Al leer este artículo, es probable que interactúe con varios dispositivos conectados. Y probablemente ni siquiera lo habría pensado dos veces si no lo hubiéramos mencionado.
Ese comportamiento es solo una de las muchas señales que demuestran, sin lugar a dudas, que el tan prometido Internet de las Cosas (IoT) no solo ha llegado, sino que se ha arraigado profundamente en nuestra vida cotidiana.
Esto es algo positivo: el IoT encierra un enorme potencial. Ya estamos cosechando los beneficios en muchas áreas, como una mejor información médica y un mantenimiento proactivo en dispositivos que pueden ayudar a mejorar la seguridad, al tiempo que nos ahorran tiempo y dinero.
Pero, a pesar de todos estos beneficios, el IoT también conlleva profundos riesgos de seguridad. Y a medida que surge este lado más oscuro de los dispositivos conectados, las organizaciones que construyen y emiten estos dispositivos se han encontrado, en muchos casos, sin preparación.
A medida que avanzamos a toda velocidad hacia la era del IoT, la seguridad de extremo a extremo debe convertirse en una parte destacada del debate. Debemos situar estas consideraciones en primer plano para asegurarnos de que no quede ningún aspecto sin explorar.
Teniendo en cuenta el imperativo de la seguridad del IoT, recientemente reunimos a un panel de expertos para una mesa redonda sobre el estado actual de la seguridad del IoT y lo que se requiere para garantizar la seguridad en el futuro.
A continuación, se presentan algunas de las principales conclusiones de este debate.
1) La seguridad del IoT presenta desafíos únicos en escala y volumen
Uno de los mayores obstáculos iniciales es la magnitud y el volumen que el IoT ha alcanzado en tan poco tiempo. En concreto, IDC informa que habrá 55.700 millones de dispositivos conectados para 2025 y un aumento del 300% en los datos generados por dispositivos IoT de 2019 a 2025. El tamaño de este universo no tiene precedentes desde el punto de vista de la seguridad.
En este punto, los profesionales de la seguridad saben cómo construir arquitecturas para proteger cientos o miles de dispositivos, incluso millones. Sin embargo, al hablar de decenas de miles de millones de dispositivos, el estándar actual de procesos de seguridad aceptados comienza a desmoronarse. Determinar la mejor manera de aplicar prácticas de seguridad modernas a esta escala masiva será uno de los primeros obstáculos significativos que debemos superar para lograr un mundo conectado totalmente seguro.
Muchas de las siguientes conclusiones ofrecen una visión más detallada de todos los diferentes elementos de los dispositivos IoT que requerirán seguridad.
2) Proteger quién puede comunicarse y controlar los dispositivos IoT tiene consecuencias reales
Uno de los elementos más críticos para asegurar los dispositivos IoT implica restringir quién puede comunicarse y controlarlos en el campo. Este aspecto de la seguridad es siempre importante para garantizar que los dispositivos no caigan en manos de actores maliciosos. Sin embargo, es crucial en casos como los dispositivos médicos conectados y los vehículos, que impactan directamente la salud y seguridad personal.
Ofrecer el nivel de protección necesario en esta área comienza con el aprovisionamiento de identidades únicas que dictan quién puede comunicarse con un dispositivo, qué actualizaciones puede enviarle y qué acciones puede realizar para controlarlo durante toda su vida útil. En este contexto, la autenticación mediante capacidades como la infraestructura de clave pública (PKI) se vuelve esencial para verificar identidades y otorgar (o denegar) el acceso correspondiente.
3) No existe un dispositivo IoT «inocente»
A medida que más y más dispositivos se conectan, es fácil considerar muchos de ellos como «inocentes». Si bien un dispositivo médico conectado a un paciente presenta un riesgo de seguridad más grave y directo en caso de ser hackeado que, por ejemplo, una unidad de aire acondicionado conectada, esto no implica que la unidad de aire acondicionado sea «inocente».
Por muy inocente que parezca, cualquier dispositivo conectado puede convertirse en un arma si el acceso cae en manos equivocadas. De hecho, ya se han registrado casos en los que actores maliciosos obtuvieron acceso a datos sensibles haciéndose pasar primero por estos dispositivos «inocentes» (como unidades HVAC) para vulnerar cortafuegos. Esta situación hace que sea esencial prestar especial atención a la seguridad de cada dispositivo IoT (por ejemplo, mediante autenticación y actualizaciones de seguridad periódicas), independientemente de su uso previsto.
4) No existen datos IoT «mundanos»
En la misma línea, es igualmente esencial proteger los datos que recopilan los dispositivos IoT —sin importar cuáles sean y cuán triviales puedan parecer— porque no existen datos IoT «mundanos». Considere el caso de un tractor conectado que informa datos sobre patrones de cultivo y cosecha para el campo en el que opera. A primera vista, esos datos ciertamente parecen mundanos y en gran medida inútiles para la mayoría, salvo para unas pocas personas. Sin embargo, si alguien pudiera obtener acceso a ese tipo de datos de cientos o miles de tractores, de repente, podría comenzar a predecir los rendimientos de los cultivos y asegurar una posición sólida en el mercado de futuros.
Este es solo uno de muchos ejemplos que ilustran cómo el flujo de datos del IoT puede volverse extremadamente disruptivo y debe permanecer bajo una gestión estricta. Profundizando, una de las mejores formas que hemos observado para establecer los límites de confianza adecuados alrededor de estos datos y asegurar que solo las partes apropiadas puedan acceder a ellos es mediante la autenticación basada en certificados. Y esta autenticación debe ser robusta, sin importar cuán «mundanos» parezcan los datos provenientes de un dispositivo.
