El aumento del teletrabajo ha supuesto para las empresas una ampliación de la “superficie de ataque”. Es decir, al tener su informática repartida y a muchos empleados accediendo a aplicaciones críticas de forma remota desde equipos muy variopintos, garantizar unos mínimos de seguridad se ha complicado mucho para los gestores de TI, y sobre todo para los CISO. Pero el teletrabajo tiene otra vertiente peligrosa para las redes empresariales, y en la que muchas veces no se repara.
Es la que trae la proliferación de dispositivos de IoT en los propios domicilios de los empleados. Y es que los trabajadores suelen entrar en las apps corporativas por el mismo router que también da cobertura a infinidad de dispositivos conectados en casa, como el televisor, la consola, el termostato inteligente, el pulsómetro, la bombilla inteligente, altavoces como Alexa o Nest (de Google) o incluso comederos para mascotas. Y cada vez son más frecuentes en grandes organizaciones los ataques causados por intrusiones a través de estos aparatos cotidianos.
Un estudio de Vanson Bourne encargado por Palo Alto, y que se basa en una encuesta a 1.900 directivos de TI en 18 países (100 de ellos en España), pone la lupa en este problema. Así, un 78% organizaciones han visto aumentar la cantidad de dispositivos IoT no empresariales conectados a la red corporativa durante el último año. Y la misma proporción de responsables informáticos ha informado de un aumento de los incidentes de seguridad en torno al IoT.
Hay que recordar que en los momentos más duros de la pandemia, y sólo en España, hubo más de tres millones de personas trabajando en remoto, y todavía quedan 1,8 millones, según los últimos datos del INE. Esta dispersión y la cantidad enorme de aparatos conectados en cada domicilio crea, según Palo Alto, muchas oportunidades para que los piratas informáticos se infiltren en los sistemas corporativos. Los delincuentes saben que un pequeño sensor puede ser la puerta de entrada para una pieza de ransomware.
De los encuestados en el estudio de Palo Alto que mostraron preocupación por el aumento de estas amenazas, la mitad aseguró que necesita más visibilidad y un inventario de los dispositivos. Según el equipo de investigación de Palo Alto, más de la mitad de los dispositivos IoT presentan vulnerabilidades medias o altas, en parte porque en muchas ocasiones dependen de programas de software antiguos y para los que no hay actualizaciones ni parches de seguridad. Un ejemplo es Windows XP, que sigue gobernando muchos sistemas secundarios en todo el mundo.
“Con las organizaciones cambiando a un modelo de trabajo remoto o híbrido, obtener visibilidad de todos los dispositivos de IoT conectados por los trabajadores remotos en redes corporativas es cada vez más difícil para los equipos de seguridad”, asegura Tony Hadzima, country manager de Palo Alto Networks en España.
Consejos para mitigar el peligro del IoT doméstico
Para mitigar el riesgo de seguridad que supone el IoT en casa y en la empresa, Palo Alto ofrece algunos consejos interesantes. A los trabajadores remotos les recomienda familiarizarse con el router y actualizar el cifrado a WPA3 Personal o WPA2 Personal. También es importante que controlen los dispositivos conectados accediendo a la interfaz del móvil, para desconectar los más antiguos o desactivar la gestión remota en los que no se necesitan. Y, por último, es recomendable que segmenten la red doméstica, creando un wifi para invitados y haciendo que los dispositivos domésticos se conecten a esa red. De esa manera, se dificulta el acceso al portátil de trabajo o a una aplicación corporativa desde un dispositivo IoT comprometido.
Para las empresas con plantilla en remoto, lo ideal es contar con tecnologías que permitan una visibilidad completa de todos los dispositivos IoT conectados a la compañía. El objetivo es tener un inventario actualizado. También es fundamental en las compañías acceder a la interfaz web del router y desconectar los aparatos que procedan o desactivar la gestión remota en otros casos. Y, por último, desde Palo Alto consideran relevante implantar una estrategia zero trust en entornos de IoT. Es decir, de “confianza mínima” en el acceso la información por parte de personal interno. Para redondear esta política, es interesante que los responsables de ciberseguridad den a los empleados los menores privilegios posibles.