Latinoamérica. En la actualidad, el Internet de las cosas, IoT, puede definirse como un ecosistema ciberfísico de sensores y actores interconectados, que permite la toma de decisiones inteligente. El IoT provee ese elemento “inteligente” a todas las herramientas u objetos prácticos de la vida de las personas, desde automóviles y dispositivos portátiles hasta redes e infraestructuras inteligentes.
Sin embargo, las amenazas y riesgos relacionados con los dispositivos, sistemas y servicios de IoT están creciendo, y los casos de ataques o vulnerabilidades se presentan con mayor frecuencia día con día.
Todos hemos escuchado la idea sobre que el despliegue del IoT será clave para desarrollar ciudades inteligentes, aeropuertos, mejorar la salud, así como otros aspectos clave en la vida de las personas.
Y es una realidad que dicho fenómeno crece en todas partes y seguirá teniendo un impacto positivo en nuestras vidas. Pero es importante destacar que, el despliegue de recomendaciones de seguridad en los ecosistemas donde el IoT será fundamental para el correcto funcionamiento de estos dispositivos, es necesario para prevenir ciberataques en un futuro.
Un panorama extremadamente complejo
Con un gran impacto en la seguridad y privacidad de los ciudadanos, el panorama de amenazas para dispositivos y sistemas IoT es engañoso. Por lo tanto, es importante comprender qué es exactamente lo que se debe proteger e implementar medidas de seguridad específicas para protegernos de las amenazas cibernéticas. Esto es particularmente importante en el contexto de los sistemas de TI, que son infraestructuras esenciales para la operación de infraestructuras críticas y los negocios.
El IoT permea a muchos ecosistemas, por lo que es necesario tener un enfoque holístico y sólido para:
Promover la armonización de las iniciativas y reglamentos de seguridad del IoT
Concientizar a las personas o usuarios sobre la importancia de la ciberseguridad, definir pautas seguras del ciclo de vida de desarrollo de software y hardware
Lograr un consenso sobre la interoperabilidad en todos los ecosistemas
Establecer la gestión segura del ciclo de vida de los productos / servicios que se ofrecen.
De acuerdo con un reciente estudio, en la actualidad nos encontramos frente a un escenario en donde es importante examinar las diversas superficies de ataque y amenazas, proponer mejores prácticas y recomendaciones de seguridad para proteger dispositivos, datos y sistemas de IoT. Es importante destacar algunos puntos clave para entender mejor el panorama.
Incorporación de dispositivos a plataformas y aplicaciones IoT
Podemos considerar diferentes enfoques para la incorporación de dispositivos a plataformas y aplicaciones de IoT. A diferencia de la incorporación de usuarios, la inscripción o el registro de dispositivos implica una serie de pasos automatizados impulsados por una interfaz de programación de aplicaciones (API, por sus siglas en inglés), que no requieren intervención humana. Por lo general, se requiere de un ancla de confianza en el dispositivo, ya sea aprovisionado por el fabricante o agregado como agente por distribuidores, proveedores de soluciones o clientes. El enfoque basado en el anclaje de confianza permite el registro seguro, el aprovisionamiento y la actualización de dispositivos a través de controles de seguridad activos basados en políticas que están diseñados para proteger aplicaciones y servicios de IoT. Las plataformas IoT deben admitir capacidades adecuadas de políticas y listas blancas para automatizarse sin intervención humana.
Establecer seguridad controlada por los propietarios
La postura de seguridad controlada por el propietario es muy importante frente al IoT. Los fabricantes están promoviendo ciertos anclajes de confianza; certificados aprovisionados en los dispositivos durante la fabricación misma para una seguridad sólida desde el principio. Estos podrían funcionar bien en plataformas y aplicaciones cerradas, pero las plataformas abiertas necesitan una seguridad controlada por el propietario y específica de la aplicación. Además, el cumplimiento y las regulaciones exigen el cambio del modelo de seguridad del fabricante a la seguridad controlada por el propietario.
Autenticación IoT
En el contexto de la identidad del usuario, se aplican los modelos de autenticación basados en enfoques multifactoriales. Estos modelos simplemente no son adecuados para dispositivos habilitados para IoT. Este requiere que los dispositivos se autentiquen en otros dispositivos y en el plano de administración de seguridad de acuerdo con los requisitos de la aplicación. Estos métodos pueden utilizar una combinación de:
Credenciales específicas de la aplicación
Anclajes de confianza (hardware o software), impulsada por APIs
Otro gran problema es asegurarse de que las credenciales o certificados en los dispositivos no sean alterados o copiados a otro dispositivo. Esto requiere un almacenamiento seguro en el dispositivo y una fuerte vinculación de credenciales como parte del proceso de autenticación.
Privacidad e integridad de los datos
El IoT no se trata solo de "cosas", sino también de datos. Asegurar la gran cantidad de dispositivos es una tarea complicada, pero el volumen cada vez mayor de datos generados por IoT presenta un desafío completamente nuevo. Para proteger la información confidencial de los dispositivos, los datos deben cifrarse lo más cerca posible de la fuente. Los modelos típicos de seguridad de nivel de transporte (TLS) no proporcionan seguridad de extremo a extremo ni privacidad de los datos. Adoptar un enfoque criptográfico centrado en los datos le otorgaría seguridad de extremo a extremo y privacidad de los datos, permitiendo diseñar un sistema independiente de cualquier arquitectura de red. Otro escenario a considerar es la protección de datos confidenciales a nivel de campo ya que los protocolos máquina a máquina (M2M, por sus siglas en inglés) pueden entregar contenido a múltiples suscriptores.
Actualizaciones de firmware seguras
Una estrategia de seguridad de IoT debe incluir actualizaciones de software y firmware para dispositivos remotos, mientras se asegura que sólo se instale un software de confianza. La autenticación de dispositivos seguros, la privacidad de datos y la integridad en dichos equipos forman un requisito previo para que esto sea exitoso. El plano de administración de seguridad debe ser capaz de controlar el acceso a los dispositivos para las actualizaciones, verificar el origen y validar la integridad de estas.
Debemos recordar que el Internet de las cosas o IoT es un paradigma creciente con un impacto técnico, social y económico significativo. El IoT plantea desafíos de seguridad y protección muy importantes que deben abordarse para que pueda alcanzar todo su potencial. Muchas consideraciones de seguridad con respecto a este tema no son necesariamente nuevas; se heredan del uso de tecnologías de red. Sin embargo, las características de algunas implementaciones de IoT presentan nuevos desafíos, amenazas y riesgos de seguridad que son múltiples y evolucionan rápidamente. Abordar estos desafíos y garantizar la seguridad en los productos y servicios es una prioridad fundamental de cara hacia un futuro inmediato.
Por Manuel Zamudio, National Accounts Manager de Axis Communications.
