El Internet de las Cosas (IoT) ha crecido exponencialmente. Cada año se lanzan más productos. Más dispositivos se conectan a la red. Se transmite más información a la nube, y más proveedores de servicios utilizan esos datos para ofrecer nuevas formas de valor a consumidores y organizaciones de todo el mundo.
Básicamente, más sistemas e infraestructuras críticas están conectados a internet que nunca antes. Si la importancia de la seguridad en este escenario no es obvia, considere algunos casos:
- En el mundo de los dispositivos médicos conectados, imagine que un hacker remoto pudiera cargar un firmware personalizado y sin firmar en su marcapasos para tomar el control de su ritmo cardíaco.
- En el mundo automotriz conectado, imagine a un hacker penetrando las defensas digitales del sistema de entretenimiento de un vehículo para obtener acceso a la red interna y saltar a sistemas críticos como los cierres de puertas o los controles del motor, donde un compromiso puede generar preocupaciones de seguridad humana.
- Si le preocupa el Internet Industrial de las Cosas (IIoT) porque dirige una fábrica conectada, entonces imagine sensores, cámaras o incluso equipos de climatización en su planta de fabricación siendo utilizados para exfiltrar datos de producción sensibles y venderlos a sus competidores.
Desafortunadamente, la ciberseguridad de IoT no es un problema resuelto, y aquí están dos de las razones más importantes: la seguridad es complicada, y la seguridad está evolucionando. La inminente revolución de la computación cuántica solo hace que estos problemas sean más desafiantes.
La PKI elimina (gran parte de) la complejidad de la seguridad.
En algunos lugares, la ciberseguridad sigue siendo una consideración secundaria, con muchas prácticas alarmantes aún vigentes, desde puertas traseras indocumentadas y desprotegidas, hasta credenciales compartidas, contraseñas codificadas, o incluso la transmisión de secretos y telemetría en texto plano sin seguridad.
Todas estas son prácticas menos que óptimas que abordan parte del problema de seguridad de IoT, pero cada una tiene limitaciones críticas que aumentan el riesgo de ciberseguridad. El problema de hacer las cosas por uno mismo es que se necesitan años de experiencia para aprender los pormenores de lo que es posible. Se requiere un diseño y pruebas exhaustivos para cubrir todos los casos extremos.
Lo que se necesita es un conjunto de sistemas y procesos que hayan sido diseñados correctamente con principios de seguridad en mente desde el principio. Esto es la Infraestructura de Clave Pública (PKI), y si ya la está utilizando, estoy predicando a los conversos.
Al adoptar la PKI para proteger sus dispositivos, sus sistemas, sus conexiones entre sí y con la nube, está aprovechando una tecnología probada que ha evolucionado a lo largo de los años bajo el escrutinio de expertos en seguridad.
La criptoagilidad proporciona a los dispositivos y sistemas conectados una forma de adaptarse a los cambios.
Nadie es tan ingenuo como para creer que la seguridad es estática, que los protocolos, cifrados y tecnologías en uso hoy en día serán viables en la próxima generación de productos. Pero diseñar a prueba de futuro es difícil y costoso. Como resultado, las empresas se ven tentadas a tomar la decisión de codificar de forma rígida ciertos aspectos de su diseño, como los cifrados criptográficos y las raíces de confianza.
El problema es que el mundo de la ciberseguridad está evolucionando, y lo hace más rápido de lo que le gustaría escuchar a cualquiera que sepa cuánto tiempo lleva iterar un diseño de Hardware o un proceso de producción. Un cifrado puede ser vulnerable en cualquier momento, y los dispositivos de Hardware pueden permanecer en el campo durante años, conectándose solo de forma intermitente.
La criptoagilidad es la respuesta a esto: es la capacidad de un sistema para actualizar sus elementos criptográficos centrales en el campo, seguida de la capacidad de actualizar sus certificados, firmware y otros sistemas internos de forma segura. La flexibilidad para actualizar las credenciales y la raíz de confianza se vuelve cada vez más importante a medida que la era postcuántica se acerca. Cualquier producto o sistema conectado que esté diseñando hoy necesita tener la criptoagilidad incorporada.
El futuro postcuántico llegará antes de que se dé cuenta.
Los problemas de complejidad y cambio rápido se unen con la llegada de la computación cuántica.
Los ordenadores cuánticos no operan sobre los principios digitales básicos de unos y ceros a los que todos estamos acostumbrados. Como resultado, incluso los ordenadores cuánticos relativamente modestos podrán trivializar algunos de los algoritmos criptográficos más seguros en uso hoy en día. Esto suena a ciencia ficción, pero los ordenadores cuánticos avanzan cada año. Su llegada es cuestión de cuándo, no de si.
Afortunadamente, organizaciones con visión de futuro como NIST están trabajando con la comunidad criptográfica para establecer estándares postcuánticos que sobrevivirán a la llegada de la computación cuántica. De hecho, ya se han anunciado nuevos algoritmos. Esto implica actualizar las bibliotecas y los servicios para soportar los nuevos estándares criptográficos postcuánticos de NIST.
Cualquier producto o sistema conectado que esté diseñando hoy debe estar preparado para un futuro postcuántico. PQShield es un socio de Keyfactor y un líder mundial en el desarrollo de nuevos estándares criptográficos. Para saber más sobre cómo las organizaciones pueden prepararse para la criptografía postcuántica, lea su serie de informes técnicos sobre la amenaza cuántica.
Preparación para el cambio
Esto está cambiando, y el cambio será necesario para cualquier empresa que quiera producir o utilizar dispositivos conectados.
En primer lugar, los dispositivos IoT necesitan sistemas y procesos bien pensados para funciones de seguridad como la gestión de identidades y la comunicación en la nube. Esto proviene de la PKI.
En segundo lugar, los dispositivos IoT deben estar preparados para el cambio, mientras están en el campo. Necesitarán estar listos para implementar los nuevos estándares postcuánticos anunciados por NIST en julio de 2022. Esto se puede gestionar diseñando dispositivos y sistemas con la criptoagilidad en mente, de modo que la criptografía clásica en uso hoy en día pueda transitar sin problemas a los nuevos estándares.
Con estos componentes en juego, las organizaciones que producen dispositivos para el Internet de las Cosas —así como las que los utilizan— pueden minimizar el riesgo y centrarse en los productos, servicios y modelos de negocio que crearán el futuro de forma segura.
