El mundo de PKI y IoT en 2017
En 2017, la infraestructura de clave pública (PKI) seguirá consolidando su lugar como estándar fundamental de identificación digital, autenticación y cifrado, especialmente a medida que evoluciona la Internet de las cosas (IoT ) y aumentan las preocupaciones en materia de seguridad. La necesidad de identidades digitales de confianza será primordial para la seguridad general de Internet. A medida que las empresas intentan proteger IoT, PKI resurge como una tecnología rentable y probada que ofrece una solución segura y de alto rendimiento.
Predicción 1: PKI seguirá creciendo exponencialmente y se convertirá en una norma de facto para la identificación digital, la autenticación y el cifrado.
Tal y como se predijo el año pasado, los certificados SSL/TLS se siguen utilizando habitualmente para la navegación web segura, y CSS sigue observando el uso generalizado de PKI internas para autenticar datos, dispositivos, aplicaciones y usuarios dentro de las aplicaciones comerciales.
Dada la omnipresencia de productos, servicios y herramientas basados en la nube, SSL/TLS es sin duda necesaria. El estudio Thales Ponemon 2016 PKI Global Trends Study reveló que las tendencias más influyentes que impulsan el uso de PKI siguen siendo:
- Servicios basados en la nube-61% de los encuestados
- Móviles de consumo-52% de los encuestados
- Internet de los objetos-28% de los encuestados (ha aumentado desde el 21% de 2015)
En los dos últimos años se han detectado muchas vulnerabilidades de certificados y puntos finales en SSL , más recientemente DROWN, "Severe", Sparkle, BadLock, y ataques más antiguos como Heartbleed, FREAK, POODLE y Apple man-in-the-middle. A pesar de estos ataques, la PKI sigue siendo la columna vertebral de confianza para la autenticación segura. La transparencia de los certificados está surgiendo como una práctica basada en la PKI que garantiza la seguridad de los certificados de SSL orientados a Internet. Ante la constante evolución de las amenazas, las prácticas basadas en PKI han demostrado ser "la mejor opción de seguridad" en estos momentos.
Todas las organizaciones de todos los sectores verticales deben ser proactivas a la hora de garantizar la seguridad y el uso adecuado de los entornos PKI, así como la emisión, supervisión y elaboración de informes de los certificados de SSL/TLS . CSS Research determinó que sólo el 15% de las empresas adquieren 1.000 o más certificados de terceros. CSS Research también identificó que casi el 12% de todos los certificados publicados en Internet pertenecen a dispositivos, y no a sitios web: el auge de IoT continúa. Desde una perspectiva más amplia, el número total de certificados en Internet sigue aumentando y CSS Research sugiere que los factores impulsores son tanto los certificados digitales emitidos desde una PKI dedicada a la empresa como los dispositivos IoT .
Una PKI correctamente implementada y bien gestionada representa un marco altamente seguro y rentable para emitir certificados de confianza para una variedad de casos de uso. Como resultado, las organizaciones están estableciendo rutinariamente sus propias PKI internas dedicadas a la empresa y muchas están gestionando millones de certificados, o más, para ofrecer autenticación de identidad digital, cifrado y firma para servicios en la nube, dispositivos móviles y aplicaciones móviles.
Predicción 2: PKI se consolidará como la mejor práctica para la identificación, autenticación y comunicaciones seguras de los dispositivos IoT .
Las empresas siguen desarrollando y lanzando innovaciones de IoT que personalizan productos y servicios con la intención de hacer la vida más rápida, mejor y más accesible. Los avances de la IoT ayudan a las empresas a aumentar los ingresos, mejorar la eficiencia operativa, cumplir los requisitos normativos, mejorar la seguridad y proteger los activos. Según Gartner, el mercado mundial de IoT crecerá de 591.700 millones de dólares (en 2014) a 1,3 billones en 2019, y el número de puntos finales conectados a IoT aumentará a más de 25.600 millones en 2019, alcanzando los 30.000 millones en 2020.
Es un mercado prometedor y de rápido crecimiento. Sin embargo, si no se identifican, autentican y protegen adecuadamente, los dispositivos IoT pueden abrir y magnificar múltiples amenazas para las empresas. Las amenazas cibernéticas, las interrupciones y las violaciones de datos están a punto de tener un impacto significativo en los ingresos y la reputación de las empresas en crecimiento en todo el mundo si la seguridad de IoT no se pone al día.
