El Instituto Federal de Telecomunicaciones (IFT) de México ha publicado el análisis ‘Ciberseguridad en los dispositivos de Internet de las Cosas (IoT)’, en el que se dan a conocer los resultados del análisis de 348 fabricantes o marcas, que tienen dispositivos homologados. El documento tiene como objetivo mostrar la información que los fabricantes o marcas difunden en sus portales de Internet.
Para la integración del análisis, el IFT realizó una clasificación de los controles técnicos y políticas organizativas, y se agrupó la información en diferentes apartados: contraseñas, actualizaciones de software, uso de las comunicaciones seguras, integridad del software, datos de telemetría, eliminación de los datos personales, y sobre las credenciales y los parámetros de seguridad sensible.
Según el estudio, la información relacionada con las especificaciones de ciberseguridad en los productos de algunas de las marcas revisadas no fue de fácil ubicación, ya que se debe realizar una búsqueda exhaustiva en sus páginas web. Asimismo, algunas de las marcas revisadas en sus términos, condiciones y avisos de privacidad no incluyen información respecto a los incidentes de seguridad relacionados con la información y los datos personales de los usuarios.
El informe también muestra que en algunas ocasiones no existe información ni página web para consultar información de seguridad en los dispositivos; y en otros casos, los términos, condiciones y avisos de privacidad de las marcas revisadas se encuentran en idiomas distintos al español. Del total de las marcas analizadas, el 8% no cuenta con ningún tipo de información relacionada con las características de ciberseguridad de sus dispositivos.
Recomendaciones de seguridad
Con la finalidad de promover la confianza y el uso seguro de estas nuevas tecnologías, el IFT considera importante tomar en cuenta diferentes recomendaciones, como verificar si las actualizaciones de software del dispositivo se realizan de manera automática o no, y procura mantenerlo actualizado; personalizar el nombre de usuario y contraseña del dispositivo y/o la cuenta asociada; o utilizar contraseñas seguras para acceder al dispositivo y a la cuenta asociada.
Además de las contraseñas seguras, se recomienda utilizar un método de doble autenticación para acceder al dispositivo y la cuenta asociada, si fuera posible; revisar el tratamiento que se le da a la información y a los datos personales; así como desactivar el dispositivo cuando no se esté utilizando.
También se recomienda que, si no se utiliza el dispositivo, eliminar la información y los datos personales almacenados en este, así como la cuenta asociada. Por último, identificar la información que los equipos recopilan y los mecanismos que tienen habilitados para configurar la privacidad, además de utilizar los mecanismos de configuración de privacidad con la finalidad de que solo sea visible la información que se desee.
Actualmente, las personas comparten su información a través de un número creciente de dispositivos IoT y servicios asociados online que permanentemente están recolectando y procesando dichos datos. Por lo anterior, es importante promover el uso informado de los dispositivos y la concienciación sobre los datos que se recolectan y los riesgos que esto conlleva. Por ello, resulta importante que los dispositivos sean diseñados para resistir amenazas en la seguridad, ya que los riesgos vinculados a una falla o falta de seguridad en estos aparatos conectados a Internet afecta a la confianza, privacidad y economía de quienes los usan.