5) Cada dispositivo IoT necesita un plan de actualizaciones a lo largo de su vida útil
Los dispositivos IoT lanzados hoy bien podrían estar en funcionamiento durante 10 a 15 años, particularmente en el ámbito industrial y vehicular. No hay duda de que surgirán fallos, se expondrán debilidades y la tecnología en general avanzará significativamente durante este tiempo. Y mientras esos dispositivos estén en uso, los fabricantes necesitarán una forma de actualizarlos adecuadamente si desean que permanezcan seguros a lo largo de su vida útil.
Es importante destacar que los fabricantes deben desarrollar un plan para estas actualizaciones antes del lanzamiento inicial de los dispositivos. Este plan debe incluir una forma de enviar actualizaciones de firmware de forma segura, actualizar las bibliotecas criptográficas en las que se basa la autenticación, revocar la autenticación si es necesario y volver a inscribir certificados a medida que expiran con el tiempo. Además, el plan también debe considerar cómo los fabricantes pueden entregar estas actualizaciones cuando sea necesario, incluso cuando los dispositivos se desconectan o cambian de ubicación (por ejemplo, en la UE, donde viajar entre países con frecuencia genera cargos de roaming).
6) Las regulaciones y la competencia solo harán que la seguridad del IoT sea aún más importante
Hasta la fecha, el IoT ha sido un poco como el «salvaje oeste» en lo que respecta a la seguridad, pero eso está cambiando rápidamente. En primer lugar, los gobiernos y los grupos industriales están comenzando a promulgar directrices y regulaciones que dictan los requisitos mínimos desde una perspectiva de seguridad en cuanto al acceso a los dispositivos, las actualizaciones entregadas y el uso de datos. En segundo lugar, los usuarios finales de estos dispositivos están prestando atención y mirando más allá de los puros beneficios e innovación del IoT para asegurar que la seguridad adecuada esté presente, lo que ha comenzado a convertir la protección en una ventaja competitiva en este espacio.
Si bien aún queda un largo camino por recorrer en términos de expectativas y regulaciones de seguridad, la situación está empezando a cambiar en la dirección correcta. Por ejemplo, la FDA ha comenzado a emitir directrices sobre las mejores prácticas de ciberseguridad para dispositivos médicos (estas se han centrado principalmente en la autenticación mediante claves y certificados únicos, y en la capacidad de los dispositivos para recibir actualizaciones), y los fabricantes de vehículos ahora están colaborando en directrices similares. En el futuro, podemos esperar ver más regulaciones en el mercado, y su presencia hará que un enfoque profundo en la seguridad de los dispositivos IoT sea aún más importante de lo que ya es.
7) Las mejores prácticas de seguridad del IoT podrían no estandarizarse nunca
A pesar del aumento de las regulaciones que podemos esperar ver en los próximos años, es importante reconocer que las mejores prácticas de seguridad del IoT podrían no estandarizarse nunca por completo. Esto se debe a que cada dispositivo IoT es diferente: se fabrican de manera distinta y tienen diferentes casos de uso. Estas diferencias plantean desafíos únicos para desarrollar un conjunto estándar de mejores prácticas que todos puedan seguir.
Desde una perspectiva de seguridad, sí observamos hilos conductores comunes en todos los casos de uso, incluyendo la importancia de credenciales únicas para la autenticación en cada dispositivo y prácticas seguras para la entrega de actualizaciones. Sin embargo, cualquier profesional en el ámbito de la seguridad del IoT necesita profundizar en lo que significan exactamente estos hilos conductores para cada dispositivo único, en lugar de simplemente seguir consejos generalizados.
8) Implementar correctamente la seguridad del IoT requiere un enfoque paso a paso
Finalmente, dadas todas estas sutilezas, el campo incipiente de las regulaciones y una falta general de estandarización, implementar correctamente la seguridad del IoT no es sencillo. Esto es especialmente cierto, ya que la seguridad del IoT es bastante diferente de la seguridad empresarial tradicional y representa un área nueva incluso para expertos con profunda experiencia en la construcción de estos dispositivos.
La mejor manera de avanzar es hacerlo paso a paso, examinando primero de cerca el tipo de arquitectura de seguridad que funcionará mejor para sus dispositivos, empresa y las necesidades únicas de sus clientes. A partir de ahí, puede comenzar a evaluar las diferentes tecnologías disponibles para elementos clave como la autenticación, el cifrado, la firma de código, etc. En el camino, una buena práctica a tener en cuenta es utilizar soluciones ya existentes que puedan ayudar con las etapas fundamentales del ciclo de vida de los dispositivos IoT siempre que sea posible, ya que eso le permite aprovechar una gran cantidad de conocimiento y experiencia en lugar de desarrollar una solución propia.
Opinión de los expertos: Qué más necesita saber sobre la seguridad de los dispositivos IoT
Existen enormes recompensas por implementar correctamente el IoT. Aun así, también hay muchos escollos en el camino, y estos pueden ser extremadamente perjudiciales para la reputación y los ingresos de una organización.
Como resultado, el IoT no es algo que deba tomarse a la ligera, y debe tratarse de manera diferente a cualquier otra iniciativa de seguridad que haya emprendido en el pasado.
Teniendo esto en cuenta, ¿qué más necesita saber al reflexionar sobre la seguridad de los dispositivos IoT para su organización? Vea nuestra mesa redonda con expertos de Keyfactor, Tata Communications y Telus para obtener más información.
