Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

Por qué el Internet de los objetos necesita PKI

Internet de los objetos (IoT)

Asegurar las identidades de las máquinas es una preocupación creciente para las empresas y los líderes en ciberseguridad que se aventuran en el terreno relativamente nuevo del Internet de las cosas. Los responsables de TI preocupados por la seguridad han dedicado mucho tiempo y recursos a proteger las identidades de los usuarios restringiendo el acceso a activos sensibles y controlando los privilegios en función de las funciones de los usuarios en la organización. Pero muchas empresas con visión de futuro carecen de una estrategia para bloquear las identidades de las máquinas.

El número de máquinas y los tipos de identidades de máquinas se han disparado en la última década. Estas identidades incluyen no solo los dispositivos utilizados por los empleados, sino también algoritmos, API, servidores, sistemas en la nube, contenedores y otros actores digitales o sintéticos. También hay dispositivos IoT como sensores medioambientales, equipos industriales conectados, dispositivos médicos y electrodomésticos inteligentes. Las identidades de las máquinas superan en número a las de los usuarios en 10 a 1 en la empresa media, pero no reciben el mismo nivel de escrutinio por parte de TI que las identidades humanas. 

Muchas empresas protegen las identidades de las máquinas mediante claves públicas y certificados. Estos certificados actúan como un pasaporte utilizado por personas, dispositivos y aplicaciones para interactuar entre sí de forma segura. Si un certificado caduca o se piratea, los resultados pueden ser catastróficos, por lo que es muy importante actualizarlos con frecuencia.

Desgraciadamente, el 74% de las organizaciones ni siquiera saben cuántas claves y certificados tienen, y mucho menos dónde están o cuándo caducan. Esto supone un enorme punto de entrada potencial para el malware y el ransomware. Sin transparencia sobre los certificados que se están utilizando, es probable que cualquier violación de datos llevada a cabo a través de la identidad de una máquina no se descubra hasta que haya causado un gran daño.

La infraestructura de clave pública (PKI, por sus siglas en inglés) es un conjunto de procesos y herramientas utilizados para gestionar certificados, que ofrece una solución a esta falta de transparencia. Ofrece a los responsables de TI una visión completa de los certificados que caducan o están en peligro y agiliza el proceso de emisión de un nuevo certificado. Las plataformas PKI y modelos de servicio pueden automatizar muchos de los procesos necesarios para gestionar las identidades de las máquinas, lo que permite a los equipos de seguridad centrarse en objetivos de más alto nivel.

PKI es clave para ampliar la producción de IoT

Las claves públicas y los certificados son mucho más eficaces que establecer la confianza mediante nombres de usuario, contraseñas y tokens. Estos métodos de autenticación no son escalables para las empresas de IoT que fabrican dispositivos por cientos de miles, si no millones.

Cada dispositivo que sale de la cadena de montaje necesita su propia identidad y certificado, y a menudo múltiples: una identidad del fabricante, otra del propietario del dispositivo y otras para acceder a diversos servicios como los proveedores externos de la nube. Cada identidad es un vector potencial de ataque si no se protege eficazmente.  

Es imposible realizar un seguimiento manual de todas estas identidades cuando se producen miles de unidades por hora. Y después de que un dispositivo IoT se implanta en el entorno del usuario final, ¿cómo puede inventariar, gestionar y supervisar todos sus certificados? En 2011, un certificado podía durar 10 años. En 2012, esa vida útil se redujo a la mitad. A partir de 2020, el ciclo de vida de los certificados será de tan solo un año, y algunas organizaciones están pasando a ciclos de vida de una semana o incluso de una hora.

No hay forma de gestionar estos ciclos de vida sin automatización, pero muchas organizaciones siguen intentándolo. 40% de las empresas aún intentan gestionar claves y certificados manualmente mediante hojas de cálculo. Esto crea un enorme cuello de botella en el ciclo de vida de desarrollo de software .

Una solución PKI puede ayudar a gestionar los certificados a lo largo de los ciclos de vida de desarrollo, producción y uso, abriendo la puerta a la adopción de metodologías como Agile y DevOps, que facilitan la escala y permiten una innovación más rápida. PKI refleja y permite estos enfoques ágiles iterativos.

