Convertir el Internet de las Cosas seguro en una realidad: 5 pasos para empezar.

El Internet de las Cosas (IoT) encierra una enorme promesa.

En primer lugar, existe la promesa de tener un impacto aún mayor que el lanzamiento de internet, proporcionando conectividad universal e innovación continua a partir de datos en tiempo real. Ya estamos viendo esto en acción.

En segundo lugar, está la promesa de una seguridad aún mayor que en los entornos de TI tradicionales, donde los humanos y los procesos manuales suelen ser el eslabón más débil. Todavía tenemos que avanzar en este frente.

Ahora hemos aprendido que las brechas en las redes controladas por máquinas son exponencialmente más disruptivas, abriendo la puerta al uso indebido de dispositivos, el compromiso de datos y una serie de otras acciones destructivas.

Pero la promesa de una mayor seguridad sigue siendo viable. Nos exige aprender de experiencias pasadas y construir una base sólida en todo el ecosistema IoT que priorice la seguridad desde el principio. Aquí un vistazo a lo que está en juego.

Lo que está en juego para lograr una seguridad IoT adecuada nunca ha sido tan alto. La introducción del IoT aporta un potencial increíble a sectores como el automotriz, la salud, la energía y el transporte, pero el coste de una brecha en estos dominios es irrevocablemente alto.

Considere el caso de la atención médica: una organización típica de prestación de servicios de salud tiene 20.000 dispositivos médicos conectados. Cualquier sistema que almacene información personal y registros médicos es un objetivo principal para los ladrones de identidad. Aún más alarmante, que la parte equivocada obtenga el control sobre equipos médicos podría tener consecuencias fatales. En 2017, la FDA retiró 465.000 marcapasos tras descubrir fallos de seguridad que podrían permitir a los hackers agotar las baterías de los dispositivos o enviar instrucciones maliciosas para modificar el ritmo cardíaco de un paciente.

Mientras tanto, los vehículos conectados son otro caso de uso de IoT cada vez más popular que conlleva riesgos igualmente significativos. Desde 2015, hemos sido testigos de numerosos ataques en los que terceros accedieron a un vehículo de forma remota y realizaron acciones como apagar la transmisión mientras se conduce o ajustar la velocidad del coche. Ataques como estos podrían causar graves daños no solo a los ocupantes del vehículo, sino también a quienes los rodean.

Con demasiada frecuencia, los dispositivos IoT utilizan contraseñas estáticas o claves compartidas, lo que genera un riesgo grave, ya que la vulneración de un dispositivo puede afectar a todos. En su lugar, cada dispositivo necesita su propio certificado digital único.

El uso de credenciales únicas en cada dispositivo no solo minimiza el impacto en caso de que un dispositivo se vea comprometido, sino que también permite comunicaciones continuas más seguras. Permite a las organizaciones validar cada dispositivo de forma individual, enviar mensajes y actualizaciones seguras a un único dispositivo, y autenticar cualquier dato que provenga de un dispositivo en particular.

La tecnología Trusted Platform Module (TPM) o el Hardware de almacenamiento seguro ofrecen un enfoque habilitado por Hardware para almacenar y proteger claves y certificados criptográficos.

Este tipo de Hardware ofrece un enfoque más resistente a la manipulación para el almacenamiento de claves. Esto se debe a que la única forma de acceder a las claves almacenadas en estos dispositivos es obtener acceso físico al propio dispositivo.

Los dispositivos deben verificar la autenticidad de cualquier nueva actualización de firmware o Software antes de instalarlas; de lo contrario, los hackers pueden pasar fácilmente actualizaciones maliciosas a estos dispositivos.

La firma de código, que aplica una firma digital a estas actualizaciones, es la mejor manera de gestionar esta verificación, ya que esas firmas pueden autenticar la fuente y confirmar que el script no fue alterado durante el tránsito. 

La gestión de una Raíz de Confianza (RoT) otorga a cada organización control total para validar la identidad de cada dispositivo (o persona) que recibe una clave. Esto minimiza el riesgo en comparación con una RoT compartida, en la que otra parte (incluso si es un socio conocido) tiene un cierto nivel de control que puede afectar la seguridad de todos.

En un momento en que muchos fabricantes de dispositivos envían Hardware con claves y certificados precargados, las organizaciones deben tomar ciertas medidas para mantener la seguridad. La primera es validar la autenticidad de ese nuevo Hardware utilizando la clave existente, y la segunda es arrancar con credenciales emitidas desde una RoT privada para garantizar un control completo.

Finalmente, es importante recordar que los certificados, las claves y las RoT requieren una gestión continua del ciclo de vida, ya que los sistemas estáticos son inherentemente inseguros.

Ya sea por el debilitamiento de los algoritmos criptográficos con el tiempo o por otras amenazas que comprometen los certificados, los equipos deben poder renovar, reemplazar y revocar credenciales en cualquier momento, mientras esos dispositivos estén en uso. Y deben poder hacerlo incluso en dispositivos remotos en el campo.

La Infraestructura de Clave Pública (PKI) es un marco de confianza para gestionar certificados digitales y cifrado de clave pública que ofrece la protección y escalabilidad necesarias para impulsar la seguridad del IoT. Específicamente, la PKI ofrece capacidades más ricas y una mayor garantía de seguridad que cualquier otro método de autenticación, y ha sido ampliamente utilizada y confiada en grandes organizaciones de TI durante décadas. Es importante destacar que liberar este potencial requiere una gestión adecuada, con miras a un mantenimiento y una escalabilidad continuos.

Keyfactor Control es una forma de consumir PKI que facilita la integración de la seguridad en cada paso del ciclo de vida del dispositivo IoT. Lo hace a través del aprovisionamiento de identidad único, capacidades seguras de actualización y gestión, integración de ecosistemas y flujos de trabajo basados en una RoT segura, habilitación de firma de código y la capacidad de trabajar con sistemas ERP y MRP comunes para establecer identidades de arranque conocidas solo por el fabricante.

Con una estrategia clara y tecnología como Keyfactor Control para ayudar a ejecutarla, la promesa de un IoT altamente seguro está al alcance. Es simplemente una cuestión de implementar los protocolos, procesos y la gestión continua adecuados.

¿Interesado en aprender más sobre las debilidades comunes en la seguridad del IoT y lo que se necesita para mejorarla? Descargue nuestro informe técnico sobre los cinco principios básicos para la seguridad del IoT para obtener más información.