Comprendiendo la ciberseguridad en IoT: El poder de los pequeños pasos

En el mundo digital actual, el Internet de las Cosas (IoT) está en todas partes. Desde relojes inteligentes y televisores hasta vehículos conectados y dispositivos médicos, es difícil encontrar un aspecto de nuestras vidas que no esté impactado por el IoT.

Y a medida que el IoT se entrelaza cada vez más en nuestro día a día, la seguridad adquiere aún mayor importancia. Necesitamos confiar en estos dispositivos, y el pilar fundamental para la confianza en el mundo digital es la ciberseguridad.

Por supuesto, todos sabemos que encontrar soluciones escalables para fortalecer la ciberseguridad y establecer la confianza digital es bastante complejo. Por ello, adoptar pequeños pasos que dividan el trabajo en partes más manejables es el mejor enfoque para construir una solución escalable de ciberseguridad en IoT.

Esta fue la premisa de un reciente seminario web de Keyfactor sobre la comprensión de la ciberseguridad en IoT. A continuación, se presentan los puntos clave de la discusión.

Las identidades son la base de la seguridad del IoT. Sustentan todo, desde los certificados digitales que ayudan a establecer una conexión TLS hasta la autenticación de dispositivos.

Pero, una vez más, la aplicación y el diseño de una infraestructura de identidad digital son complejos. Esta complejidad a menudo lleva a las organizaciones a tomar atajos o, sin saberlo, a implementar soluciones de forma incorrecta. Por ejemplo, es demasiado común encontrar organizaciones que utilizan certificados TLS autofirmados y no gestionados. El hecho de que estos certificados sean tanto autofirmados (lo que significa que no hay una autoridad de confianza detrás de ellos) como no gestionados (lo que implica que no hay caducidad ni revocación tras los problemas) los hace inherentemente inseguros.

Considere cómo funcionan las identidades para las personas en el mundo real: Es probable que tenga un pasaporte, una licencia de conducir y una tarjeta de seguridad social que verifican su identidad para diferentes propósitos (viajar, conducir, acceso a servicios, etc.). Cada uno de estos documentos es emitido por un organismo gubernamental de confianza y, en el caso de un pasaporte y una licencia de conducir, tienen fechas de caducidad. A su vez, varios grupos pueden utilizar estas formas de identificación para confirmar que usted es quien dice ser y que no hay órdenes de arresto pendientes en su contra.

Las identidades de dispositivos funcionan de manera similar, con métodos de identificación como direcciones MAC, tarjetas SIM y certificados, todos en uso hoy en día. El documento de identidad más robusto para un dispositivo es un certificado de corta duración emitido por una infraestructura de clave pública (PKI) bien controlada y alojada. Estos certificados son la forma más sólida de identificación porque proporcionan el mayor nivel de detalle, requieren actualizaciones periódicas y se remontan a múltiples raíces de confianza. Además, permiten la autenticación mutua, lo que significa que cuando un dispositivo intenta conectarse a un servidor, no solo el servidor puede confirmar la identidad del dispositivo, sino que el dispositivo también puede confirmar que se está conectando al servidor apropiado.

Si bien las identidades de dispositivos robustas y su gestión sientan las bases para una ciberseguridad escalable en el IoT, son solo el principio. La siguiente capa de seguridad proviene del establecimiento de un entorno de confianza cero, o uno en el que no se confía en ningún dispositivo por defecto y solo se concede acceso con los privilegios mínimos requeridos después de comprobaciones de identidad regulares y un monitoreo constante.

Este tipo de enfoque de confianza cero contrasta con el enfoque de seguridad perimetral más tradicional, en el que los dispositivos dentro de un perímetro definido y protegido por un firewall son generalmente de confianza. Sin embargo, en un mundo impulsado por el IoT, este enfoque perimetral ya no proporciona suficiente seguridad.

Un enfoque de confianza cero proporciona una ciberseguridad más estricta al:

• Centrarse en la autenticación de dispositivos basada en identidades, en lugar de la ubicación.
• Comprobar (y volver a comprobar) regularmente las identidades para autenticar de forma continua, en lugar de confiar a largo plazo basándose en una verificación inicial.

Sin embargo, es importante señalar que ciertos dispositivos IoT podrían no tener el ancho de banda suficiente para manejar comprobaciones de identidad frecuentes. En estos casos, aún es posible mantener un enfoque de confianza cero con conexiones TLS, que ofrecen una opción a más largo plazo manteniendo un nivel de seguridad superior.

Además, los servidores en un entorno de confianza cero suelen ser capaces de filtrar las solicitudes de conexión de dispositivos no autorizados, lo que puede ayudar a resistir ciertos ataques como los DDoS. También pueden detectar comportamientos anómalos de los dispositivos y tomar medidas inmediatas para desconectar o poner en cuarentena el dispositivo.

Y, por supuesto, es fundamental que el enfoque de confianza cero funcione en ambos sentidos, ya que las aplicaciones IoT deben tener puntos de conexión TLS que solo concedan permiso o acceso para cargar ciertos datos desde una base de datos limitada. También deben verificar todas las actualizaciones de Software en busca de una firma de código para asegurar que provienen de la fuente correcta, enviar periódicamente informes sobre su estado e incluir capacidades de administración remota como medida de seguridad.

Finalmente, construir dispositivos IoT y establecer la ciberseguridad teniendo en cuenta la criptoagilidad es esencial para la escalabilidad a largo plazo. Esto se ha convertido recientemente en un gran tema de discusión tras el anuncio de Google sobre el cierre de su servicio principal de IoT, una medida que ha llevado a muchas empresas que construyeron en torno a este servicio a apresurarse para planificar sus dispositivos ya implementados.

En general, esta situación pone de manifiesto que diseñar una arquitectura en torno a un único proveedor sin el uso de estándares abiertos, especialmente uno para el que la criptografía no es fundamental para su existencia, puede ser arriesgado. Los programas más estables, en cambio, se basarán en estándares abiertos (que muchos proveedores siguen), porque el uso de estos protocolos estandarizados facilita mucho el cambio de proveedor cuando sea necesario.

El uso de estándares abiertos no solo permite una mayor independencia del proveedor (tanto por elección como por necesidad, en el caso de que los proveedores descontinúen sus ofertas como lo está haciendo Google), sino que también favorece una mayor criptoagilidad a medida que los algoritmos evolucionan y se fortalecen con el tiempo.

Mantener una alta criptoagilidad para poder evolucionar junto con los algoritmos y actualizar los certificados utilizados en los dispositivos en consecuencia es extremadamente importante para construir una ciberseguridad para su programa IoT que pueda resistir el paso del tiempo. Y dado que algunos dispositivos permanecen en el campo durante décadas, esta longevidad es esencial.

Empezar con la ciberseguridad en el IoT puede ser desalentador: Es un tema complejo que requiere una atención seria y continua. Afortunadamente, dividir lo que hay que hacer en pasos más pequeños puede ayudar a que sea más fácil alcanzar el nivel de seguridad necesario.

Para más información sobre lo que implica, haga clic aquí para ver el webinar completo sobre cómo entender la ciberseguridad en el IoT.