Los dispositivos conectados a internet están en constante aumento. El informe “Internet de las Cosas” de EAE apunta a que se llegarán a 350 millones de dispositivos conectados en España este año, A nivel mundial, en 2023, más de 29.000 millones de dispositivos conectados. Dispositivos que se conectan en oficinas, industrias, ciudades, en los hogares… Y que pueden ser vulnerables o ser objetivo de ciberataques, como cualquier sistema o dispositivo informático, Teniendo en cuenta esto y que más de un 14% de los usuarios controlan ya a través de internet las cámaras o sistemas de seguridad de su vivienda, entre otras muchas funcionalidades, pensar en su ciberseguridad desde el inicio es clave.
Esto supone una necesidad creciente de una máxima: la seguridad desde el diseño. Y en el contexto digital, ciberseguridad por diseño.
Esto implica que todo aparato o dispositivo que tenga características que le permitan conectarse a internet o a otros dispositivos, o que manejen datos, se desarrolle desde el inicio teniendo en cuenta su seguridad digital. Esto implica un diseño y producción concretos, pero también se traduce también en un mantenimiento ciberseguro: poder cambiar el usuario y contraseña por defecto o que permita aplicar actualizaciones de seguridad ante posibles vulnerabilidades.
“Debes estar a cierto nivel para detener a un atacante que desea atacarte, debes asegurarte de que tu sistema no sea el más vulnerable”, así lo explica Baldvin Gislason, experto del Grupo de Seguridad en el Software, Axis Communications HQ, a quien entrevistamos desde Bit Life media en el marco del encuentro sobre ciberseguridad en el que reunieron a profesionales del sector para debatir sobre las buenas prácticas del sector. Esta es una de las principales.
Bit Life media. La ciberseguridad afecta y preocupa en todos los sectores, pero si hablamos de la videovigilancia y este tipo de dispositivos, todavía más. ¿Qué tipo de incidentes están afectando actualmente a este tipo de productos? ¿Cuáles son las mayores amenazas?
Baldvin Gislason. Diría que las mayores amenazas que hemos visto hasta ahora se han derivado simplemente de que los dispositivos que no son seguros son accesibles para los “malos». Están siendo aprovechados para instalar mineros de Bitcoin, alguien los bloquea por diversión o cosas por el estilo.
En estos casos no necesariamente se trata de un atacante profesional, sino más bien de ataques oportunistas. El problema al que se enfrenta el cliente es que pierde el acceso a los dispositivos.
Pero una tendencia que creemos que está ocurriendo es que, debido a que otros sistemas se han vuelto más seguros, es difícil hackear usando Windows porque han estado trabajando en seguridad durante mucho tiempo. Los dispositivos como los sistemas de videovigilancia se están conectando al resto de los sistemas. Y el equipo de videovigilancia, que puede ser cualquier parte del sistema, puede ser un vector de ataque. Entonces, el «malo» entrará allí y luego avanzará hacia el sistema.
No estoy tan preocupado por el primer escenario, porque aunque es bastante común y también es importante, pero solo se necesita seguridad básica para detener ese tipo de ataque oportunistas, ya que suele ser ejecutado por personas que simplemente escanean Internet para encontrar algo vulnerable.
Pero para detener a un atacante que desea atacar a una empresa, un ataque dirigido, entonces debes asegurarte de que tu sistema no sea el más vulnerable. Y realmente debe estar a un cierto nivel.
Ya vimos esto en 2013, fue algo muy mediático que sucedió en Estados Unidos. Una gran minorista fue atacada a través de uno de sus proveedores. Y lograron obtener información de tarjetas de crédito porque a través de los sistemas de enfriamiento pudieron ingresar a la red corporativa.
BLm. Por tanto, debemos preocuparnos de los cibercriminales mapas organizados que tienen bien claro cuál es su objetivo: el dinero que van a lograr mediante estos ataques.
BG. Por supuesto, quieren el dinero. No necesariamente les importa el “vídeo”. El objetivo no es el vídeo. Por supuesto que también puede ser importante. Por ejemplo, ahora gracias a la inteligencia artificial y los vídeos generados por IA.
También tenemos algo llamado “vídeo firmado” para que se sepa que si miras el vídeo desde una cámara de acceso, por ejemplo, en un tribunal, puedas demostrar que no ha sido modificado.
Así que en estos casos, el vídeo es importante. Pero diría que ese es el caso raro porque no muchas empresas tienen vigilancia por vídeo porque quieren usarlo en un juicio posterior y temen que el vídeo sea manipulado. Es porque es un vector de ataque.
Y esto es cierto para todas las cosas que están conectadas a la red. No importa si es vigilancia por vídeo en un elevador o un refrigerador o una cafetera o los ordenadores con Windows.
BLm. ¿Y cómo podemos proteger estos dispositivos? ¿Cómo protegéis estos dispositivos para evitar este tipo de incidentes?
BG. Hay muchas cosas. Lo primero es que el software que tienes debe construirse correctamente. Para eso, tenemos muchas cosas, para empezar capacitamos a nuestros desarrolladores y les proporcionamos herramientas para que puedan construir el software de forma segura. Con eso, tenemos software seguro. No es algo que puedas agregar más tarde, la seguridad. Debe construirse desde el principio.
