Hoy en día, los peligros de la ciberseguridad son constantes en nuestro vivir cotidiano. En radio, televisión, en internet escuchamos los peligros de recibir posibles ataques a dispositivos inteligentes. Estos dispositivos son ya protagonistas en nuestras vidas y pueden ser parte integrantes de un sistema de alarmas. Entonces, ser sujetos de posibles verificaciones por parte de los operadores de la CRA en caso de salto de alarma. Este escenario es como una espada de doble filo, que puede afectar en la (ciber)seguridad sea por el lado del cliente de un servicio de conexión a CRA a través del sistema de alarmas o sea del lado de las mismas infraestructuras de la Central Receptora de Alarmas que reciben los saltos de alarmas, los verifican y avisan a las fuerzas de seguridad en caso de que fuera necesario.
Esta situación es la consecuencia directa de la proliferación de los dispositivos IOT, internet of things, se trata de los dispositivos conectados de cualquier tipo. En los últimos años han tenido un crecimiento más que exponencial. De hecho, hay el triple de iot que seres humanos: más de 35 mil millones. A este crecimiento tan exagerado se le asocian todos los riesgos relacionados con estos tipos de dispositivos.
Estos son los principales riegos y peligros de ciberseguridad de los dispositivos inteligentes IOT:
En definitiva, estas son las principales vulnerabilidades y los principales riesgos en los cuales se puede incurrir a la hora de adquirir un dispositivo inteligente IOT. A nivel de CRA, las repercusiones en las cuales se pueden incurrir durante la verificación de los saltos de alarmas dependen del tipo de dispositivo utilizado. Porque, si yo contrato un sistema de alarma conectándolo 24/7 a CRA, y le pongo una cámara ip. Si la información que esta cámara ip almacena y/o retransmite en “streaming”, es decir en directo con o sin almacenaje, no está correctamente cifrada, esta información obviamente puede ser vulnerada. Por ejemplo, a través de un ataque del tipo “man in the middle”, hombre en el medio, que alguien se ponga entre tu conexión y el punto de destino. Entonces, captura todo tu tráfico, si tu tráfico no está cifrado, todo lo que pasa en aquel punto será visible al ciberdelincuente, y será utilizado con fines maliciosos y fraudulentos.
A nivel de alarmas conectada a CRA-Central Receptora de Alarmas, los dispositivos inteligentes IOT conectados a los sistemas de alarmas no suelen tener estos tipos de problemas. Porque los fabricantes son expertos en sistemas de seguridad y cuidan todos los aspectos de producción de los sistemas de seguridad, incluyendo la ciberseguridad. Además, desde la CRA, no se conecta cualquier sistema de alarma que no tenga certificación de grado de seguridad, según normativa de ley. Además, hoy en día todos los equipos tienen que respetar determinados estándares de (ciber)seguridad.
A nivel de infraestructura de la CRA, no se han dado casos de vulneración grave de ciberseguridad, por el hecho que una cosa es comprar dispositivos inteligentes en grandes “marketplaces”, y otra es adquirir un producto y/o servicios de sistemas alarmas por empresas de seguridad homologadas. Obviamente, nada es invulnerable a los ciberataques. Pero, seguramente los fabricantes especializados en equipos de seguridad cuidarán más los detalles para proteger sus productos. Además, disponen de la experiencia y del “know out” para poder seguir mejorando sus productos a través de actualizaciones periódicas para mantener sus productos y sus infraestructuras lo más protegidas en todo momento. Además, sabrán responder prontamente en caso de ciberataques mirados.
A nivel de Central de Alarmas, se ofrece seguridad física, y al mismo tiempo seguridad virtual a los clientes que han conectados su sistema de seguridad a la CRA. El tema de la ciberseguridad, al igual que la seguridad física, implica las 24 horas. De todos modos, la ciberseguridad y la seguridad real son aspectos compatibles. Pero, cuando hablamos de ciberseguridad, se trata de otro tipo de negocio que necesita un tipo de personal completamente distinto. Hoy en día, la mayoría de las CRAs disponen de herramientas para hacer frente a los ciberataques.
En el próximo futuro, es muy probable que se desarrollen servicios de ciberseguridad específicos que se ofrecerán directamente a los clientes de sistemas de alarmas.
El problema es que si antes un hacker encontraba una vulnerabilidad de un dispositivo se la tenía por él y la explotaba, ahora la vende en la “Deep web” y la ofrece como servicio, lo que se define como “Malware as a service”. Entonces, se pueden comprar paquetes de ataques maliciosos para derrumbar web, app y dispositivos electrónicos, y al final te la echan abajo. Trabajando a nivel nacional es más fácil evitar estos determinados tipos de ataques porque se filtra las ip a través de un corta fuego. Si sufres un ataque desde Estados Unidos, cortas las ip y se acabó el ataque. Pero si eres una multinacional y tienes clientes en todo el mundo, el problema se complica porque no puedes tan fácilmente filtrar los datos. Los dispositivos IOT más vendidos son de grandes multinacionales que exportan prácticamente en todo el mundo, entonces tener cuidado al elegir cuál comprar.
La (ciber)seguridad 100% no existe.