A lo largo de la lectura de este artículo, es probable que interactúes con varios dispositivos conectados. Y probablemente ni siquiera lo habrías pensado si no lo hubiéramos mencionado.
Ese comportamiento es sólo uno de los muchos indicios que demuestran sin lugar a dudas que la tan prometida Internet de los objetos (IoT) no sólo ha llegado, sino que se ha arraigado profundamente en nuestra vida cotidiana.
Esto es bueno: IoT encierra un enorme potencial. Ya estamos cosechando sus beneficios en muchos ámbitos, como la mejora de la información médica y el mantenimiento proactivo de los dispositivos, que pueden contribuir a mejorar la seguridad al tiempo que nos ahorran tiempo y dinero.
Pero a pesar de todas estas ventajas, IoT también conlleva profundos riesgos para la seguridad. Y a medida que emerge este lado oscuro de los dispositivos conectados, las organizaciones que los fabrican y distribuyen se han encontrado en muchos casos desprevenidas.
A medida que avanzamos hacia la era de IoT, la seguridad de extremo a extremo debe ocupar un lugar destacado en el debate. Tenemos que poner estas consideraciones en primer plano para asegurarnos de que no quede piedra sin remover.
Con el imperativo de seguridad de IoT en mente, hemos reunido recientemente a un grupo de expertos en una mesa redonda sobre el estado actual de la seguridad en IoT y lo que se necesita para garantizar la seguridad en el futuro.
He aquí algunas de las principales conclusiones del debate.
1) IoT la seguridad presenta retos únicos en escala y volumen
Uno de los mayores obstáculos para empezar es la enorme escala y volumen que ha alcanzado la IoT en tan poco tiempo. En concreto, IDC informa de que habrá 55.700 millones de dispositivos conectados en 2025 y un aumento del 300% en los datos generados por los dispositivos de IoT de 2019 a 2025. El enorme tamaño de ese universo no se parece a nada que hayamos visto desde el punto de vista de la seguridad.
A estas alturas, los profesionales de la seguridad saben cómo construir arquitecturas para proteger cientos o miles de dispositivos, quizá incluso millones. Pero cuando empezamos a hablar de decenas de miles de millones de dispositivos, el estándar actual de los procesos de seguridad aceptados empieza a deshacerse. Determinar la mejor manera de aplicar las prácticas de seguridad modernas a esta escala mayor será uno de los primeros obstáculos importantes que deberemos superar para ofrecer un mundo conectado totalmente seguro.
Muchos de los siguientes puntos de partida ofrecen una visión más detallada de todos los diferentes elementos de los dispositivos IoT que requerirán seguridad.
2) Proteger quién puede hablar con los dispositivos de IoT y controlarlos tiene consecuencias reales
Uno de los elementos más críticos de la seguridad de los dispositivos de IoT consiste en bloquear quién puede hablar con ellos y controlarlos sobre el terreno. Este aspecto de la seguridad siempre es importante para evitar que los dispositivos caigan en manos de personas malintencionadas. Sin embargo, es crucial en casos como los dispositivos médicos conectados y los vehículos que afectan directamente a la salud y la seguridad personales.
Ofrecer el nivel necesario de protección en este ámbito comienza con la provisión de una identidad única que dicte quién puede comunicarse con un dispositivo, qué actualizaciones puede enviarle y qué puede hacer para controlar el dispositivo durante toda su vida útil. En esta conversación es donde la autenticación a través de capacidades como la infraestructura de clave pública (PKI) resulta esencial para verificar las identidades y conceder (o denegar) determinados accesos en consecuencia.
3) No existe ningún dispositivo "inocente" IoT
A medida que aumenta el número de dispositivos conectados, es fácil tachar a muchos de ellos de "inocentes". Sí, un dispositivo médico conectado a un paciente plantea un riesgo de seguridad más grave y directo si fuera pirateado que algo como una unidad de aire acondicionado conectada, pero eso no significa que la unidad de aire acondicionado sea "inocente".
Por inocente que parezca, cualquier dispositivo conectado puede convertirse en un arma si el acceso cae en las manos equivocadas. De hecho, ya se han dado casos en los que personas malintencionadas acceden a datos sensibles haciéndose pasar primero por estos dispositivos "inocentes" (como las unidades HVAC) para violar los cortafuegos. Esta situación hace que sea esencial prestar mucha atención a la seguridad de cada uno de los dispositivos de IoT (por ejemplo, mediante autenticación y actualizaciones periódicas de seguridad), independientemente de su uso previsto.
4) No existen los datos "mundanos" IoT
En la misma línea, es igualmente esencial proteger los datos que recopilan los dispositivos de IoT -independientemente de lo triviales que parezcan- porque no existen datos "mundanos" en IoT . Consideremos el caso de un tractor conectado que informa sobre los patrones de cultivo y cosecha del campo por el que circula. A primera vista, esos datos parecen mundanos y en gran medida inútiles para todos menos para unas pocas personas. Sin embargo, si alguien pudiera acceder a ese tipo de datos de cientos o miles de tractores, de repente, podría empezar a predecir el rendimiento de las cosechas y hacerse con un sólido mercado de futuros.
Este es sólo un ejemplo de los muchos que ilustran cómo el flujo de datos desde IoT puede llegar a ser extremadamente perturbador y debe permanecer bajo una estricta gestión. Una de las mejores formas que hemos visto para establecer los límites de confianza adecuados en torno a estos datos y garantizar que sólo las partes adecuadas puedan acceder a ellos es mediante la autenticación basada en certificados. Y esta autenticación debe ser sólida, por muy "mundanos" que parezcan los datos procedentes de un dispositivo.
