Amazon y Tide, están rastreando la cantidad de detergente que usas según la ropa que tienes y detectando cuándo tu detergente está bajo. Lo bueno es que recibes tu detergente a tiempo; tal vez incluso recibes recomendaciones sobre el detergente adecuado según la ropa que tienes. Pero por otro lado, hay alguien que sabe que no lavas tus jeans tanto como probablemente deberías. O menos cómico, estabas lavando tu ropa en un lugar y no estabas presente en otro lugar donde algo bueno o malo podría haber sucedido.

Así que, para mí, los problemas de seguridad del IoT no se limitan tanto a que mi microondas me haga daño, sino a que exponga al mundo información sobre mis hábitos y ubicación. Y ahora debemos preguntarnos: ¿Cómo se aprovecha esa información para marketing o ventas? ¿Y qué pasa con las fuerzas del orden?

“"Te estaré observando."”

Es apropiado que la banda de los 80 observando cada uno de tus movimientos se llamaba La Policía. No estoy sugiriendo que estemos en una situación orwelliana de "Gran Hermano", pero nuestros teléfonos, relojes inteligentes y rastreadores de actividad física—por nombrar algunos— ya proporcionan datos sobre nuestra ubicación precisa en cualquier momento. Las fuerzas del orden, las corporaciones, los empresarios y las agencias de publicidad pueden obtener una lista completa de personas a través de una geocerca y decir: “Estas son las personas con las que vamos a hablar porque estuvieron allí”. ¿Es eso malo? No necesariamente. Pero ¿qué pasaría si te incluyeran automáticamente como sospechoso de un delito por proximidad? Eso sí sería malo.

¿Dónde están los límites?

Vemos las cámaras de los televisores que exponen a personas que son monitoreadas involuntariamente. Obviamente, todo lo que decimos lo graba un dispositivo Google Home o Alexa. Decidir cuán problemática es la privacidad en el IoT depende de tu confianza en las empresas que te monitorean. ¿Qué esperas de la información que capturan y cuánto comparten? Si reciben una solicitud de datos, ¿simplemente dicen que sí y la envían? ¿O exigen a quienes la solicitan que pasen por un montón de trámites con órdenes judiciales y citaciones para acceder a esa información?

Aunque la tecnología del IoT es relativamente nueva, estas preguntas son similares a las conversaciones que hemos tenido sobre nuestros proveedores de servicios de internet (ISP) y operadores de internet durante años: ¿Cuál es la barrera de entrada para que el gobierno solicite todo lo que busco y solicito en internet? Ahora bien, no se trata tanto del operador que tiene la información, sino de Amazon y Google. Así que, debería preguntarse: ¿qué firmé cuando decidí colocar dicho dispositivo en mi dormitorio, baño o cocina?

¿Privacidad o seguridad?

El componente de privacidad aquí es realmente difícil, y siempre habrá una yuxtaposición entre la privacidad y la seguridad del IoT: cuanto menos puedo ver, más difícil me resulta identificar el mal comportamiento, pero cuanto más puedo ver, más puedo ver.

Hablamos mucho de esto en las comunidades de inteligencia y ciberseguridad. Es realmente un juego de suma cero. Cuanto más se da por un lado, menos se recibe por el otro. Se podría argumentar a favor de la privacidad, y también a favor de la seguridad. Para la mayoría, depende de la pregunta: ¿Ha sido víctima recientemente de una violación de la privacidad o de una brecha de seguridad?

Benjamin Franklin dijo una vez: “Quienes renuncian a la libertad esencial para comprar un poco de seguridad temporal no merecen ni libertad ni seguridad”. ¡Y eso fue antes de la bombilla! Para mí, esa es la difícil pregunta existencial: ¿Privacidad o seguridad? Como individuo, prefiero la privacidad, pero como director ejecutivo, veo ejemplos reales de cómo las protecciones de la privacidad están comprometiendo la seguridad.

Es un equilibrio que nos desafiará constantemente frente a la creciente popularidad y capacidad de la IoT.