Comprender la ciberseguridad en IoT: El poder de los pequeños pasos

En el mundo digital actual, la Internet de los objetos (IoT) está en todas partes. Desde relojes y televisores inteligentes hasta vehículos conectados y dispositivos médicos, es difícil encontrar un aspecto de nuestras vidas que no esté conectado. no no esté afectado por IoT.

Y a medida que IoT se entrelaza cada vez más en nuestro día a día, la seguridad adquiere una importancia aún mayor. Necesitamos confiar en estos dispositivos, y el elemento clave para la confianza en el mundo digital es la ciberseguridad.

Por supuesto, todos sabemos que encontrar soluciones escalables para reforzar la ciberseguridad y establecer la confianza digital es bastante complejo. Por eso, dar pequeños pasos que dividan el trabajo en partes más manejables es el mejor enfoque para construir una solución escalable de ciberseguridad en IoT.

Esta fue la premisa de un reciente seminario web de Keyfactor sobre ciberseguridad en IoT. He aquí lo más destacado del debate.

Las identidades son la base de la seguridad en IoT . Las identidades lo sustentan todo, desde los certificados digitales que ayudan a establecer una conexión TLS hasta la autenticación de dispositivos.

Pero, una vez más, la aplicación y el diseño de una infraestructura de identidad digital son complejos. Esta complejidad lleva a menudo a las organizaciones a tomar atajos o, sin saberlo, a implantar soluciones de forma incorrecta. Por ejemplo, es demasiado común encontrar organizaciones que utilizan certificados autofirmados y no gestionados deTLS . El hecho de que estos certificados sean autofirmados (lo que significa que no hay una autoridad de confianza detrás de ellos) y no gestionados (lo que significa que no hay problemas de caducidad o revocación) los hace intrínsecamente inseguros.

Piense en cómo funcionan las identidades en el mundo real: Es probable que tengas un pasaporte, un carné de conducir y una tarjeta de la seguridad social que verifican tu identidad para distintos fines (viajar, conducir, acceder a servicios, etc.). Cada una de ellas es emitida por un organismo gubernamental de confianza y, en el caso del pasaporte y el carné de conducir, tienen fecha de caducidad. A su vez, diversos grupos pueden utilizar estas formas de identificación para confirmar que usted es quien dice ser y que no hay órdenes de detención pendientes contra usted.

Las identidades de los dispositivos funcionan de forma similar, con métodos de identificación como la dirección MAC, las tarjetas SIM y los certificados, todos ellos en uso hoy en día. El documento de identificación más sólido para un dispositivo es un certificado de corta duración emitido por una infraestructura de clave pública (PKI) bien controlada y alojada. Estos certificados son la forma más sólida de identificación porque proporcionan la mayor cantidad de detalles, requieren actualizaciones periódicas y se remontan a múltiples raíces de confianza. Además, permiten la autenticación mutua, lo que significa que cuando un dispositivo intenta conectarse a un servidor, no sólo el servidor puede confirmar la identidad del dispositivo, sino que el dispositivo puede confirmar que se está conectando al servidor adecuado.

Aunque las identidades y la gestión sólidas de los dispositivos sientan las bases de una ciberseguridad escalable en IoT, son sólo el principio. La siguiente capa de seguridad proviene del establecimiento de un entorno de confianza cero, o uno en el que no se confía en ningún dispositivo por defecto y solo se concede acceso con los privilegios mínimos necesarios tras comprobaciones periódicas de identidad y una supervisión constante.

Este tipo de enfoque de confianza cero contrasta con el enfoque perimetral más tradicional de la seguridad, en el que los dispositivos situados dentro de un perímetro definido y protegido por un cortafuegos suelen ser de confianza. En un mundo basado en IoT, este enfoque perimetral ya no proporciona suficiente seguridad.

Un enfoque de confianza cero proporciona una ciberseguridad más estricta:

• Autenticación de dispositivos basada en la identidad, no en la ubicación
• Comprobar (y volver a comprobar) periódicamente las identificaciones para autenticarlas de forma continua, en lugar de confiar a largo plazo basándose en una comprobación inicial.

Sin embargo, es importante tener en cuenta que algunos dispositivos de IoT pueden no tener el ancho de banda necesario para realizar comprobaciones de identidad frecuentes. En estos casos, sigue siendo posible mantener un enfoque de confianza cero con las conexiones TLS , que ofrecen una opción a más largo plazo al tiempo que mantienen un mayor nivel de seguridad.

Además, los servidores de un entorno de confianza cero suelen ser capaces de filtrar las solicitudes de conexión de dispositivos no autorizados, lo que puede ayudar a resistir ciertos ataques como los DDoS. También pueden detectar comportamientos anómalos de los dispositivos y tomar medidas inmediatas para desconectarlos o ponerlos en cuarentena.

Y, por supuesto, es fundamental que el enfoque de confianza cero funcione en ambos sentidos, ya que las aplicaciones IoT deben tener puntos de conexión TLS que sólo concedan permiso o acceso para cargar determinados datos de una base de datos limitada. También deberían comprobar todas las actualizaciones de software en busca de una firma de código para garantizar que proceden de la fuente correcta, enviar periódicamente informes sobre su estado e incluir capacidades de administración remota como medida de seguridad.

Por último, construir dispositivos IoT y establecer la ciberseguridad teniendo en cuenta la criptoagilidad es esencial para la escalabilidad a largo plazo. Esto se ha convertido recientemente en un gran tema de debate tras el anuncio de Google de cerrar su servicio principal IoT - una medida que ha hecho que muchas empresas que se basaban en el servicio se apresuren a planificar dispositivos ya establecidos.

En general, esta situación arroja luz sobre el hecho de que la arquitectura en torno a un único proveedor sin el uso de estándares abiertos, especialmente uno para el que la criptografía no es fundamental para su existencia, puede ser arriesgada. En su lugar, los programas más estables se basarán en estándares abiertos -que muchos proveedores siguen- porque el uso de estos protocolos estandarizados hace mucho más fácil cambiar de proveedor cuando sea necesario.

El uso de estándares abiertos no sólo permite una mayor independencia del proveedor (tanto por elección como por necesidad, en el caso de que los proveedores interrumpan sus ofertas como está haciendo Google), sino que también favorece una mayor criptoagilidad a medida que los algoritmos evolucionan y se refuerzan con el tiempo.

Mantener una elevada criptoagilidad para poder evolucionar junto con los algoritmos y actualizar en consecuencia los certificados utilizados en los dispositivos es extremadamente importante para crear una ciberseguridad para su programa IoT que pueda resistir el paso del tiempo. Y con algunos dispositivos viviendo sobre el terreno durante décadas, esta longevidad es esencial.

Empezar con la ciberseguridad en IoT puede resultar desalentador: Es un tema complejo que requiere una atención seria y continua. Afortunadamente, dividir lo que hay que hacer en pasos más pequeños puede facilitar la consecución del nivel de seguridad necesario.

Para más información haga clic aquí para ver el seminario web completo sobre la comprensión de la ciberseguridad en IoT.