Empresas en México corren el riesgo de sufrir graves ciberataques, según reciente informe

En la actualidad una de las tendencias tecnológicas de mayor crecimiento es el IoT (Internet of Things); sin embargo, las empresas se presentan cada vez más vulnerables ante ciberataques de gravedad al no priorizar la seguridad de su Infraestructura de Clave Pública (Public Key Infrastructure o PKI), según desvela un nuevo estudio de nCipher Security.

El Estudio de Tendencias Globales en PKI e IoT en 2019, realizado por la agencia de investigación Instituto Ponemon y patrocinado por nCipher Security, se basa en las respuestas de más de 1.800 profesionales de seguridad en tecnología informática en 14 países y regiones.

El estudio revela que el IoT es la tendencia de mayor crecimiento e impulsor de la implementación de aplicaciones PKI, las cuales han aumentado un 20 % en los últimos cinco años.

Los encuestados expresaron su preocupación ante varias amenazas de seguridad ligadas a IoT, incluida la alteración intencional de la función de los dispositivos a través de malware u otros ataques (68 %), así como el control de un dispositivo de forma remota por parte de un usuario no autorizado (54 %). Sin embargo, los encuestados situaron la entrega de parches y actualizaciones a los dispositivos IoT, la misma capacidad que protege contra esa principal amenaza, en último lugar en la lista de cinco elementos más importantes para garantizar la seguridad en dispositivos IoT.

El estudio también recalca que en los próximos dos años un promedio del 42 % de dispositivos IoT dependerá principalmente de certificados digitales para su identificación y autenticación. Sin embargo, el cifrado de dispositivos así como de plataformas IoT y repositorios de datos IoT, es de tan solo el 28 % y 25 %, respectivamente, según el Estudio de Tendencias de Cifrado Global 2019 de nCipher.

PKI desempeña un papel estratégico, pero las empresas quedan vulnerables y sin preparación. Para muchas organizaciones PKI es el núcleo de su infraestructura de tecnología informática y permite proteger importantes iniciativas digitales, como la nube, la implementación de dispositivos móviles e IoT.

La mayoría de los encuestados afirmaron usar PKI extensamente dentro de sus propias organizaciones para certificados SSL/TLS (79 %), redes privadas y VPN (69 %), y aplicaciones y servicios públicos basados en la nube (55 %). Sin embargo, más de la mitad (56 %) afirma que PKI es incapaz de respaldar nuevas aplicaciones. Asimismo, muchos encuestados ven importantes limitaciones técnicas y organizativas para el uso de PKI, incluida la incapacidad para cambiar las aplicaciones preexistentes (46 %), insuficientes habilidades del equipo (45 %) y escasez de recursos (38 %).

Datos de México

El Estudio nCipher de Tendencias Globales en PKI e IoT 2019 revela que, a pesar de existir un gran nivel de inversión en IoT, muchas organizaciones no se encuentran preparadas para enfrentarse a posibles ciberataques:

  • Con base en las respuestas de más de 1.800 profesionales de seguridad en 14 países y regiones (incluyendo México) – todos ellos responsables de seguridad en tecnología informática en los campos de banca y finanza, manufactura, salud y otros –  las principales amenazas para dispositivos IoT son: ver su función alterada por terceros y el acceso a un dispositivo de forma remota por parte de un usuario no autorizado.

  • En México las principales amenazas son la alteración de la función del dispositivo (75%), el uso del dispositivo como un punto de acceso a la red (44%) y captar datos desde el dispositivo (43%).

  • Lo más preocupante es que, según los encuestados, las prácticas de seguridad diseñadas para combatir estas amenazas (entrega de parches y actualizaciones a los dispositivos IoT) se sitúan en último lugar en la lista de prioridades.

  • La información captada y generada por dispositivos IoT está siendo usada cada vez más por empresas para operar de forma más eficiente, mejorar los procesos de negocio y tomar decisiones en tiempo real.

  • Generar confianza comienza con priorizar la seguridad IoT, pero el informe nCipher descubre una preocupante falta de responsabilidad, así como insuficientes habilidades de equipo y recursos.
  • Más de dos tercios de los encuestados a nivel global (68%) asegura que la falta clara de responsabilidad oprime su uso de aplicaciones de seguridad estratégicas.
  • Se estima que de las principales amenazas para IoT, 75% afirma que es la alteración de la función del dispositivo, 44% afirma que es el uso del dispositivo como punto de acceso a la red y 43% afirma que es captar datos desde el dispositivo

  • Dentro de las 3 tendencias de mayor importancia que impulsan las implementación de aplicaciones PKI, 47% dicen que son los servicios en la nube, 40% dicen que es móvil de consumo y 32% dicen que es IoT
  • Los 3 principales retos que impiden el uso de PKI en aplicaciones son en un 66% afirma que son insuficientes habilidades en el equipo,  48% afirma que el PKI existente es incapaz de respaldar aplicaciones nuevas y 46% afirma que son recursos insuficientes
  • Entre las 5 capacidades de seguridad IoT más importantes a día de hoy están: Descubrimiento del dispositivo, Proteger la confidencialidad e integridad de los datos recogidos por el dispositivo, Monitorizar el comportamiento del dispositivo, Autentificación del dispositivo y Entrega de parches y actualizaciones
  • Las 5 capacidades de seguridad IoT más importantes a en los próximos 12 meses son Monitorizar el comportamiento del dispositivo, Proteger la confidencialidad e integridad de los datos recogidos por el dispositivo, Descubrimiento del dispositivo, Autentificación del dispositivo y Entrega de parches y actualizaciones.

Otros hallazgos clave del estudio:

  • El uso de HSM como raíz de confianza para dispositivos IoT aumentó significativamente en 2018 (de un 10 % al 22 %).

  • A pesar de un número creciente de opciones para implementar PKI (en la nube, administrada y alojada), las Autoridades de Certificación (Certificate Authorities o CAs) corporativas e internas siguen siendo las más populares y han crecido un 19 % en los últimos cinco años, hasta alcanzar un 63 % – el 80 % de las organizaciones de servicios financieros están a favor de esta opción.

  • Cuarenta y cuatro por ciento de los encuestados cree que implementar PKI en dispositivos IoT consistirá en una combinación de prácticas en la nube y en la misma empresa.

  • En 2019 las capacidades PKI más importantes con respecto a IoT son la adaptabilidad a millones de certificados (46 %) y la revocación de certificados online (37 %).