La Internet de los objetos (IoT) es un tema candente desde hace años. Más recientemente, la seguridad de IoT ha pasado a primer plano, y no es algo que vaya a cambiar pronto.
Por muy prometedora que sea la web IoT -y, de hecho, ya ha cumplido sus promesas-, su calidad depende de la seguridad que la respalde. Históricamente, esa seguridad ha dejado mucho que desear. Afortunadamente, en los últimos años los fabricantes y los organismos reguladores han empezado a prestar mucha más atención a la seguridad de los dispositivos IoT , y estamos avanzando mucho en este terreno.
De cara a 2023, podemos esperar ver aún más avances en la seguridad de los dispositivos IoT . Aunque el camino sigue teniendo sus retos, la introducción de nuevas normas ha contribuido a reforzar las mejores prácticas y muchos de estos cambios darán sus frutos en el próximo año.
Teniendo esto en cuenta, ¿cuáles son las principales tendencias de IoT para 2023 y qué avances podemos esperar en términos de seguridad de los dispositivos de IoT ? Para saber más, nos sentamos con Ellen Boehm, vicepresidenta senior de Estrategias y Operaciones de IoT en Keyfactor. Esto es lo que nos contó.
Keyfactor: Cuál es el mayor reto de seguridad de los dispositivos IoT que prevé que afecte a las organizaciones de cara a 2023?
Ellen Boehm: Sin duda hay muchos retos en relación con la seguridad de los dispositivos IoT , pero el mayor que preveo en 2023 se centra en la evolución de las normas y directrices de ciberseguridad de los productos.
En concreto, a medida que las normas y directrices de ciberseguridad de los productos siguen madurando, los fabricantes de equipos originales deben seguir de cerca los cambios para comprender el impacto en sus negocios y procesos. Esto es especialmente importante -y desafiante- porque las evoluciones de estas normas y directrices pueden afectar a todo, desde el desarrollo de productos hasta las operaciones generales de los dispositivos, y los fabricantes de equipos originales tendrán que actuar con rapidez para mantenerse al día.
Keyfactor: ¿Qué cree que hay que hacer para que los dispositivos de IoT sean más seguros?
Ellen Boehm: Lo mejor que podemos hacer para impulsar la seguridad de los dispositivos de IoT es seguir aplicando las mejores prácticas en torno a las identidades únicas de los dispositivos y la autenticación basada en certificados. Garantizar que esto se convierta en la norma en 2023 será esencial para reforzar la seguridad en otras áreas en el futuro.
Keyfactor: La norma Matter abre nuevos caminos al establecer el estándar para las políticas y procesos de seguridad que utilizan PKI para validar la certificación y procedencia de los dispositivos. ¿Hasta qué punto cree que las organizaciones adoptarán las normas Matter? ¿Y qué más pueden hacer las organizaciones para garantizar que los usuarios conectan dispositivos auténticos, certificados y actualizados a sus hogares y redes?
Ellen Boehm: Estoy convencida de que las organizaciones adoptarán las normas propuestas por Matter. Esto es notable, ya que, por ahora, la norma Mat ter solo cubre ciertos dispositivos (como bombillas e interruptores, cerraduras inteligentes y controladores de puertas de garaje), pero no otros (como aspiradoras y cámaras de seguridad). Aun así, hace poco hablé con GE y me confirmó que los fabricantes de equipos originales con los que trabajan siguen las recomendaciones de Matter para permitir la interoperabilidad con dispositivos domésticos inteligentes producidos por múltiples fabricantes.
En pocas palabras, los fabricantes de equipos originales reconocen ahora que se utilizarán varias marcas en el hogar y que necesitan colaborar para construir el "hogar inteligente del futuro" y garantizar que estos dispositivos puedan utilizarse juntos de forma segura. Matter proporciona la norma industrial que lo permite, y los fabricantes de equipos originales están empezando a adoptar esas directrices.
Keyfactor: ¿Cree que hay algún sector vertical específico que esté avanzando especialmente en la protección de los dispositivos de IoT ?
Ellen Boehm: He trabajado personalmente con empresas de los sectores de automoción (V2X, recarga de vehículos eléctricos), tecnología médica, servicios públicos/medición, transporte, telecomunicaciones e Industria 4.0 en proyectos de IoT . En particular, todas estas empresas y sus sectores verticales están adoptando tecnologías de IoT para mejorar sus productos y servicios, y pensar en la seguridad desde el principio forma parte de ello.
