Tres resoluciones de seguridad de IoT para aplicar en 2024

IoT dispositivos han evolucionado bastante desde la primera máquina expendedora conectada a la red en 1982. En 2024, el potencial de innovación de IoT es nada menos que transformador.

Pero junto con la oportunidad viene el riesgo. Cada dispositivo conectado representa un punto de acceso potencial para un actor malicioso. A gran escala -etiquetas electrónicas desplegadas por una cadena de supermercados, o pizarras inteligentes desplegadas en un distrito escolar, por ejemplo- la superficie de ataque aumenta hasta una dimensión insostenible. Esa es parte de la razón por la que IoT los ataques aumentaron un 400 % de 2022 a 2023.

Cuando está integrado en los procesos empresariales, como un brazo robótico conectado en una fábrica, cada dispositivo representa un punto potencial de fallo que puede causar tiempos de inactividad y disminuir la productividad.

Muchas organizaciones, incluidos los fabricantes de dispositivos y las organizaciones que los utilizan, no saben por dónde empezar en lo que respecta a la estrategia de seguridad de IoT . Por ello, Keyfactor ha elaborado su primer informe mundial sobre seguridad IoT , Confianza digital en un mundo conectado: Navegando por el estado de la seguridad IoT .

El informe muestra cómo las organizaciones y los fabricantes de dispositivos están pensando y elaborando estrategias para la seguridad en IoT .

Mientras los responsables de seguridad miran hacia 2024, el informe revela tres resoluciones que pueden tomar para empezar a mejorar la seguridad de IoT , independientemente de dónde se encuentren en su viaje de seguridad. 

Los certificados digitales desempeñan un papel importante en el funcionamiento de los dispositivos IoT . Cada dispositivo lleva incorporado un certificado. Cuando ese dispositivo se enciende por primera vez, el certificado le permite saber que puede confiar en el servidor o la API del fabricante. Nota: esto es una simplificación drástica, ya que hay muchas funciones críticas que se realizan a través del intercambio de certificados.

Pero si el certificado caduca, el dispositivo ya no sabe en qué confiar. Por tanto, no confía en nada y deja de funcionar. 

El informe State of IoT Security muestra que el 98% de las organizaciones experimentaron una interrupción relacionada con certificados en los últimos 12 meses. Para el fabricante medio de dispositivos, estas interrupciones causaron pérdidas de más de 2,25 millones de dólares.

A medida que los dispositivos crecen en volumen y uso, es crucial controlar la gestión de certificados. La solución es centralizar la gestión de certificados en un único centro universal y, a continuación automatizar la detección, supervisión, revocación y reemisión de certificados..

IoT Las vulnerabilidades pueden ser una especie de punto ciego para las organizaciones. 

El informe IoT muestra que sólo el 43% de las organizaciones creen que están "todo lo protegidas que pueden estar" frente a los ataques de IoT , mientras que el 56% coincide en que sus organizaciones carecen de la concienciación adecuada y de los conocimientos necesarios para prepararse frente a los ataques de IoT .

Los diseñadores y fabricantes de productos deben crear políticas que tengan en cuenta la seguridad desde el principio del proyecto, en lugar de añadirla al final. 

IoT los dispositivos disponen de recursos finitos consumo de energía, potencia de procesamiento, restricciones presupuestarias, etc. Tener en cuenta las exigencias de seguridad desde el principio puede orientar el diseño del producto en términos de hardware, selección de chips y otros factores, lo que crea más espacio para los controles de seguridad dentro de los límites del dispositivo.

Las organizaciones que utilizan dispositivos IoT deben trabajar para conseguir visibilidad identificando cuántos dispositivos se conectan a la red. ¿Desde dónde se conectan? ¿Quién los utiliza? ¿Qué equipos utilizan dispositivos IoT y qué dispositivos están utilizando? 

A partir de ahí, las organizaciones pueden identificar las carencias y elaborar un plan para reducir sus riesgos específicos. Comprender estas particularidades puede servir de base para la búsqueda de proveedores y socios que aporten el máximo valor a la organización.

Una vez que las organizaciones comprenden la dinámica de su propio panorama IoT , pueden identificar las lagunas y elaborar un plan para abordarlas. 

En el 2023 Gartner® 2023 Hype Cycle™ para la identidad digital, las organizaciones pueden encontrar las mejores prácticas de identity-first para tomar decisiones tecnológicas más inteligentes.

