Autor: Shawn Luke, ingeniero técnico de marketing, DigiKey
A medida que los dispositivos conectados se han hecho cada vez más presentes en nuestras vidas, la necesidad de una sólida seguridad integrada nunca ha sido mayor. En una reciente mesa redonda de «Hablemos de cuestiones técnicas» con los principales proveedores de sistemas integrados y microprocsadores, hablé con expertos de Analog Devices, STMicroelectronics, NXP y Microchip Technology para conocer sus perspectivas sobre el cambiante panorama de la seguridad integrada y su papel fundamental en el mundo conectado actual.
Mientras que los centros de datos operan en entornos controlados con protecciones físicas, los dispositivos integrados funcionan en vehículos, electrodomésticos y dispositivos médicos «en estado natural». Requieren estrategias de protección sólidas y descentralizadas, a diferencia de los centros de datos centralizados, que pueden ser vulnerables a manipulaciones físicas como los ataques de canal lateral. La naturaleza descentralizada de los dispositivos integrados exige una seguridad incorporada desde el principio, no atornillada a posteriori.
Sumerjámonos en algunas ideas sobre la seguridad de los sistemas integrados, la navegación por las nuevas normativas mundiales, los conceptos avanzados y mucho más.
La Ley de Ciberresiliencia: Subir el nivel
Carlos Serratos, de NXP, explicó cómo la Ley de Ciberresiliencia (CRA) traslada la responsabilidad a los fabricantes. La adhesión a la CRA afecta a los fabricantes de todo el mundo, no solo de Europa. Requiere evaluaciones de riesgos para el hardware y el software, contramedidas contra las amenazas identificadas e informes sobre vulnerabilidades a lo largo del ciclo de vida del producto. Esto garantiza que cada capa de la cadena de valor, desde los microcontroladores hasta los productos acabados, cumpla las nuevas expectativas de seguridad. El incumplimiento puede acarrear sanciones y daños a la reputación, lo que convierte la seguridad en una obligación legal y no solo en una buena práctica.
Doug Gardner, de Analog Devices, añadió que normativas como NIST, PSA, IEC 62443 e ISO 21434 están dando forma a los flujos de trabajo de desarrollo en todas las industrias. Las empresas deben integrar primitivas criptográficas, mecanismos de aislamiento y una gestión segura de la identidad en sus procesos de ingeniería. Para ayudar a los desarrolladores a gestionar estos crecientes requisitos, los fabricantes de chips están proporcionando herramientas, SDK y soluciones de supervisión del ciclo de vida que simplifican el cumplimiento y reducen el riesgo de errores de implementación. Este soporte ayuda a los desarrolladores a integrar la seguridad sin una complejidad abrumadora.
Xavier Bignalet, de Microchip, ofreció una visión general del modelado de amenazas, que define el panorama de riesgos para cada dispositivo y aplicación. Explicó que el desarrollo moderno debe incluir la gestión del ciclo de vida posterior a la producción, garantizando que los dispositivos sigan siendo seguros incluso después de su implementación mediante actualizaciones periódicas, supervisión y respuesta a incidentes. Subrayó que la seguridad no termina con la implementación. La supervisión continua, las actualizaciones del firmware y la respuesta a incidentes son esenciales para mantener la resistencia frente a las amenazas en evolución.
Principios de diseño seguro
Mena Roumbakis, de STMicroelectronics, subrayó que una seguridad sólida empieza pronto. Desde la primera fase de diseño, los desarrolladores deben realizar evaluaciones de riesgos, seguir prácticas de codificación seguras, implantar sistemas de arranque seguros y de confianza cero, confirmar la integridad de la cadena de suministro y mantener la documentación para respaldar el cumplimiento de la normativa. Estos principios garantizan la confianza desde el silicio hasta la nube.
El panel también estuvo de acuerdo en la importancia de una cadena de suministro segura y en el uso de la programación de confianza cero para proteger las claves privadas, la propiedad intelectual y el firmware de la manipulación durante la fabricación. Gardner también destacó los sistemas de confianza cero y explicó cómo los dispositivos hiperconectados deben verificar continuamente la confianza antes de intercambiar datos. A medida que la IA y el aprendizaje automático se desplazan hacia los límites, garantizar que los datos sigan siendo auténticos y fiables resulta aún más vital.
Conceptos avanzados de seguridad
Los expertos también exploraron las tecnologías Secure Enclave, entornos de hardware aislados diseñados para proteger claves y procesos críticos. NXP, Microchip, Analog Devices y STMicroelectronics implementan cada una este concepto de forma diferente a través de términos como criptoautenticación, entornos de ejecución de confianza (TEE) y TrustZone. A pesar de las diferentes marcas, los principios básicos son similares: proteger las credenciales, aplicar la ejecución de confianza y cumplir las normativas en evolución.
El concepto Secure Enclave es fundamental para la seguridad integrada moderna. Actúa como un entorno aislado dentro de un procesador, similar a la caja fuerte de un hotel, diseñado para proteger datos sensibles y ejecutar funciones de seguridad críticas. Combina mecanismos de hardware y software, incluidos el aislamiento de hardware, el entorno de ejecución seguro, el arranque y la autenticación seguros, el procesamiento criptográfico y la supervisión de la integridad en tiempo de ejecución.
Estas soluciones aíslan física y lógicamente las operaciones sensibles del procesamiento general, reduciendo la superficie de ataque y garantizando una raíz de confianza basada en hardware. A medida que la IA y el aprendizaje automático se desplazan hacia los límites, garantizar la autenticidad y la integridad de los datos resulta aún más crítico.
Los miembros del panel hicieron hincapié en que la complejidad es el enemigo de la seguridad, subrayando la importancia del aislamiento y de las defensas en capas. Los grandes sistemas, como los sistemas operativos, contienen inevitablemente fallos, por lo que los activos críticos, como las claves de cifrado, deben almacenarse en entornos altamente seguros para evitar ataques catastróficos del tipo «rompe uno, rompe todos». Los ejemplos del mundo real, como los vehículos pirateados a distancia a través de los sistemas de entretenimiento, ponen de relieve la importancia de estas medidas.
Aunque el concepto de aislamiento no es nuevo -los chips de las tarjetas de crédito, las tarjetas SIM y los TPM lo han utilizado durante décadas-, ahora se está extendiendo a todas las industrias. Tecnologías como ARM TrustZone añaden otra capa al crear estados seguros reforzados por hardware para ejecutar código crítico, complementando los elementos seguros dedicados para una máxima protección.
La conclusión
Para concluir, Bignalet hizo hincapié en las consecuencias jurídicas y operativas del incumplimiento. Las organizaciones que no diseñan la seguridad en sus productos se arriesgan no solo a estar sujetas a infracciones, sino también a posibles litigios en virtud de las nuevas normas mundiales. La seguridad ya no es opcional: es una necesidad legal, operativa y ética. La industria se está alineando para crear confianza en cada capa de la conectividad, garantizando la resistencia en un mundo cada vez más conectado.
Para más información y para ver el debate completo de Hablemos de cuestiones técnicas (Let’s Talk Technical), visite DigiKey.com.
