La Internet de los objetos (IoT) es muy prometedora.
En primer lugar, promete tener un impacto aún mayor que el lanzamiento de Internet, proporcionando conectividad universal e innovación continua a partir de datos en tiempo real. Ya lo estamos viendo en acción.
En segundo lugar, la promesa de una seguridad aún mayor que la de los entornos informáticos tradicionales, en los que las personas y los procesos manuales suelen ser el eslabón más débil. Aún nos queda mucho por hacer en este frente.
Ahora sabemos que las brechas en las redes controladas por máquinas son exponencialmente más perturbadoras, ya que abren la puerta al uso indebido de dispositivos, la puesta en peligro de datos y otras muchas acciones destructivas.
Pero la promesa de una mayor seguridad sigue siendo viable. Requiere que aprendamos de las experiencias pasadas y construyamos una base sólida en todo el ecosistema de IoT que dé prioridad a la seguridad desde el principio. He aquí un vistazo a lo que está en juego.
Redoblar la seguridad en IoT es más importante que nunca
Nunca ha estado tan en juego la seguridad de IoT . La introducción de IoT aporta un potencial increíble a sectores como la automoción, la sanidad, la energía y el transporte, pero el coste de una brecha en estos ámbitos es irrevocablemente alto.
Consideremos el caso de la asistencia sanitaria: Una organización sanitaria típica tiene 20 000 dispositivos médicos conectados. Todos los sistemas que almacenan información personal e historiales médicos son objetivos fáciles para los ladrones de identidad. Y lo que es aún más alarmante, si la parte equivocada se hace con el control de los equipos médicos, las consecuencias pueden ser fatales. En 2017, la FDA retiró 465.000 marcapasos tras descubrir fallos de seguridad que podrían permitir a los piratas informáticos agotar las baterías de los dispositivos o enviar instrucciones maliciosas para modificar los latidos del corazón de un paciente.
Mientras tanto, los vehículos conectados son otro caso de uso cada vez más popular de IoT que conlleva riesgos igualmente importantes. Desde 2015, hemos visto numerosos ataques en los que terceros accedían a un vehículo de forma remota y realizaban acciones como apagar la transmisión mientras se conduce o ajustar la velocidad del coche. Ataques como estos podrían perjudicar gravemente no solo a quienes se encuentran en el vehículo, sino también a quienes están a su alrededor.
5 principios rectores de la seguridad en IoT
1) Utilice credenciales únicas para cada dispositivo
Con demasiada frecuencia, los dispositivos de IoT utilizan contraseñas estáticas o claves compartidas, lo que supone un grave riesgo, ya que si se pone en peligro un dispositivo puede afectar a todos. En su lugar, cada dispositivo necesita su propio certificado digital.
El uso de credenciales únicas en cada dispositivo no sólo minimiza el impacto en caso de que un dispositivo se vea comprometido, sino que también permite unas comunicaciones continuas más seguras. Permite a las organizaciones validar cada dispositivo por sí mismo, enviar mensajes y actualizaciones seguros a un único dispositivo y autenticar cualquier dato que proceda de un dispositivo concreto.
2) Almacenar las claves privadas en hardware siempre que sea posible.
La tecnología Trusted Platform Module (TPM) o Secure Storage hardware proporcionan un enfoque habilitado por hardware para almacenar y proteger claves criptográficas y certificados.
Este tipo de hardware ofrece un enfoque más resistente a la manipulación para el almacenamiento de claves. Esto se debe a que la única forma de acceder a las claves almacenadas en estos dispositivos es obtener acceso físico al propio dispositivo.
3) Verifique las actualizaciones de firmware firmadas digitalmente y software
Los dispositivos deben verificar la autenticidad de cualquier nueva actualización de firmware o de software antes de instalarla; de lo contrario, los piratas informáticos pueden pasar fácilmente actualizaciones maliciosas a estos dispositivos.
La firma de código, que aplica una firma digital a estas actualizaciones, es la mejor manera de gestionar esta verificación, ya que esas firmas pueden autenticar la fuente y confirmar que el script no se alteró en tránsito.
4) Establecer una raíz de confianza específica para la organización
La gestión de una raíz de confianza (RoT) da a cada organización el control total para validar la identidad de cada dispositivo (o persona) que recibe una clave. Esto minimiza el riesgo en comparación con una RoT compartida, en la que otra parte (aunque sea un socio conocido) tiene un cierto nivel de control que puede afectar a la seguridad de todos.
En un momento en que muchos fabricantes de dispositivos envían hardware con claves y certificados precargados, las organizaciones deben tomar ciertas medidas para mantener la seguridad. La primera es validar la autenticidad de ese nuevo hardware utilizando la clave existente, y la segunda es arrancar con credenciales emitidas desde un RoT privado para garantizar un control total.
5) Dirigir la gestión continua del ciclo de vida de los certificados, claves y RoT.
Por último, es importante recordar que los certificados, claves y RoT requieren una gestión continua del ciclo de vida, ya que los sistemas estáticos son intrínsecamente inseguros.
Tanto si se trata de algoritmos criptográficos que se debilitan con el tiempo como de otras amenazas que ponen en peligro los certificados, los equipos deben poder renovar, sustituir y revocar las credenciales en cualquier momento mientras esos dispositivos estén en uso. Y deben poder hacerlo incluso en dispositivos remotos sobre el terreno.
La PKI es fundamental para la seguridad de IoT
La infraestructura de clave pública (PKI) es un marco de confianza para gestionar certificados digitales y cifrado de clave pública que ofrece la protección y escalabilidad necesarias para potenciar la seguridad de IoT . En concreto, la PKI ofrece mayores capacidades y garantías de seguridad que cualquier otro método de autenticación, y se utiliza y se confía en ella desde hace décadas en las grandes organizaciones de TI. Es importante destacar que para liberar este potencial se requiere una gestión adecuada, con la vista puesta en el mantenimiento y la escalabilidad continuos.
Keyfactor Control es una de esas formas de consumir PKI que facilita la integración de la seguridad en cada paso del ciclo de vida de los dispositivos IoT . Lo hace a través de la provisión de identidades únicas, capacidades de actualización y gestión seguras, integración de ecosistemas y flujos de trabajo basados en una RoT segura, habilitación de firma de código y la capacidad de trabajar con sistemas ERP y MRP comunes para establecer identidades de arranque conocidas solo por el fabricante.
Con una estrategia clara y una tecnología como Keyfactor Control para ayudar a ejecutarla, la promesa de una IoT altamente segura está al alcance de la mano. Solo es cuestión de establecer los protocolos, procesos y gestión continua adecuados.
¿Necesita actualizar su seguridad en IoT ?
¿Le interesa saber más sobre los puntos débiles más comunes en la seguridad de IoT y lo que se necesita para mejorarla? Descargue nuestro libro blanco sobre los cinco principios rectores de la seguridad en IoT para obtener más información.
