El Internet de los objetos (IoT) ha crecido exponencialmente. Cada año se lanzan más productos. Cada vez hay más dispositivos conectados. Se transmiten más datos a la nube, y más proveedores de servicios utilizan esos datos para ofrecer nuevas formas de valor a consumidores y organizaciones de todo el mundo.
Básicamente, hay más sistemas e infraestructuras críticos conectados a Internet que nunca. Si la importancia de la seguridad en este escenario no es obvia, considere algunos escenarios:
- En el mundo de los dispositivos médicos conectados, imagine que un hacker remoto pudiera cargar un firmware personalizado y sin firmar en su marcapasos para tomar el control de sus latidos.
- En la automoción conectada Imaginemos que un pirata informático penetra en las defensas digitales del sistema de entretenimiento de un vehículo para introducirse en la red interna y saltar a sistemas críticos como las cerraduras de las puertas o los controles del motor, en los que un ataque puede poner en peligro la seguridad de las personas.
- Si le interesa el Internet industrial de las cosas (IIoT) porque gestiona una fábrica conectada, imagínese que los sensores, cámaras o incluso los equipos de climatización de sus instalaciones de fabricación se utilizan para filtrar datos confidenciales de producción y venderlos a sus competidores.
Desgraciadamente IoT la ciberseguridad no es un problema resueltoy he aquí dos de los grandesgestos razones: la seguridad es complicada, y la seguridad evoluciona. El inminente revolución de la computación cuántica sólo hace que estos problemas más desafiantes.
PKI elimina (en gran parte) las trampas de la seguridad
En algunos lugares, la ciberseguridad sigue siendo una ocurrencia tardía, con un montón de prácticas espeluznantes todavía en vigor, desde puertas traseras no documentadas y desprotegidas, a credenciales compartidas, pasando por contraseñas codificadas o incluso la transmisión no segura de secretos y telemetría en texto plano.
Todas ellas son prácticas menos que óptimas que abordan parte del problema de seguridad de IoT , pero cada una tiene limitaciones críticas que aumentan el riesgo de ciberseguridad. El problema de hacer las cosas uno mismo es que se necesitan años de experiencia para aprender los entresijos de lo que es posible. Se necesita un diseño y unas pruebas exhaustivas para cubrir todos los casos extremos.
Lo que se necesita es un conjunto de sistemas y procesos que se hayan diseñado adecuadamente teniendo en cuenta los principios de seguridad desde el principio. Se trata de Infraestructura de Clave Pública (PKI)y si ya la utiliza, estoy predicando al coro.
Cuando adoptas PKI para proteger tus dispositivos, tus sistemas, sus conexiones entre sí y con la nube, estás aprovechando una tecnología probada que ha evolucionado durante años bajo el escrutinio de expertos en seguridad.
La criptoagilidad ofrece a los dispositivos y sistemas conectados una forma de adaptarse al cambio
Nadie es tan ingenuo como para creer que la seguridad es estática, que los protocolos, cifrados y tecnologías que se utilizan hoy serán viables en la próxima generación de productos. Pero preparar los diseños para el futuro es difícil y costoso. Por ello, las empresas se ven tentadas a tomar la decisión de codificar ciertos aspectos de su diseño, como los cifrados criptográficos y las raíces de confianza.
El problema con esto es que el mundo de la ciberseguridad está evolucionando, y lo hace más rápido de lo que le gustaría oír a cualquiera que sepa lo que se tarda en iterar un diseño o un proceso de producción en hardware . Un cifrado puede resultar vulnerable en cualquier momento, y los dispositivos de hardware pueden permanecer sobre el terreno durante años mientras sólo se conectan de forma intermitente.
La criptoagilidad es la respuesta a esto: es la capacidad de un sistema para actualizar sus elementos criptográficos centrales sobre el terreno, seguida de la capacidad para actualizar sus certificados, firmware y otros sistemas internos de forma segura. La flexibilidad para actualizar las credenciales y la raíz de confianza es cada vez más importante a medida que se acerca la era post-cuántica. Cualquier producto o sistema conectado que esté diseñando hoy necesita criptoagilidad.
El futuro post-cuántico llegará antes de que se dé cuenta
Los problemas de la complejidad y el cambio rápido se unen a la llegada de la informática cuántica.
Los ordenadores cuánticos no funcionan con los principios digitales básicos de unos y ceros a los que todos estamos acostumbrados. Como resultado, incluso los ordenadores cuánticos relativamente modestos podrán trivializar algunos de los algoritmos criptográficos más seguros que se utilizan hoy en día. Parece ciencia ficción, pero los ordenadores cuánticos avanzan cada año. Su llegada es cuestión de cuándo, no de si llegará.
Afortunadamente, organizaciones con visión de futuro como el NIST están trabajando con la comunidad criptográfica para establecer normas poscuánticas que sobrevivan a la llegada de la computación cuántica. De hecho, ya se han anunciado nuevos algoritmos anunciado. Esto significa actualizar bibliotecas y servicios para que sean compatibles con las nuevas normas criptográficas poscuánticas del NIST.
Cualquier producto o sistema conectado que diseñe hoy debe estar preparado para un futuro futuro post-cuántico. PQShield es socio de Keyfactor y líder mundial en el desarrollo de nuevas normas criptográficas. Para saber más sobre cómo pueden prepararse las organizaciones para la criptografía poscuántica, lea su serie de libros blancos sobre la amenaza cuántica.
Prepararse para el cambio
Esto está cambiando, y el cambio será necesario para cualquier empresa que quiera producir o utilizar dispositivos conectados.
En primer lugar, los dispositivos IoT necesitan sistemas y procesos bien pensados para funciones de seguridad como la gestión de identidades y la comunicación en la nube. Esto procede de la PKI.
En segundo lugar, los dispositivos de IoT tienen que estar preparados para el cambio, ya sobre el terreno. Tendrán que estar preparados para aplicar las nuevas normas poscuánticas anunciadas por el NIST en julio de 2022. Esto puede lograrse diseñando dispositivos y sistemas con criptoagilidad en mente, de modo que la criptografía clásica que se utiliza hoy en día pueda pasar sin problemas a las nuevas normas.
Con estos componentes en juego, las organizaciones que producen dispositivos para el Internet de las cosas, así como las que los utilizan, pueden minimizar el riesgo y centrarse en los productos, servicios y modelos de negocio que crearán el futuro de forma segura.
