Tres medidas de seguridad de IoT para implementar en 2024

Los dispositivos IoT han evolucionado considerablemente desde que se inventó la primera máquina expendedora conectada a la red en 1982. En 2024, el potencial de la innovación del IoT es nada menos que transformador.

Pero junto con la oportunidad, viene el riesgo. Cada dispositivo conectado individual representa un punto de acceso potencial para un actor malicioso. A gran escala —etiquetas electrónicas de estantería desplegadas por una cadena de supermercados, o pizarras inteligentes desplegadas en un distrito escolar, por ejemplo— la superficie de ataque se expande a una dimensión insostenible. Esa es parte de la razón por la que los ataques de IoT crecieron un 400% de 2022 a 2023.

Cuando están integrados en los procesos de negocio, como un brazo robótico conectado en una planta de fabricación, cada dispositivo representa un punto de fallo potencial que puede causar tiempos de inactividad y disminuir la productividad.

Muchas organizaciones, incluidos los fabricantes de dispositivos y las organizaciones que utilizan esos dispositivos, no están seguras de por dónde empezar en lo que respecta a la estrategia de seguridad del IoT. Por eso Keyfactor elaboró su primer informe global sobre seguridad del IoT, Confianza digital en un mundo conectado: Navegando por el estado de la seguridad del IoT.

El informe muestra cómo las organizaciones y los fabricantes de dispositivos están pensando y elaborando estrategias para la seguridad del IoT.

A medida que los líderes de seguridad miran hacia 2024, el informe revela tres resoluciones que pueden adoptar para empezar a mejorar la seguridad del IoT, independientemente de su etapa en el camino de la seguridad. 

Los certificados digitales desempeñan un papel importante en el funcionamiento de los dispositivos IoT. Cada dispositivo lleva un certificado incorporado. Cuando ese dispositivo se enciende por primera vez, el certificado le permite saber que puede confiar en el servidor o la API del fabricante. Nota: esta es una simplificación drástica, ya que muchas funciones críticas se realizan a través del intercambio de certificados.

Pero si el certificado expira, el dispositivo ya no sabe en qué confiar. En respuesta, no confía en nada y esencialmente deja de funcionar. 

El informe sobre el estado de la seguridad del IoT muestra que el 98% de las organizaciones experimentaron una interrupción relacionada con certificados en los últimos 12 meses. Para el fabricante de dispositivos promedio, estas interrupciones causaron pérdidas de más de 2,25 millones de dólares.

A medida que los dispositivos aumentan en volumen y uso, es crucial controlar la gestión de certificados. La solución es centralizar la gestión de certificados en un único centro universal, y luego automatizar el descubrimiento, monitoreo, revocación y reemisión de certificados.

Las vulnerabilidades del IoT pueden ser un punto ciego para las organizaciones. 

El informe del IoT muestra que solo el 43% de las organizaciones cree estar “tan protegida como es posible” frente a los ataques de IoT, mientras que el 56% estuvo de acuerdo en que sus organizaciones carecen de la conciencia adecuada y la experiencia necesaria para prepararse ante los ataques de IoT.

Los diseñadores y fabricantes de productos deberían crear políticas que consideren la seguridad desde el inicio del proyecto, en lugar de añadir la seguridad al final. 

Los dispositivos IoT vienen con recursos finitos — consumo de energía, capacidad de procesamiento, limitaciones presupuestarias, etc. Considerar las demandas de seguridad al principio puede informar el diseño del producto en términos de Hardware, selección de chips y otros factores, lo que crea más espacio para los controles de seguridad dentro de los límites del dispositivo.

Las organizaciones que utilizan dispositivos IoT deberían trabajar para lograr visibilidad identificando cuántos dispositivos se conectan a la red. ¿Desde dónde se conectan? ¿Quién los opera? ¿Qué equipos utilizan dispositivos IoT y qué dispositivos están utilizando? 

A partir de ahí, las organizaciones pueden identificar brechas y elaborar un plan para reducir sus riesgos específicos. Comprender estas particularidades puede orientar la búsqueda de proveedores y socios que aporten el mayor valor a la organización.

Una vez que las organizaciones comprenden la dinámica de su propio panorama de IoT, pueden identificar brechas y elaborar un plan para abordarlas. 

En el 2023 Gartner® 2023 Hype Cycle™ para Identidad Digital, las organizaciones pueden encontrar las mejores prácticas de identidad-first para tomar decisiones tecnológicas más inteligentes.

