Cómo proteger las identidades de los dispositivos IoT

El siguiente artículo de Cory Vanderpool, Keyfactor's Senior Business Development Manager of IoT, fue publicado como artículo invitado para IDSA.

Que las máquinas inteligentes superen en número a las personas puede parecer el argumento de una película de ciencia ficción catastrofista. Pero la reciente explosión de dispositivos conectados a Internet significa que ya hemos superado el punto de inflexión en el que los dispositivos superan en número a las personas.

IoT El último estudio de Analytics sobre el estado de IoT reveló que en 2021 había 12.200 millones de puntos finales activos y prevé que esa cifra aumente a 14.400 millones hasta 2022 y a 27.000 millones en 2025, en comparación con los casi 7.800 millones de personas que habitan el planeta. Además, en la actualidad contamos con más de 400 plataformas activas de Internet de las Cosas que dan cabida a vehículos conectados, terminales de pago, herramientas de gestión y supervisión de inventarios, etc.

Es fundamental que las organizaciones y los particulares protejan esta masa creciente de dispositivos y datos. Sin embargo, un estudio de la Identity Defined Security Alliance revela que la inmensa mayoría de las organizaciones no están preparadas. Su estudio 2022 Trends in Securing Digital Identities concluye que el 84 % de las organizaciones sufre una brecha relacionada con la identidad y, de ellas, el 96 % afirma que podría haberse evitado.

A medida que aumenta el volumen de dispositivos conectados a Internet, aumentan las posibilidades de que los ciberdelincuentes se conviertan en un objetivo. IoT la seguridad no se limita a pensar en proteger los dispositivos del futuro, sino también los que ya están en funcionamiento. Algunos ejemplos del riesgo para la seguridad de los dispositivos de IoT son:

Botnet Mirai: En 2016, el mayor ataque de denegación de servicio distribuido (DDoS) de la historia tuvo como objetivo el proveedor de servicios de registro de dominios Dyn mediante una red de bots IoT . El ataque se dirigió a dispositivos vulnerables de IoT , como cámaras y reproductores DVR, y utilizó nombres de usuario y contraseñas predeterminados comúnmente conocidos para infiltrarse en ellos e infectarlos con malware. El ataque puso de relieve que no siempre son los dispositivos obvios, como los wearables o los termostatos inteligentes, los objetivos de los hackers. Más bien, las organizaciones deben tener en cuenta las vulnerabilidades que existen detrás del dispositivo y en toda su superficie de ataque.

Ataque a dispositivos cardíacos de St. Jude Medical: En 2017, se confirmó que los dispositivos cardíacos fabricados por St. Jude Medical contenían vulnerabilidades que los hackers podían explotar. La vulnerabilidad se descubrió en los transmisores que leían los datos del dispositivo y los compartían con los médicos. Si los piratas informáticos obtenían acceso, podían agotar la batería o inducir una estimulación incorrecta o descargas a un paciente. Esta vulnerabilidad es indicativa de la falta de medidas de ciberseguridad en torno a dispositivos médicos como monitores cardiacos y bombas de insulina, así como máquinas vitales en los hospitales.

Vehículos conectados: La vulnerabilidad de los vehículos conectados se puso de manifiesto cuando Chrysler tuvo que retirar 1,4 millones de coches después de que unos piratas informáticos demostraran que podían secuestrar a distancia los sistemas de un Jeep. Los vehículos modernos contienen hasta 70 unidades de control electrónico (ECU), incluidas las del motor y la transmisión, los sistemas de iluminación, la dirección y los frenos, que utilizan el protocolo de red de área de control (bus CAN) para comunicarse de forma fiable. Sin embargo, el protocolo no está pensado para la ciberseguridad, lo que significa que no utiliza autenticación ni cifrado para evitar que la red sufra ciberataques. Además, muchos componentes de los vehículos proceden de terceros proveedores, lo que aumenta aún más el riesgo de vulnerabilidad. Por lo tanto, es responsabilidad de las organizaciones hacer un esfuerzo adicional para proteger los dispositivos, pero puede que muchas no se den cuenta de que lo necesitan.

A medida que avanzamos hacia la Industria 4.0, que introduce sistemas ciberfísicos, IoT, redes avanzadas, etc., las organizaciones tienen que gestionar entornos completamente nuevos. La seguridad debe incorporarse desde el principio del ciclo de vida de un producto e implementarse en los dispositivos que ya están sobre el terreno para mitigar los riesgos, generar ingresos y vender más productos. Las tecnologías de ciberseguridad que pueden proteger las identidades de los dispositivos de IoT incluyen:

Infraestructura de Clave Pública (PKI): PKI utiliza un sistema de políticas, procesos y tecnologías para cifrar y firmar datos y autenticar dispositivos, servicios y usuarios. La PKI es omnipresente en la gestión de identidades y la protección de ordenadores portátiles, teléfonos inteligentes y servidores. Sin embargo, no se ha trasladado plenamente al mundo de la tecnología operativa (OT) y IoT , de modo que los dispositivos periféricos y las comunicaciones con las puertas de enlace, la nube y las aplicaciones móviles carecen de autenticación, cifrado e integridad.

Generación de códigos en el dispositivo: la identidad IoT se basa en la autenticación de dispositivos y usuarios en todo momento. Las aplicaciones o enlaces sencillos de generación de códigos garantizan que solo los usuarios autorizados y verificados puedan acceder a los recursos corporativos.

Autenticación mutua: Además de proteger los dispositivos, las empresas también tienen que salvaguardar las redes con las que se comunican y las pasarelas a las que acceden. Por eso es importante pensar no sólo en la "cosa", sino también en aquello a lo que se conecta y en cómo entrega los datos. Por ejemplo, los certificados digitales permiten la autenticación mutua, que comparte una raíz de confianza para los intercambios de datos seguros a través de redes abiertas.

Confianza cero: Las empresas están acostumbradas a un enfoque de confianza cero para proteger los dispositivos y los datos. Es necesario aplicar el mismo concepto en sectores como la sanidad y la fabricación para garantizar la seguridad de la identidad de los dispositivos. Esto garantiza que no se confíe en ningún dispositivo o persona ni se le conceda acceso a los recursos hasta que verifiquen que son quienes dicen ser.

Dispositivos sin conexión y de conectividad limitada: No solo hay que proteger los dispositivos obvios, como ordenadores portátiles y teléfonos inteligentes. Muchos dispositivos, tanto IoT como las máquinas OT, no están constantemente encendidos o en uso y pueden tener una conectividad limitada. Pero pueden seguir siendo vulnerables y ofrecer a los piratas informáticos una vía de acceso a las redes corporativas, por lo que las empresas deben asegurarse de que puedan autenticarse incluso sin conexión a Internet.

Los nuevos dispositivos, como los coches modernos, están diseñados para aumentar nuestra seguridad impidiendo que nos salgamos de la carretera si nos distraemos. Pero los componentes de estos dispositivos a menudo no están protegidos, pasan desapercibidos para los métodos tradicionales de ciberseguridad o conllevan nuevas amenazas que podrían dejar a una empresa vulnerable a los ciberataques.

La fortaleza de la ciberseguridad permite a las organizaciones impulsar la ventaja competitiva, generar confianza e inspirar la confianza de los clientes. Además, inculcar la prevención cibernética es más rentable que las pérdidas sufridas como resultado de una violación de datos. Tomar medidas de seguridad en IoT también posiciona a las organizaciones como socialmente responsables, reduce el tiempo de inactividad y los costes de reparación y aumenta el valor de la empresa.