Las organizaciones que consiguen visibilidad centralizando las identidades de los dispositivos están mejor informadas a la hora de crear su enfoque de la seguridad en IoT y aplicar políticas que mantengan esa seguridad. 

Los gobiernos y los organismos reguladores están llegando al consenso de que la seguridad en IoT es una responsabilidad compartida. Los usuarios finales deben adoptar una higiene de seguridad básica; las organizaciones deben adoptar herramientas y sistemas de arquitectura que apoyen la seguridad; y los diseñadores y fabricantes de dispositivos deben prestar más atención a la ingeniería de dispositivos que sean más seguros por diseño. 

Ese consenso se está traduciendo en políticas de forma lenta pero segura. 

• Las leyes de la UE sobre ciberseguridad y ciberresiliencia establecen marcos legislativos que, entre otros muchos objetivos, fijan normas de certificación para los dispositivos digitales y conectados.
• En junio de 2023, la Casa Blanca ordenó a las agencias que dieran prioridad a las tecnologías seguras por diseño. Esto está en consonancia con los pilares de la estrategia de seguridad cibernética más amplia de la administración Biden publicada en la primavera de 2023.
• Aunque no existe una ley firme que exija la seguridad de los dispositivos, la administración Biden promulgó un programa de etiquetado de ciberseguridad para designar los productos inteligentes que resisten los ataques.
• La norma Matter pretende estandarizar los dispositivos domésticos inteligentes en torno a un protocolo universal, lo que reducirá la complejidad y permitirá a los fabricantes sacar sus productos al mercado con mayor rapidez. La norma Matter establece estrictamente los requisitos de seguridad de los dispositivos.

El 98% de los encuestados en el informe IoT afirmaron que la normativa influye en su desarrollo de IoT y los productos conectados. Es lógico suponer que la legislación y las normas imponen mayores responsabilidades a las organizaciones que utilizan y fabrican dispositivos conectados. 

Históricamente, adaptarse a las nuevas normas y algoritmos criptográficos no ha sido nada fácil. Sin embargo, a medida que las tecnologías digitales, las identidades de las máquinas y los dispositivos conectados se han ido generalizando, han evolucionado las soluciones y metodologías que permiten a las organizaciones adaptarse sin problemas a las nuevas exigencias. 

En el contexto de IoT y de la identidad de las máquinas, esto se conoce como criptoagilidad. La criptoagilidad permite a las organizaciones responder rápidamente a los problemas de autenticación y certificados, gestionar las identidades de las máquinas a escala y cambiar los algoritmos criptográficos con fluidez.

A medida que las organizaciones se mantienen atentas a la legislación relativa a las normativas emergentes, también deben desarrollar la criptoagilidad dentro de la organización. Además de la centralización, la automatización y la estrategia representadas en nuestras dos resoluciones anteriores, las organizaciones pueden establecer una hoja de ruta para la siguiente fase de su evolución y vincular más estrechamente la seguridad a la innovación.

Para muchas organizaciones, la seguridad de IoT es un reto de "incógnitas desconocidas".

Una vez que un dispositivo sale de la cadena de montaje y se vende al usuario final, no se sabe en qué tipo de entorno puede encontrarse. Los fabricantes de dispositivos afirman que sus mayores retos a la hora de proteger los dispositivos que producen son: 

1. La incapacidad de cuantificar el impacto de las amenazas de los dispositivos de terceros IoT
2. La falta de visibilidad y gestión de los dispositivos  

Aunque los presupuestos para dispositivos IoT están aumentando, el 52% de esos presupuestos corren el riesgo de desviarse para cubrir el coste de las infracciones y ataques a IoT . 

Tanto ahora como en el futuro, las organizaciones ya no pueden permitirse una seguridad inadecuada en IoT . Hay que darle prioridad. Garantizar que la seguridad de los productos se gestiona a lo largo de todo su ciclo de vida es vital para prevenir el riesgo de nuevas amenazas procedentes de nuevos vectores de ataque.

Gartner, Hype Cycle for Digital Identity, 2023, Ant Allan, Nathan Harris, 26 de julio de 2023. GARTNER es una marca registrada y una marca de servicio de Gartner, Inc. y/o sus filiales en EE.UU. e internacionalmente, y HYPE CYCLE es una marca registrada de Gartner, Inc. y/o sus filiales y se utilizan aquí con permiso. Todos los derechos reservados.