Las organizaciones que logran visibilidad al centralizar las identidades de los dispositivos están mejor informadas para crear su enfoque de seguridad del IoT e implementar políticas que mantengan esa seguridad. 

Los gobiernos y los organismos reguladores están llegando a un consenso de que la seguridad de IoT es una responsabilidad compartida. Los usuarios finales deben adoptar una higiene de seguridad básica; las organizaciones deben adoptar herramientas y diseñar sistemas que soporten la seguridad; y los diseñadores y fabricantes de dispositivos deben tener mayor cuidado al diseñar dispositivos que sean más seguros por diseño. 

Ese consenso se está plasmando lenta pero seguramente en políticas. 

• Las Leyes de Ciberseguridad y Ciberresiliencia de la UE establecen marcos legislativos que, entre muchos objetivos, fijan estándares de certificación para dispositivos digitales y conectados.
• En junio de 2023, la Casa Blanca instruyó a las agencias a priorizar tecnologías que fueran seguras por diseño. Esto se alinea con los pilares de la estrategia de ciberseguridad más amplia de la administración Biden publicada en la primavera de 2023. 
• Aunque no existe una ley estricta que exija la seguridad de los dispositivos, la administración Biden promulgó un programa de etiquetado de ciberseguridad para designar productos inteligentes que resisten ataques.  
• El estándar Matter busca estandarizar los dispositivos de hogar inteligente en torno a un protocolo universal, lo que reducirá la complejidad y permitirá a los fabricantes lanzar productos al mercado más rápidamente. El estándar Matter establece estrictamente los requisitos de seguridad para los dispositivos. 

El noventa y ocho por ciento de los encuestados en el informe de IoT afirmó que las regulaciones tienen un impacto en su desarrollo de productos IoT y conectados. Es lógico asumir que la legislación y los estándares imponen mayores responsabilidades a las organizaciones que utilizan y fabrican dispositivos conectados. 

Históricamente, adaptarse a nuevos estándares y algoritmos criptográficos ha sido todo menos fácil. Sin embargo, a medida que las tecnologías digitales, las identidades de máquinas y los dispositivos conectados se han vuelto más omnipresentes, han evolucionado soluciones y metodologías que permiten a las organizaciones adaptarse sin problemas a las nuevas demandas. 

En el contexto de IoT y la identidad de máquinas, esto se conoce como criptoagilidad. La criptoagilidad permite a las organizaciones responder rápidamente a los problemas de autenticación y certificados, gestionar identidades de máquinas a escala y cambiar algoritmos criptográficos de forma fluida. 

Mientras las organizaciones se mantienen atentas al panorama legislativo en cuanto a las regulaciones emergentes, también deberían desarrollar criptoagilidad dentro de la organización. Además de la centralización, la automatización y la estrategia representadas en nuestras dos resoluciones anteriores, las organizaciones pueden trazar una hoja de ruta hacia la siguiente fase de su evolución y vincular la seguridad más estrechamente a la innovación.

Para muchas organizaciones, la seguridad de IoT es un desafío de “desconocidos desconocidos”.

Una vez que un dispositivo sale de la línea de montaje y se vende a un usuario final, no se sabe en qué tipo de entorno puede encontrarse ese dispositivo. Los fabricantes de dispositivos afirmaron que sus mayores desafíos para asegurar los dispositivos que producen son: 

1. La incapacidad de cuantificar el impacto de la amenaza de los dispositivos IoT de terceros
2. La falta de visibilidad y gestión de los dispositivos  

Aunque los presupuestos para dispositivos IoT están aumentando, el 52% de esos presupuestos corre el riesgo de ser desviado para cubrir el costo de las brechas y ataques de IoT. 

Tanto ahora como en el futuro, las organizaciones ya no pueden permitirse una seguridad de IoT inadecuada. Debe ser priorizada. Asegurar que la seguridad del producto se gestione durante todo el ciclo de vida es vital para prevenir el riesgo de nuevas amenazas de nuevos vectores de ataque.

Gartner, Hype Cycle for Digital Identity, 2023, Ant Allan, Nathan Harris, 26 de julio de 2023. GARTNER es una marca registrada y marca de servicio de Gartner, Inc. y/o sus filiales en EE. UU. e internacionalmente, y HYPE CYCLE es una marca registrada de Gartner, Inc. y/o sus filiales y se utilizan aquí con permiso. Todos los derechos reservados.