Introducing the 2024 PKI & Digital Trust Report     | Download the Report

Reducir la brecha de confianza entre el diseño y el desarrollo de IoT

Internet de los objetos (IoT)

Este artículo fue publicado originalmente por IoT Business News

La Internet de los objetos está en todas partes, desde sensores meteorológicos y sistemas de control industrial hasta relojes inteligentes, frigoríficos y dispositivos médicos implantados. Se espera que el número de dispositivos IoT en uso en todo el mundo supere los 15.000 millones este año (tres veces el número de usuarios humanos de Internet), y casi duplicará esa cifra en 2030.

IoT Los dispositivos encierran tanto potencial de cambio positivo, pero su capacidad para conectar objetos, compartir información y realizar acciones es precisamente lo que los hace intensamente vulnerables. La proliferación de dispositivos genera muchos riesgos, ya que la superficie de ataque de los dispositivos conectados se amplía a prácticamente todos los niveles de la sociedad.

Dado que los dispositivos IoT abundan en aplicaciones para infraestructuras críticas, sanidad y consumo, es importante que la seguridad de IoT sea correcta. Algunos de los ejemplos más notables que ilustran las vulnerabilidades de los dispositivos IoT incluyen dispositivos médicos comprometidos, como dispositivos cardíacos y bombas de insulina, y conexiones inalámbricas defectuosas en automóviles que permitieron a un pirata informático cortar los frenos, apagar el motor o tomar el control de la dirección. También hay relatos personales escalofriantes, como un incidente en el que un monitor de bebés en peligro permitió a un hacker observar a un bebé y amenazar audiblemente a sus padres con un secuestro. Desgraciadamente, una encuesta reciente de Pulse y Keyfactor reveló que, aunque el 62% de los responsables de producto y fabricación están preocupados por la seguridad de sus dispositivos IoT , sólo el 42% cree tener una estrategia clara para proteger las identidades de los dispositivos.

Como suele ocurrir con las nuevas tecnologías, el crecimiento explosivo de IoT ha superado al de la seguridad. Pero a medida que los dispositivos IoT se hacen aún más comunes, los riesgos aumentan significativamente, hasta el punto de poner en juego la vida de las personas. La seguridad de IoT debe convertirse en una prioridad, y es responsabilidad de cada organización tomar las medidas necesarias para garantizar que cualquier aplicación o dispositivo IoT en uso sea seguro.

Prioridad a la seguridad IoT en cada paso

Los fabricantes de dispositivos no suelen tener una norma de seguridad clara con la que trabajar, lo que provoca mucha ambigüedad e incoherencia en el mercado. Esta ambigüedad puede derivar en incoherencias en las prácticas de autenticación, las actualizaciones de seguridad y las comunicaciones entre dispositivos conectados. Aunque hay cambios en marcha, como la norma Matter para hogares inteligentes, los esfuerzos por establecer normas mínimas de seguridad para los dispositivos de IoT aún no están lo suficientemente extendidos.

Para superar los crecientes riesgos asociados a los dispositivos de IoT , las organizaciones deben adoptar el mismo tipo de enfoque que se aplica al desarrollo de software : introducir la seguridad en las primeras fases del proceso de desarrollo y, a partir de ahí, darle prioridad en cada paso. Con esta mentalidad, los equipos pueden crear identidades de dispositivos de confianza, garantizar la confidencialidad de los datos y mantener la integridad de los datos y del firmware que se ejecuta en cada dispositivo. La adhesión a las siguientes prácticas recomendadas ayudará a reforzar la seguridad de los dispositivos IoT .

Crea credenciales únicas para cada dispositivo.

Los certificados digitales se utilizan para verificar la identidad del remitente de un mensaje electrónico mediante la creación de un método de autenticación único y altamente seguro para cada dispositivo. Dotar a cada dispositivo de un certificado digital único es mucho más eficaz que limitarse a utilizar contraseñas predeterminadas o incluso claves compartidas para el cifrado simétrico. Esto se debe a que el cifrado simétrico no diferencia entre dispositivos, lo que hace imposible compartir información con un dispositivo conectado específico o saber de qué dispositivo específico proceden los datos. El uso del cifrado asimétrico con certificados digitales únicos permite a los fabricantes compartir información con un dispositivo específico y saber de qué dispositivo se originaron los datos, lo que permite una autenticación muy segura de cada dispositivo y garantiza la integridad de los datos.

Tome precauciones adicionales para el almacenamiento de claves privadas.

La creación de credenciales únicas para cada dispositivo IoT requiere el uso de criptografía asimétrica, que genera un par de claves pública y privada. Mientras que las claves públicas pueden compartirse, las privadas deben almacenarse de forma segura. La mejor manera es con seguridad basada en hardware, como Trusted Mobile Platform (TPM) o Secure Storage. Un chip TPM, por ejemplo, protege las claves y los certificados digitales a través de un procesador criptográfico seguro habilitado para hardware, lo que ofrece una sólida protección contra el riesgo.

Verifique las actualizaciones de firmware y software .

La capacidad de los piratas informáticos para instalar software malicioso en los dispositivos conectados es una amenaza significativa. Utilizar un par de claves pública/privada y exigir que los equipos de desarrollo firmen su código reduce esa amenaza. Cada dispositivo necesitaría una clave pública que coincidiera con la clave privada del equipo de desarrollo, lo que verificaría que la actualización procede del equipo y que no ha sido modificada en tránsito.

Proporcionar una gestión continua del ciclo de vida.

Cualquier sistema estático es intrínsecamente inseguro, y los certificados digitales y pares de claves en uso se debilitarán con el tiempo. Sin una gestión adecuada, existe una enorme posibilidad de que los certificados caduquen o sirvan como herramienta de infiltración para los ciberdelincuentes, sin que el equipo lo sepa. Esto se debe a que un certificado sigue siendo válido, incluso cuando los certificados se han dejado de utilizar antes de su vida útil de 398 días. Con la creciente cantidad de dispositivos IoT , el seguimiento del inventario en todo el campo y la detección de cambios de dispositivo son los retos de seguridad más importantes para las organizaciones. Para llevar a cabo una gestión adecuada del ciclo de vida, los equipos deben hacer un mapa de todos los dispositivos y claves y certificados digitales asociados dentro de su organización. Esto ayuda a establecer un inventario exacto de lo que está en uso y permite una supervisión más sencilla de todos los certificados y claves, especialmente cuando se necesitan actualizaciones o cuando los equipos necesitan revocar un certificado para un dispositivo que ya no está en uso.

A medida que el ecosistema IoT ha ido creciendo y madurando, han surgido graves problemas de seguridad que podrían costar a los fabricantes de dispositivos millones de dólares y una pérdida de confianza incalculable. En el peor de los casos, un fallo de seguridad podría poner vidas en peligro. El ingente número de dispositivos IoT en el mundo y el hecho de que ahora desempeñen funciones de misión crítica en diversos campos significa que ha llegado el momento de tomarse en serio la seguridad de IoT . Al dar prioridad a la seguridad de IoT mediante cifrado, credenciales únicas y gestión continua del ciclo de vida, las organizaciones pueden estar seguras de que los nuevos dispositivos innovadores que introducen en el mercado -así como los dispositivos que se utilizan para sus propias operaciones- no introducirán ningún riesgo perturbador.