La autenticación segura para dispositivos IoT debe ser escalable y rentable. Los métodos tradicionales de autenticación digital pueden no ser tan seguros, rentables o eficientes para el tipo y volumen de dispositivos, datos, personas y aplicaciones que necesitan ser autenticados, cifrados o firmados. Por no hablar de que la compra de certificados de terceros contribuye enormemente a los gastos en productos y servicios.
"Las contraseñas y las claves compartidas no funcionan bien para la autenticación de usuarios y son aún peores para la autenticación de dispositivos", comentó Wayne Harris, Consultor Principal de CSS. "Ya estamos viendo cómo se utilizan dispositivos IoT para ataques DDoS, y prevemos que serán más los objetivos en 2017".
Predicción 3: PKI seguirá la tendencia de "cloudificación de TI" hacia implantaciones basadas en la nube.
A pesar de las brechas en la nube y las vulnerabilidades del SaaS, la indecisión a la hora de poner sistemas y aplicaciones críticos en la nube está disminuyendo en todos los sectores verticales. Hace cinco años, el miedo a tener servidores en la nube impedía a muchas organizaciones cosechar un sinfín de ventajas operativas, pero hoy en día, la mayoría se ha dado cuenta de los beneficios económicos que supone liberarse de la gestión de infraestructuras para centrarse en aquello que es crítico para el negocio.
El aumento de la adopción de certificados combinado con la disminución de las dudas sobre la nube significa que PKI se está trasladando a la nube junto con sus homólogos de ciberseguridad, y las empresas que buscan optimizar los costes y la eficiencia operativa se beneficiarían de considerar PKI basado en la nube.
"Nuestro servicio de mayor crecimiento es la PKI empresarial basada en la nube. Más segura y rentable, la solución permite la PKI basada en la nube para IoT," comentó Ted Shorter, CTO de CSS.
Predicción 4: SHA-1 acabará siendo explotado para crear un certificado falso "totalmente válido".
Es bien sabido por la comunidad de ciberseguridad que el algoritmo de firma SHA-1 es débil y que acabará siendo descifrado por una colisión de hash, y las proyecciones sobre los costes y el tiempo necesarios para descifrar SHA-1 han disminuido cada vez más. Aunque el hash de diferentes mensajes debería dar lugar a hashes únicos, las colisiones reales pueden hacer que se produzca el mismo valor hash para diferentes mensajes, lo que puede aprovecharse para crear certificados falsos.
En 2012, Bruce Schneier predijo que podría producirse una colisión SHA-1 en 2015 con un coste de 700.000 dólares. La misma investigación estimó que podría producirse en 2018 a un coste de solo 173.000 dólares. Otra estimación cree que se podría lograr una colisión freestart en pocos meses utilizando una potencia informática similar a la de la nube EC2 de Amazon con un coste de entre 75.000 y 120.000 dólares, aunque este ataque en concreto impone restricciones de formato que serían difíciles de cumplir dentro de un certificado X.509.
Las organizaciones grandes y pequeñas son extremadamente vulnerables, y reaccionar tras una violación puede superar rápidamente los millones de dólares, al igual que la reparación. Por no mencionar que, en el entorno actual, 173.000 dólares y/o unos meses de potencia informática están al alcance de los ciberdelincuentes. Dado el bajo coste, además de los avances en potencia informática y criptoanálisis, es una cuestión de "cuándo", no de "si", se producirá una colisión SHA-1.
Shorter señaló: "Hemos seguido observando y todavía no hemos visto ningún ataque de colisión de certificados SHA-1 en la naturaleza, lo cual es bueno. Pero eso no significa que no esté a la vuelta de la esquina, y el hecho de que el algoritmo SHA-1 es muy vulnerable es indiscutible. Todas las empresas deberían haber migrado ya a SHA-2, y las que aún no lo hayan hecho deben darle la máxima prioridad. Vulnerabilidades y criptografía práctica aparte, los navegadores pronto dejarán de aceptar SHA-1 por completo".
CSS Research indica que el porcentaje de certificados aún firmados con SHA-1 supera el 46% del total de certificados publicados en Internet.
Predicción 5: Blockchain seguirá ganando terreno, pero con sus propios casos de uso.
Blockchain se ha afianzado, sigue creciendo y ganando atención. Es probable que en 2017 alcance su punto álgido en el Hype Cycle de Gartner, como informa CoinDesk, pero la comunidad tecnológica oirá hablar más de ella.
