El acceso a datos en tiempo real tiene un valor inmenso para la inteligencia empresarial. Imagina que un brazo robótico de una cadena de montaje pudiera decirte cuánta energía consume, cuánto tarda en hacer su trabajo o cuándo necesitará mantenimiento.
Desde los marcapasos hasta los coches autónomos, los dispositivos que antes estaban aislados se están conectando a Internet. Esto ofrece un gran valor a los usuarios y puede incluso salvar vidas en el caso de los dispositivos médicos. Pero el valor añadido de la interconectividad conlleva un riesgo mucho mayor.
En teoría, la infraestructura de la Internet de las cosas (IoT) puede ser aún más segura que la de los servidores y estaciones de trabajo, ya que los procesos manuales suelen ser la parte más vulnerable de una infraestructura basada en la nube.
Pero como nueva tecnología que se enfrenta a un crecimiento explosivo, la seguridad de los dispositivos IoT puede ser un blanco móvil a medida que surgen nuevas tecnologías, normativas, casos de uso y amenazas. Y es mucho lo que está en juego, ya que las posibles consecuencias de una filtración de datos que ponga en peligro dispositivos médicos, equipos militares, vehículos personales o grandes empresas de servicios públicos podrían poner en peligro la vida.
La Internet de los objetos es un mundo nuevo para los informáticos y los expertos en ciberseguridad tradicionales. Sus conocimientos actuales pueden aplicarse a esta nueva revolución de IoT , pero también tendrán que enfrentarse a nuevos retos.
Reto 1: Responder a las exigencias de la escala
La maquinaria de fabricación a menudo tiene que producir cientos de miles de unidades a la semana, cada una con su propio certificado e identidad. Los certificados deben emitirse tan rápido como salen las unidades de la cadena de montaje.
El simple mantenimiento del inventario de todos los certificados emitidos, por no hablar de su supervisión y actualización, es una tarea ingente, especialmente en el caso de los certificados con ciclos de vida cortos.
El 42% de las empresas sigue utilizando hojas de cálculo para hacer un seguimiento manualmente, y el 57% no tiene un inventario preciso de sus claves SSH. En consecuencia, hasta el 40 % de las identidades de máquinas no se rastrean.
Reto 2: Confianza cero
Las unidades de control electrónico (ECU) de los automóviles, que controlan los sistemas de seguridad, de transmisión y de información y entretenimiento de los vehículos, se fabrican en una extensa cadena de suministro con varios puntos de entrada que podrían ser aprovechados por un agente de amenazas.
Y los productos de esta cadena de suministro se despliegan en entornos desconocidos que pueden emplear controles de seguridad de hace décadas. Los fabricantes no pueden dejar que la seguridad de sus productos dependa del usuario final, ya que una violación de datos relacionada con el producto puede dañar la reputación del fabricante, incluso si la violación es en última instancia culpa del usuario.
IoT tecnología debe adoptar un enfoque de confianza cero la seguridad de las identidades humanas y de las máquinas. Este enfoque, en el que rechazar el acceso es el valor por defecto y sólo se concede en función de criterios estrictos, no se limita a incorporar la seguridad como una característica más, sino que la incorpora como un elemento de diseño a lo largo de todo el ciclo de vida del producto.
Además, el dispositivo tiene que integrarse con una amplia gama de sistemas adyacentes, algunos de los cuales podrían no cumplir las mismas rigurosas normas de seguridad. La normativa y las normas del sector aún están tomando forma en el espacio IoT , por lo que los fabricantes se enfrentan al reto de la disparidad de herramientas entre estos sistemas. Proteger sus productos y, al mismo tiempo, hacerlos interoperables puede ser una tarea ardua.
Reto 3: Limitaciones de la plataforma
La seguridad casi nunca es un argumento de venta para un dispositivo IoT . Lo que importa en el mercado es lo bien que funciona el producto, su eficiencia energética, su coste, etc. IoT los vendedores de productos no pueden cobrar más a los clientes por un producto utilizando la seguridad como propuesta de valor. En consecuencia, los fabricantes deben procurar que las medidas de seguridad no repercutan negativamente en la usabilidad y la eficiencia.
Las consideraciones de seguridad deben entretejerse en todo el proceso de desarrollo y fabricación del producto para que no se conviertan en añadidos engorrosos. Si la seguridad forma parte del flujo de trabajo desde el principio, es decir, la "seguridad por diseño", creará menos fricciones en el ciclo de lanzamiento del producto y mermará menos los márgenes de beneficio.
