La ciberseguridad en la Internet de las Cosas
Tiempo de lectura estimado: 5 minutos
Esta entrevista pertenece a la quinta sección del Módulo 0 de C1b3rWall Academy 2021, "Ciberseguridad". El objetivo es conocer más acerca del internet de las cosas (IoT), los riesgos derivados de su adopción, ciberataques, seguridad y visión de futuro.
Entrevistada
Lola Cano Baños es una experimentada investigadora, emprendedora y autora, activa en el campo de la tecnología desde hace más de 20 años. Es doctora en Ingeniería de Telecomunicación y profesora en la Universidad Politécnica de Cartagena, además de cofundadora de Decision Habitat, empresa de predicción de oportunidades alrededor del blockchain, internet de las cosas, ciberseguridad e inteligencia artificial. Lola fue Fulbright en la Universidad de Columbia (NY, USA) y colabora de forma activa con varias universidades de América del Sur. También ha sido investigadora principal de numerosos proyectos de investigación con contribuciones en prestigiosas revistas científicas. Fue galardonada con el premio al mejor trabajo en el IEEE ISCC, entre otros reconocimientos. Es trilingüe en español, inglés y portugués.
Internet de las cosas y ciberseguridad
Internet de las cosas representa a cualquier sistema ciberfísico con capacidad de conexión (puede enviar o recibir información). Hay ejemplos ya utilizados masivamente como los relojes inteligentes, sistemas de riego (agricultura inteligente), etc. Parece ser una realidad ya insertada en la sociedad, no está todavía totalmente afianzada, pero ocurrirá.
IoT tiene dos lugares de uso: los hogares y la industria. Desde el punto de vista de esta última, es importante darse cuenta de que en el momento en que una empresa o una fábrica introduce IoT entre sus soluciones debe saltar la alarma de la ciberseguridad, ya que se encuentra con unos aparatos diseñados de forma que suponen una necesidad de adaptación.
5G está pensada para tres grandes servicios: el primero, las comunicaciones muy rápidas, con un retardo muy pequeño; el segundo, servicios que consumen mucho ancho de banda; el tercero, IoT, dar cabida a millones de dispositivos de este tipo, suponiendo así que las ciudades tengan capacidad para ofrecer nuevos servicios a partir de esa información que los dispositivos capturan.
Hogares y empresas van a tener cada vez más objetos conectados, lo que supone un riesgo creciente frente a ciberataques. Para evitar riesgos, es fundamental la formación y concienciación desde la fabricación hasta los usuarios del producto. Todavía no hay una certificación que confirme que un dispositivo IoT es seguro. Hay movimientos a nivel gubernamental, pero todavía no hay una legislación fija y quedan unos años para tener una normativa relativa a IoT.
Destaca el concepto de ransomware as a service: contratar un ransomware para atacar a una empresa determinada. Se desarrolla un virus que puede encriptar los archivos de una empresa y se pone a la venta para que cualquier persona pueda comprarlo y utilizarlo. Las organizaciones criminales ofrecen a trabajadores ganar dinero por "solo" abrir un correo electrónico y ayudar así desencadenar el ataque, así, se consigue cifrar la información y pedir un rescate en bitcoin para descifrar. Son importantes los incentivos y bonus para trabajadores y empresas que han conseguido seguir de forma metódica las medidas de seguridad y evitar los ataques, así como tomarlas como referencia.
Ciberseguridad no es algo que tengan que aprender solo personas con un perfil técnico. Aprender sobre esto es importante para cualquiera, necesitamos una visión holística para que todos nos entendamos hablando de ciberseguridad y comprendamos el retorno de invertir en ella, una inversión que, a la larga, puede salir muy barata. Un ejemplo de formación es lo que estamos impulsando desde la UPCT - el ecosistema CyberPRO, donde el objetivo es formar líderes organizacionales en ciberseguridad así como crear un ecosistema de upskilling y reskilling para empleados de todos los ámbitos (no solo IT / Cyber). Partimos de un punto de vista multidisciplinar en la enseñanza de la ciberseguridad, incluyendo temas que van desde el core curriculum en cyber (por ejemplo, seguridad en redes) hasta la toma de decisiones de negocio, comunicación, normativas y simulaciones. El objetivo es formar profesionales holísticos con alta flexibilidad en la toma de decisiones a la hora de proteger o actuar en escenarios de seguridad.
¿Cuál es tu reacción?