PKI ofrece flexibilidad para adaptarse

El Internet de las cosas es un sector en rápido desarrollo. La normativa puede ser irregular, cada día surgen nuevos casos de uso y las nuevas tecnologías, como las cadenas de herramientas OTA y DevOps, están influyendo en el panorama del sector. No hay muchas mejores prácticas y marcos acordados, pero PKI es lo suficientemente flexible como para implementarse en una amplia gama de contextos. 

Algunas empresas intentan crear su propia plataforma PKI interna, pero las ventajas potenciales en cuanto a costes rara vez compensan los riesgos y el uso de recursos. Una iniciativa de PKI llevada a cabo por un equipo sin experiencia puede acabar costando más que subcontratar el proyecto, y los resultados pueden no resolver completamente el problema. La PKI es un campo muy específico con muchos riesgos potenciales, y las organizaciones IoT necesitan todo un equipo de especialistas altamente cualificados dedicados estrictamente a la PKI. No se puede imponer sin más al mismo equipo de TI encargado de mantener en funcionamiento las operaciones básicas de la empresa. 

Aunque hay que tener cuidado al externalizar una función de seguridad tan crucial, los proveedores de proveedores de PKI como servicio a menudo pueden automatizar, asegurar, desplegar y escalar PKI por una fracción del coste de desarrollar y ejecutar un sistema PKI interno.

Gestión de la identidad de los dispositivos durante la fabricación

IoT Los dispositivos pueden contener información confidencial de la empresa, como datos de fabricación o de salud personal, que es necesario proteger. Pero incluso si los dispositivos no seguros no contienen datos sensibles por sí mismos, pueden ser un punto de acceso para que los actores de amenazas entren en la organización. 

Los fabricantes no tienen forma de saber dónde acabará un dispositivo, y los certificados de usuario final no pueden emitirse en la fase de fabricación. La PKI puede facilitar la transición de la propiedad entre el fabricante y el usuario final.

En muchos casos, el cliente puede tener que hacerse cargo de la PKI y sustituir los certificados de fábrica por los suyos propios. Una plataforma PKI eficaz ayudará al usuario final a gestionar la instalación y configuración de los dispositivos IoT , estableciendo la propiedad y evaluando el nuevo entorno automáticamente. Cuando el dispositivo se enciende por primera vez, la PKI le permite comunicarse con los servidores de la empresa y conectarse con los recursos internos. Y lo que es más importante, PKI indica al dispositivo quién es su nuevo propietario. 

Este claro traspaso de la propiedad mejora la experiencia del usuario final porque automatiza gran parte de la instalación y configuración iniciales. También permite que el dispositivo IoT se integre ampliamente en cualquier entorno al tiempo que mitiga el riesgo creado al compartir sus datos con sistemas adyacentes. IoT Los usuarios finales no quieren tener que cargar con el proceso de asegurar el sistema, solo quieren que se ponga en marcha con un mínimo de complicaciones y que funcione bien una vez configurado.

Los casos de uso de los dispositivos IoT son muy variados, desde dispositivos médicos productos de consumo o equipos militares. Sin embargo, la mayor parte de la tecnología PKI puede cubrir la gran mayoría de los escenarios de emisión de dispositivos, a menudo a través de flujos de trabajo específicos del sector o configurables.

No toda la publicidad es buena

IoTcomo industria, seguirá evolucionando y creciendo a gran velocidad. Ya tenemos coches que se conducen solos y marcapasos que pueden controlarse desde cualquier parte del mundo. Pero esta rápida expansión crea un gran riesgo junto con una gran oportunidad, y las empresas que descuiden la seguridad de IoT aparecerán en los titulares, incurriendo en daños a su reputación y enormes pérdidas financieras. 

La capacidad de ampliar la seguridad y gestionar la proliferación de identidades de máquinas al tiempo que se minimizan costes, esfuerzos y riesgos es clave para el éxito de los fabricantes de IoT , y la PKI permite a las organizaciones centrarse en desarrollar productos eficaces en lugar de gestionar certificados.

Más información

Si desea profundizar en los principios de la seguridad de la Internet de los objetos, consulte nuestro libro blanco Cinco principios rectores de la seguridad en IoT .