Reto 4: Equilibrar seguridad y funcionalidad
La seguridad no suele ser la tarea número uno en el proceso de diseño de equipos de fabricación. Los clientes se preocupan sobre todo de lo bien que funciona el producto, de si tiene todas las capacidades que necesitan y de cuánto cuesta. Dar a los directivos la capacidad de supervisar las operaciones a través de Internet es un enorme factor de valor, pero todo aquello a lo que se conecta un dispositivo presenta un nuevo riesgo. Equilibrar seguridad e interconectividad tiene que estar en la mente de un diseñador de productos para evitar el daño que podría causar a la reputación de una empresa una posible filtración de datos.
Este acto de equilibrio puede ser difícil, especialmente si la fase de diseño se inclina hacia un modelo ágil o DevOps. Los diseñadores prosperan con el cambio y la innovación, mientras que los responsables de seguridad encuentran la estabilidad en la inmovilidad y la previsibilidad. Es posible que los diseñadores no quieran otro cocinero en la cocina, y que los responsables de seguridad no sean lo bastante flexibles para llegar a un acuerdo.
Desafío 5: Cumplir las normas
IoT experimentará una gran evolución en los próximos años. Los nuevos casos de uso, tecnologías y amenazas impulsarán nuevas normativas. Pero si la seguridad no es una prioridad para los desarrolladores de IoT , el cumplimiento de la normativa siempre será un problema.
Actualmente, el entorno normativo en torno a la seguridad de IoT está desarticulado. EL NIST informa la normativa en EE.UU., pero otros países tienen sus propios organismos sancionadores y normas. La normativa sobre vehículos eléctricos incluye la PKI, pero difiere de una región a otra. Normas como IEC 62443 se discuten a menudo en comparación con otras normas de seguridad. La ley ley SB: 327 fue la primera ley específica de IoT en Estados Unidos.
Una empresa que lance un producto a escala mundial debe fabricarlo con una seguridad que cumpla varios marcos normativos (p. ej., GDPR), GDPR en Europa, PIPL en China, LGPD en Brasil). Estas normativas sobre privacidad se están ampliando para incluir los dispositivos IoT , y algunas organizaciones pueden beneficiarse de consultores especializados que estén familiarizados con todas las normas.
Riesgos de tratar la seguridad de IoT como algo secundario
Para la mayoría de los fabricantes de IoT , la seguridad no es el valor principal, pero los compradores dan por sentado que los productos son seguros, y una brecha en el nivel de los dispositivos puede mermar la confianza de los clientes en una marca y provocar un daño reputacional de gran repercusión. Un termómetro de acuario en un casino permitió a un hacker exportar fuera del país 10 GB de datos no revelados. La violación de las cámaras de seguridad permitieron a los piratas informáticos acceder a imágenes de vídeo de fábricas de Tesla, así como de cárceles, departamentos de policía y hospitales.
A mayor escala, el virus Stuxnet alteró las velocidades de las centrifugadoras nucleares iraníes de forma tan imperceptible que los humanos no pudieron detectar el cambio, poniendo de rodillas el programa nuclear iraní.
Pero no sólo los gobiernos y las empresas pueden verse afectados: desde vehículos hackeados mientras conducen por la autopista cámaras de seguridad domésticas hasta vulnerabilidades en IoT marcapasoslos ciberataques a algunos dispositivos de IoT pueden poner directamente en peligro la vida y generar temor en los consumidores.
Por ello, los dispositivos no protegidos pueden dar lugar a cuantiosas multas y sanciones por parte de las autoridades reguladoras. En 2015, la Oficina de Derechos Civiles (OCR) del HHS anunció su primer acuerdo relacionado con una filtración de datos a través de dispositivos médicos en un hospital. Se expusieron 600 registros y el Lahey Hospital & Medical Center llegó a un acuerdo por 850.000 dólares. Se podría argumentar que la OCR está enviando un mensaje sobre la inclusión de dispositivos y sistemas bajo el paraguas de cumplimiento de la HIPAA.
El mercado se amplía
La industria de IoT está a punto de explotar en varios sectores verticales. Según IoT Analyticsel mercado mundial de IoT creció más de un 22% en 2021, y se prevé que siga aumentando a la misma tasa de crecimiento anual compuesto hasta 2027.
Hay muchos problemas de crecimiento en esta industria relativamente nueva, y las empresas no están seguras de quién está a cargo de qué cuando se trata de seguridad. La mejor postura de seguridad se alcanzará cuando los responsables de diseño, operaciones y seguridad reconozcan que todos tienen algo que decir en la seguridad de los dispositivos de IoT . Los mejores productos de IoT serán creados por fabricantes que incorporen consideraciones de seguridad y cumplimiento de normativas en el diseño de los dispositivos desde el principio.
Si desea profundizar en los principios de la seguridad de la Internet de los objetos, consulte nuestro libro blanco Cinco principios rectores de la seguridad en IoT .
