Cuatro de cada cinco fabricantes de dispositivos del Internet de las Cosas (IoT) están fallando en las prácticas básicas de ciberseguridad al no proporcionar una forma de revelar las vulnerabilidades de seguridad de sus productos, algo que puede poner potencialmente a los usuarios del dispositivo en riesgo de ciberataques y violaciones de la privacidad.
Una investigación realizada por la IoT Security Foundation (IoTSF) -un grupo de la industria tecnológica cuyo objetivo es fomentar la seguridad de la Internet de las Cosas- analizó cientos de fabricantes de productos IoT populares y descubrió que sólo algo más de uno de cada cinco anuncia un canal público para informar de las vulnerabilidades de seguridad con el fin de que sean corregidas.
El 21% de los proveedores que ofrece este tipo de canal ha aumentado ligeramente desde el año pasado, algo que el informe de la IoT Security Foundation describe como un progreso “glacial” a la hora de proporcionar lo que describe como “un mecanismo de higiene básico”.
Esto ocurre a pesar de que países de todo el mundo, como el Reino Unido, Estados Unidos, Singapur, India y Australia, así como la Unión Europea, intentan hacer hincapié en la importancia de la ciberseguridad en los dispositivos IoT y en la capacidad de poder revelar las vulnerabilidades.
El informe señala que parte de la falta de políticas de divulgación de vulnerabilidades podría atribuirse a “empresas de TI no tradicionales” que entran en el mercado de la IO por primera vez, como los proveedores de moda que lanzan productos conectados o los fabricantes de electrodomésticos que añaden funciones inteligentes a sus productos.
En estos casos, es muy probable que sea la primera vez que el fabricante tenga que pensar en incorporar la ciberseguridad a los propios productos, por lo que no sólo podrían encontrarse vulnerabilidades en los dispositivos, sino que no hay una vía establecida para informar sobre ellas.
No obstante, el informe señala cómo “las mejores prácticas relacionadas con el IoT han estado disponibles libremente para cualquier persona con una conexión a Internet desde 2017” y que la forma en que cuatro de cada cinco empresas no están proporcionando un mecanismo para permitir que se informen las vulnerabilidades de seguridad para que puedan ser corregidas es “inaceptablemente baja”, y eso podría apuntar a problemas más amplios.
Eso significa que si se descubren vulnerabilidades de seguridad y no hay medios para informar al fabricante, podría poner a los usuarios en riesgo. Este es el caso, sobre todo, de las empresas que parecen haber cerrado -como señala el informe, algunas lo han hecho-, lo que significa que incluso si hubiera un medio para informar de la vulnerabilidad, es poco probable que se solucione.
Pero aunque el documento de investigación presenta a menudo un panorama sombrío del panorama de la seguridad del IoT en la actualidad, la IoT Security Foundation cree que, con el tiempo, esto cambiará y se convertirá en una parte fundamental del diseño de los productos.
Con información de ZDNet.