5) Todo dispositivo IoT necesita un plan de actualizaciones a lo largo de su vida útil
Es muy posible que los dispositivos de IoT que se lanzan hoy lleven en el mercado entre 10 y 15 años, sobre todo en el sector industrial y de los vehículos. No cabe duda de que durante ese tiempo aparecerán fallos, se descubrirán puntos débiles y la tecnología en general avanzará considerablemente. Y mientras esos dispositivos estén ahí fuera, los fabricantes necesitarán una forma de actualizarlos en consecuencia si hay alguna esperanza de que sigan siendo seguros durante toda su vida útil.
Es importante que los fabricantes desarrollen un plan para estas actualizaciones antes de que los dispositivos salgan al mercado. Este plan debe incluir una forma de enviar actualizaciones de firmware de forma segura, actualizar las criptobibliotecas en las que se basa la autenticación, revocar la autenticación en caso necesario y volver a inscribir los certificados a medida que caduquen. Además, el plan también debe tener en cuenta cómo pueden los fabricantes entregar estas actualizaciones cuando sea necesario, incluso cuando los dispositivos se desconecten o cambien de ubicación (por ejemplo, en la UE, donde viajar entre países a menudo conlleva gastos de itinerancia).
6) La normativa y la competencia harán aún más importante la seguridad en IoT
Hasta la fecha, IoT ha sido una especie de "salvaje oeste" en materia de seguridad, pero eso está cambiando rápidamente. En primer lugar, los gobiernos y los grupos del sector están empezando a promulgar directrices y normativas que dictan lo mínimo exigible desde el punto de vista de la seguridad en cuanto al acceso a los dispositivos, las actualizaciones suministradas y el uso de los datos. En segundo lugar, los usuarios finales de estos dispositivos están prestando atención y mirando más allá de las meras ventajas e innovación de IoT para asegurarse de que existe la seguridad adecuada, lo que ha empezado a convertir la protección en una ventaja competitiva en este espacio.
Aunque queda mucho camino por recorrer en cuanto a expectativas y normativas de seguridad, las cosas empiezan a cambiar en la dirección correcta. Por ejemplo, la FDA ha empezado a publicar directrices sobre buenas prácticas de ciberseguridad para dispositivos médicos (centradas principalmente en la autenticación mediante claves y certificados únicos y en la capacidad de los dispositivos para recibir actualizaciones), y los fabricantes de vehículos colaboran ahora en la elaboración de directrices similares. En el futuro, cabe esperar que lleguen más normativas al mercado, y su presencia hará que centrarse en la seguridad de los dispositivos IoT sea aún más importante de lo que ya es.
7) Es posible que nunca se estandaricen las mejores prácticas de seguridad en IoT
A pesar del aumento de la normativa que cabe esperar en los próximos años, es importante reconocer que las mejores prácticas de seguridad de IoT nunca estarán totalmente estandarizadas. Esto se debe a que cada dispositivo IoT es diferente: se fabrican de forma distinta y tienen casos de uso diferentes. Estas diferencias plantean retos únicos a la hora de desarrollar un conjunto estándar de mejores prácticas que todo el mundo pueda seguir.
Desde el punto de vista de la seguridad, vemos aspectos comunes en todos los casos de uso, como la importancia de unas credenciales únicas para la autenticación en cada dispositivo y unas prácticas seguras para la entrega de actualizaciones. Sin embargo, cualquiera que trabaje en el ámbito de la seguridad en IoT debe profundizar en el significado exacto de estos aspectos para cada dispositivo en lugar de limitarse a dar consejos generalizados.
8) Para garantizar la seguridad en IoT hay que ir paso a paso
Por último, teniendo en cuenta todos estos matices, el campo verde de la normativa y la falta general de estandarización, no es fácil conseguir una seguridad adecuada en IoT . Esto es especialmente cierto. Esto es especialmente cierto. La seguridad de IoT es bastante diferente de la seguridad empresarial tradicional y un área nueva incluso para la profunda experiencia de dominio de la construcción de estos dispositivos.
La mejor manera de avanzar es hacerlo paso a paso, examinando primero detenidamente el tipo de arquitectura de seguridad que mejor se adapte a sus dispositivos, a su empresa y a las necesidades específicas de sus clientes. A partir de ahí, puedes empezar a evaluar las distintas tecnologías disponibles para elementos clave como la autenticación, el cifrado, la firma de código, etc. Por el camino, una buena práctica a tener en cuenta es utilizar soluciones ya creadas que puedan ayudar con las etapas fundamentales del ciclo de vida de los dispositivos de IoT siempre que sea posible, ya que eso le permite aprovechar una gran cantidad de conocimientos y experiencia en lugar de crear algo por su cuenta.
Escuche a los expertos: Qué más necesita saber sobre la seguridad de los dispositivos IoT
Conseguir que IoT funcione es muy gratificante. Sin embargo, también hay muchos escollos en el camino, y esos escollos pueden ser muy perjudiciales para la reputación y los ingresos de una organización.
En consecuencia, IoT no es algo que deba tomarse a la ligera, y debe tratarse de forma diferente a cualquier otra tarea de seguridad que haya emprendido en el pasado.
Teniendo esto en cuenta, ¿qué más necesita saber cuando piense en la seguridad de los dispositivos IoT para su organización? Vea nuestra mesa redonda con expertos de Keyfactor, Tata Communications y Telus para obtener más información.