Keyfactor: En enero de 2020, California aprobó la Ley de Seguridad de Internet de las Cosas, una ley pionera centrada en mejorar la seguridad de IoT que exige a los fabricantes promover activamente la seguridad en los dispositivos de IoT . Cómo cree que influirá esta ley en el enfoque de los fabricantes sobre la seguridad de IoT ?
Ellen Boehm: Los fabricantes suelen ser sensibles a las normativas más estrictas y, si es posible, diseñan conforme a esas normas. Teniendo esto en cuenta, ya hemos visto que los fabricantes siguen recomendaciones sobre contraseñas, autenticación y conexiones a VPN basadas en la legislación de California. Y eso es bueno, ya que se trata de buenas prácticas que deberían adoptarse independientemente de las leyes que se aprueben.
Keyfactor: Históricamente, las leyes aprobadas en California han sido un presagio de lo que está por venir, con otros estados siguiendo su ejemplo y aprobando legislación similar (por ejemplo, normativas laborales y medioambientales). ¿Ha visto que otros estados empiecen a seguir su ejemplo en este caso? Si no es así, ¿cree que deberían hacer más para promover la seguridad de los dispositivos IoT ?
Ellen Boehm: No he visto que otros estados hayan enfocado la seguridad de los dispositivos de IoT como lo ha hecho California. Dicho esto, creo que los requisitos estatales son demasiado limitados y que, en su lugar, debería haber un planteamiento a escala nacional para regular la seguridad de los dispositivos IoT .
Recordemos que estos dispositivos se diseñan, producen y utilizan a escala mundial, por lo que su alcance va mucho más allá de un solo Estado. En consecuencia, necesitamos normativas con un alcance más amplio para lograr el nivel adecuado de gobernanza en torno a la seguridad de los dispositivos IoT .
Keyfactor: A nivel internacional, ¿cuáles serán los requisitos más importantes de la primera ley de ciberresiliencia prevista por la UE?
Ellen Boehm: Tres requisitos procedentes de la UE me llaman especialmente la atención:
- La identidad de los dispositivos debe ser la base de su seguridad, y esa identidad debe establecerse mediante certificaciones digitales únicas y asimétricas.
- Software y el firmware DevSecOps deben habilitarse mediante métodos adecuados de firma y verificación.
- Los productos deben disponer de seguimiento y trazabilidad de la vulnerabilidad, incluidos planes de mitigación, para que los productos mantengan la homologación CE.
En conjunto, estos requisitos contribuyen a crear una base sólida que no sólo ayudará a reforzar la seguridad de los dispositivos de IoT desde su posición actual, sino que también sentará las bases para mejoras continuas a medida que este campo siga evolucionando.
Keyfactor: ¿Cómo afectará la legislación de la UE a los fabricantes de dispositivos IoT ?
Ellen Boehm: En primer lugar, significa que los fabricantes de dispositivos de IoT deben evaluar los riesgos de ciberseguridad y aplicar planes de mitigación a todos los productos que fabriquen. A continuación, después de desplegar los productos, tendrán que informar de cualquier incidente y vulnerabilidad conocida de sus productos a ENISA. Por último, significa que los fabricantes de equipos originales deben tomar medidas correctoras y aplicar las actualizaciones de seguridad necesarias de forma inmediata y gratuita, normalmente mediante actualizaciones seguras de firmware por aire.
En consecuencia, será esencial que los fabricantes de equipos originales se aseguren de que disponen de los procesos y capacidades adecuados para cumplir estos requisitos, sobre todo en el caso de los dispositivos que permanecerán mucho tiempo sobre el terreno. Esto supondrá un cambio para muchos fabricantes, y sin duda es un gran paso en la dirección correcta.
¿Está preparado para llevar la seguridad de sus dispositivos IoT al siguiente nivel?
A medida que su equipo mira hacia 2023, el fortalecimiento de las prácticas de seguridad de los dispositivos IoT debe ser una prioridad. Afortunadamente Keyfactor EJBCA y Keyfactor Command para IoT lo hacen posible proporcionando a los OEM una plataforma de identidad IoT de extremo a extremo para gestionar y automatizar las identidades de los dispositivos desde la fabricación hasta el final de su vida útil.
Póngase en contacto con nosotros hoy mismo para obtener más información.