Actualmente se está produciendo una especie de dicotomía entre quienes observan el desarrollo de la tecnología blockchain. Por un lado, muchas personas de la comunidad tecnológica no comprenden del todo sus aplicaciones más allá de servir como sistema de libro mayor para aplicaciones financieras. Según Gartner, menos del 1% del público total utiliza actualmente blockchain. Por otro lado, muchos usuarios de la comunidad tecnológica parecen estar celebrando en exceso su aparición con "expectativas infladas" de sus beneficios; algo similar a la entrada de IoT.
No es que blockchain no vaya a ser transformador; su impacto e influencia serán significativos. Pero la cadena de bloques todavía está encontrando su lugar, y la adopción adecuada dependerá en gran medida del nivel de experiencia entre los que ejecutan la implementación, y las cuestiones críticas de gobernanza y cumplimiento de la cadena de bloques.
Es importante señalar que PKI y blockchain no son en absoluto mutuamente excluyentes: tienen funciones completamente diferentes. Mientras que blockchain todavía se está asentando en su papel, PKI sigue siendo una tecnología probada y de larga data para la emisión segura de certificados digitales, que se aplica a una amplia gama de casos de uso y seguirá siendo utilizada y adoptada entre las organizaciones de seguridad en todas las industrias.
Predicción 6: La seguridad en IoT empeorará antes de mejorar.
La Internet de los objetos ha presentado infinitas oportunidades para prácticamente cualquier vertical imaginable. Hoy en día existe una enorme cantidad de dispositivos conectados, y en el futuro habrá una cantidad aparentemente insondable de dispositivos conectados. En la actualidad, no quedan muchos aparatos que no puedan conectarse a Internet, lo que satisface a los consumidores ávidos de datos y exigentes con los resultados instantáneos, pero deja a los fabricantes con el persistente dilema: ¿cómo se asegurará la IoT ?
Las empresas están más preocupadas por sacar rápidamente un producto al mercado que por aplicar correctamente los controles de seguridad adecuados, lo que pone a prueba la seguridad general de los dispositivos IoT . Además, los antiguos procesos de aplicación de parches de software no son una opción para dispositivos IoT posiblemente dispares, como una bombilla que nunca volverá a estar en manos de un desarrollador, lo que arruina aún más la capacidad de ejercer controles de seguridad adecuados sobre dichos dispositivos. Ningún sector podía prever hasta qué punto se impondría la IoT , ni la evolución de las implicaciones de seguridad que conllevaría. En la actualidad, se producen más infracciones que nunca y cada día surgen más formas de ejecutar una infracción. Los dispositivos IoT se utilizan cada vez más en ataques DDoS porque están conectados a una red y plantean una mayor debilidad debido a los endebles requisitos de sólo contraseña.
Sin embargo, todavía no existe un marco coherente que abarque todos los sectores, o incluso que se aplique a sectores verticales específicos, que regule el uso de IoT y las prácticas de seguridad: los dispositivos de automoción y sanitarios son ejemplos de ello. Múltiples factores influyen en el nivel de complejidad que dificulta la gobernanza de IoT . En primer lugar, los ciclos de diseño son largos. Como consecuencia, se tarda mucho tiempo en implantar la seguridad en los objetos, sobre todo cuando la seguridad es una idea tardía. En segundo lugar, muchos productos salen al mercado sin posibilidad de actualización. Para muchos consumidores, la actualización consiste en comprar un nuevo producto.
Sin embargo, hay un aspecto positivo. Aunque se prevé que los problemas de seguridad a los que se enfrenta IoT empeorarán antes de que se identifique una solución ampliamente aplicable, existen controles que los fabricantes pueden aplicar mientras tanto. Muchas empresas están optando por integrar soluciones de seguridad llave en mano en los objetos; los servicios gestionados de PKI se están convirtiendo en una práctica habitual en IoT.
Estar preparados para el rápido ritmo de cambio de la ciberseguridad: Preguntas para 2017
Estar preparado para el ritmo de cambio de la ciberseguridad es clave para el éxito de la empresa; hay muchas cosas que cambian en toda la tecnología de la información. La mejor forma de que su empresa asuma el control es contar con los conocimientos adecuados a medida que cambian sus estrategias de TI y seguridad.
Mientras sopesa las opciones para implementar y gestionar PKI, considere hablar con CSS. Nuestros equipos de investigación, servicios profesionales y desarrollo de CSS cuentan con expertos en el campo de la identidad digital. Durante más de una década, hemos sido asesores de seguridad de confianza para más de la mitad de Fortune 500.