BLm. Seguridad por diseño, desde el inicio.
BG. Eso es. Y esto es algo que Microsoft hizo hace muchos años. Así que nos hemos inspirado mucho en ellos y hemos hecho cosas similares. Lo segundo es controlar el software que se puede instalar. Y para eso, tenemos elementos de hardware seguros en las cámaras para que la cámara solo tenga el software que venga de inicio. Que te dé seguridad incluso si, por ejemplo, cuando recibes la cámara en tu oficina, no tienes idea de lo que le ha sucedido desde la fábrica, durante todo el transporte y hasta que llega a ti.
Pero puedes estar seguro de que no es posible instalar muchas cosas en ella. Por supuesto, podrían haber hecho algo malo con ella. Pero puedes simplemente reiniciar a los valores de fábrica, porque tenemos el arranque seguro.
A menudo las personas quieren hablar de las características de seguridad, pero las características de seguridad no funcionan si no lo hacen todas las otras cosas básicas.
Y en este sentido quiero mencionar que tienes que actualizar. Windows pasó por esto. Nadie actualizaba. Siempre estaba recibiendo virus. Luego hubo un periodo en el que odiabas actualizar porque te molestaba. Y ahora lo están haciendo sin problemas.
Queremos lograr esto y tenemos que hacerlo junto con socios como Genetec y Milestone porque tengo que asegurarme de que cuando mi empresa proporcione nuevas actualizaciones para la cámara, esto funcione con sus sistemas. De lo contrario, el cliente no puede actualizar.
Y toda nuestra industria está pasando por lo mismo que nuestros ordenadores con Windows en el pasado. Hay que mantenerlas actualizadas. Sé que es un poco molesto ahora, pero lo estamos mejorando, mejorándolo para que puedas confiar en ello y no se rompa todo cuando lo hagas.
BLm. Otro aspecto importante, y que está condicionando el propio diseño y fabricación, son las normativas que están y que vendrán, que regulan sobre cómo implementar ciberseguridad en los productos digitales, por ejemplo la CRA, La Ley de Ciberresiliencia. ¿Cómo está afectando y afectarán estas normativas tanto a fabricantes como a usuarios?
BG. Cuando comencé en 2014, hace casi 10 años, trabajando en ciberseguridad, sentimos que si la industria no se ponía en orden, iba a llegar la regulación.
Me arrepentí un poco de que la regulación haya llegado antes porque demuestra que el mercado no estaba listo para regularse a sí mismo. Tuvieron que obtener regulaciones de los gobiernos. Me preocupaba que fueran demasiado específicas o algo así.
Pero estoy bastante impresionado con lo que he leído hasta ahora. Lo que me preocupa es que habrá más presión institucional para que me diga exactamente qué hacer para que no me multen.
Y esto no va a funcionar para la ciberseguridad porque el gobierno no puede decirte exactamente cómo asegurar todos tus sistemas y cosas por el estilo.
Pero pueden decirte cosas básicas como mantén tus cosas actualizadas, haz una evaluación de riesgos, etc. Hasta ahora, estoy bastante contento con esto también. Creo que es bueno porque crea conciencia. Además, no tengo que decirle a la gente que la ciberseguridad es importante. Los gobiernos se lo están diciendo.
En cuanto a la CRA específicamente, que está dirigida más a los fabricantes, estoy un poco preocupado de que la gente piense que eso es suficiente. Es suficiente para el nivel básico.
Es un poco como si compraras unos auriculares con Bluetooth. Y digamos que quieres comprar unos buenos auriculares y tienen Bluetooth y el logotipo de Bluetooth está ahí. ¿Entonces sabes que son buenos auriculares? No, solo sabes que funcionarán con tu teléfono. Pero no necesariamente son buenos.
Es el nivel básico que te permite conectarlo a tu teléfono o a lo que vayas a conectarlo. Y eso es más o menos el nivel básico que proporciona la CRA, por ejemplo.
Y creo que si los gobiernos dicen: «vale, tenemos que elevar el nivel», será muy difícil subir el nivel con una regulación que se adapte a cada escenario o situación diferente.
Te puedo dar un ejemplo: el mercado de los ascensores. Es una industria en la que, es una empresa suele proporcionar todo el sistema. Y es muy común que esas empresas también ofrezcan el resto de servicios como actualizaciones y mantenimiento. Así es como funciona el negocio de los ascensores por alguna razón.
La industria de la videovigilancia no es así. Es muy común que sean diferentes empresas las que colocan distintos componentes juntos y luego alguien diferente los mantiene.
Y es mucho más común que el sistema de vídeo esté conectado a algo más, como el sistema de control de acceso. Porque hay muchas cosas sucediendo al mismo tiempo. Entonces, tener exactamente la misma regulación para ascensores y videovigilancia no funcionará.
Y si lo haces, tanto las personas de la videovigilancia como las personas de los ascensores, ambos estarán algo molestos. ¿Cuál es la solución mágica? Dime exactamente las cosas que tengo que hacer y dame el sello y luego estoy libre. Y realmente no creo en eso más que para el nivel básico.