Este artículo fue publicado originalmente por IoT Business News
El Internet de las Cosas está en todas partes, desde sensores meteorológicos y sistemas de control industrial hasta relojes inteligentes, refrigeradores y dispositivos médicos implantados. Se espera que el número de dispositivos IoT en uso en todo el mundo supere los 15 mil millones este año (tres veces el número de usuarios humanos en Internet), y casi duplicará esa cantidad para 2030.
Los dispositivos IoT tienen un gran potencial para un cambio positivo, pero su capacidad para conectar objetos, compartir información y realizar acciones es precisamente lo que los hace intensamente vulnerables. La proliferación de dispositivos crea un gran riesgo, ya que la superficie de ataque de los dispositivos conectados se expande a prácticamente todos los niveles de la sociedad.
Dado que los dispositivos IoT abundan en aplicaciones para infraestructura crítica, atención médica y uso del consumidor, es importante implementar correctamente la seguridad de IoT. Algunos de los ejemplos más notables que ilustran las vulnerabilidades de los dispositivos IoT incluyen dispositivos médicos comprometidos como dispositivos cardíacos y bombas de insulina, y conexiones inalámbricas defectuosas en automóviles que permitieron a un hacker cortar los frenos, apagar el motor o tomar el control de la dirección. También hay relatos personales escalofriantes, como un incidente en el que un monitor de bebé comprometido permitió a un hacker observar a un bebé y amenazar audiblemente a sus padres con un secuestro. Desafortunadamente, una encuesta reciente realizada por Pulse y Keyfactor reveló que, si bien el 62% de los líderes de productos y fabricación están preocupados por la seguridad de sus dispositivos IoT, solo el 42% sentía tener una estrategia clara para asegurar las identidades de los dispositivos.
Como suele ocurrir con las nuevas tecnologías, el crecimiento explosivo del IoT ha superado a la seguridad. Pero a medida que los dispositivos IoT se vuelven aún más comunes, los riesgos aumentan significativamente, incluso hasta el punto de poner en juego la vida de las personas. La seguridad de IoT debe convertirse en una prioridad, y es responsabilidad de cada organización tomar las medidas necesarias para garantizar que cualquier aplicación o dispositivo IoT en uso sea seguro.
Priorizando la seguridad de IoT en cada etapa
Los fabricantes de dispositivos a menudo no tienen un estándar de seguridad claro con el que trabajar, lo que resulta en mucha ambigüedad e inconsistencia en el mercado. Esa ambigüedad puede propagarse, lo que lleva a inconsistencias en las prácticas de autenticación, las actualizaciones de seguridad continuas y las comunicaciones entre dispositivos conectados. Si bien hay cambios en marcha, como el estándar de hogar inteligente Matter, los esfuerzos para establecer estándares mínimos de seguridad para los dispositivos IoT aún no están lo suficientemente extendidos.
Para superar los crecientes riesgos asociados con los dispositivos IoT, las organizaciones deben adoptar el mismo tipo de enfoque que se aplica al desarrollo de Software: introducir la seguridad temprano en el proceso de desarrollo y priorizarla en cada paso posterior. Con esta mentalidad, los equipos pueden crear identidades de dispositivos confiables, garantizar la confidencialidad de los datos y mantener la integridad de los datos y el firmware que se ejecutan en cada dispositivo. Adherirse a las siguientes mejores prácticas ayudará a fortalecer la seguridad de los dispositivos IoT.
Cree credenciales únicas para cada dispositivo.
Los certificados digitales se utilizan para verificar la identidad del remitente de un mensaje electrónico, creando un método de autenticación único y altamente seguro para cada dispositivo. Proporcionar a cada dispositivo un certificado digital único es significativamente más efectivo que simplemente usar contraseñas predeterminadas o incluso claves compartidas para el cifrado simétrico. Esto se debe a que el cifrado simétrico no diferencia entre dispositivos, lo que hace imposible compartir información con un dispositivo conectado específico o saber de qué dispositivo específico se originaron los datos. El uso de cifrado asimétrico con certificados digitales únicos permite a los fabricantes compartir información con un dispositivo específico y saber de qué dispositivo específico se originaron los datos, lo que permite una autenticación altamente segura de cada dispositivo y garantiza la integridad de los datos.
Tome precauciones adicionales para el almacenamiento de claves privadas.
La creación de credenciales únicas para cada dispositivo IoT requiere el uso de criptografía asimétrica, que genera un par de claves pública y privada. Si bien las claves públicas se pueden compartir, las claves privadas deben almacenarse de forma segura. La mejor manera es con seguridad basada en Hardware, como Trusted Mobile Platform (TPM) o Secure Storage. Un chip TPM, por ejemplo, protege las claves y los certificados digitales a través de un procesador criptográfico seguro habilitado por Hardware, proporcionando una fuerte protección contra el compromiso.
Verifique las actualizaciones de firmware y Software.
La capacidad de los hackers para instalar Software malicioso en dispositivos conectados es una amenaza significativa. El uso de un par de claves pública/privada y la exigencia de que los equipos de desarrollo firmen su código reduce esa amenaza. Cada dispositivo requeriría una clave pública que coincida con la clave privada del equipo de desarrollo, lo que verificaría que la actualización provino del equipo y que no fue modificada en tránsito.
Proporcione una gestión continua del ciclo de vida.
Cualquier sistema estático es inherentemente inseguro, y los certificados digitales y pares de claves en uso se debilitarán con el tiempo. Sin una gestión adecuada, existe una gran posibilidad de que los certificados caduquen o sirvan como herramienta de infiltración para los ciberdelincuentes, sin que el equipo lo sepa. Esto se debe a que un certificado sigue siendo válido, incluso cuando los certificados han sido retirados de uso antes de su vida útil de 398 días. Con la creciente cantidad de dispositivos IoT, el seguimiento del inventario en el campo y la detección de cambios en los dispositivos son los desafíos de seguridad más importantes para las organizaciones. Para implementar una gestión adecuada del ciclo de vida, los equipos deben mapear todos los dispositivos y las claves y certificados digitales asociados dentro de su organización. Esto ayuda a establecer un inventario exacto de lo que está en uso y permite un monitoreo más fácil de todos los certificados y claves, particularmente cuando se necesitan actualizaciones o cuando los equipos necesitan revocar un certificado para un dispositivo que ya no está en uso.
A medida que el ecosistema IoT ha crecido y madurado, han surgido graves problemas de seguridad que podrían costar a los fabricantes de dispositivos millones de dólares y una pérdida incalculable de confianza. En el peor de los casos, una falla de seguridad podría poner vidas en riesgo. La gran cantidad de dispositivos IoT en el mundo, y el hecho de que ahora realizan funciones de misión crítica en una variedad de campos, significa que es hora de tomarse en serio la seguridad de IoT. Al priorizar la seguridad de IoT a través del cifrado, credenciales únicas y una gestión continua del ciclo de vida, las organizaciones pueden estar seguras de que los nuevos dispositivos innovadores que introducen en el mercado, así como los dispositivos que se utilizan para sus propias operaciones, no introducirán ningún riesgo disruptivo.
