La seguridad se ha convertido rápidamente en una preocupación clave dentro del mundo del IoT (conocido como Internet de las Cosas ). A pesar de que la transformación digital ha dejado claro el valor de los datos a las organizaciones, también existen riesgos en lo relativo al posible uso inadecuado de dichos datos. Este uso inadecuado subraya la necesidad ineludible de contar con una ciberseguridad sólida. Las tecnologías del IoT presentan numerosas superficies de ataque que los hackers pueden aprovechar para robar datos o lanzar otro tipo de ataques. En el futuro, cada vez más empresas se verán afectadas: Gartner prevé que más de la mitad de los nuevos sistemas y procesos empresariales más importantes contarán con algún elemento del IoT antes de 2020.
La importancia de la seguridad del IoT
El poder que las aplicaciones del IoT puede ofrecer para contribuir a mejorar la eficiencia de las empresas e incrementar la calidad del servicio es innegable. Implementar enormes cantidades de actuadores y sensores conectados permite a las organizaciones recopilar descomunales cantidades de datos para impulsar una mejora continua, incluidos: el control de procesos de forma remota para simplificar plantilla y maximizar resultados, la realización de un seguimiento de la localización de los activos para aumentar la eficiencia operativa y la anticipación de los requisitos de mantenimiento en equipos remotos para minimizar el tiempo de inactividad y hacer uso de la plantilla eficientemente, por mencionar solo algunas posibilidades.
Como herramienta que fomenta actividades como la gestión de empresas, el comercio y el ámbito ambiental, el IoT se encuentra tan solo al comienzo de su ciclo evolutivo, y es de esperar que muchas más aplicaciones, inimaginables en estos momentos, surjan en el futuro. Es probable que la imaginación de los desarrolladores de aplicaciones solo se vea igualada por la de los hackers que intenten manipular el IoT para obtener sus propios fines. Las organizaciones acabarán dependiendo en gran medida de sus aplicaciones basadas en el IoT para poder responder rápidamente a eventos en el campo y tomar las decisiones empresariales correctas a largo plazo. Necesitarán, por tanto, un elevado nivel de confianza en los datos de sus activos conectados.
De ahí que evitar el acceso sin autorización a este tipo de datos sea extremadamente importante para impedir sabotajes e interceptaciones: si agentes maliciosos interceptan datos o consiguen acceso a dispositivos conectados, podrán sacar provecho de numerosas oportunidades para causar daños al poner a la venta o publicar los datos de forma ilegal, modificar los datos con la intención de ofrecer una información incorrecta o distraer a las partes interesadas, cargar códigos falsos para contro lar o bloquear los dispositivos, o acceder a activos de carácter más delicado dentro de la organización. Estos podrían incluir cámaras de seguridad, sistemas de control de acceso, unidades con información confidencial, etc. De tener éxito estos ataques, las víctimas podrían sufrir pérdidas financieras directas u otro tipo de perjuicios, como daños a su reputación o la pérdida de oportunidades comerciales. Dada su naturaleza, los dispositivos del IoT operan a menudo de forma autónoma durante largos periodos de tiempo en ubicaciones remotas y sin ser inspeccionados regularmente en búsqueda de señales de manipulación física.
Además, al estar conectados a Internet, esto ofrece a los hackers en línea la oportunidad de lanzar ataques a través de la web sin necesidad de encontrarse físicamente cerca de la ubicación del dispositivo. En Internet, ya hay disponible software que rastrea la web para localizar dispositivos conectados vulnerables. En el mismo informe que predice la futura omnipresencia del IoT, Gartner ha comentado que antes de 2020 existirá un mercado negro valorado en 5000 millones de dólares estadounidenses dedicado a los datos de vídeo y sensores falsos que pueden ser utilizados para comprometer la integridad de los datos procedentes de dispositivos del IoT legítimos. Es obvio que la amenaza es real y significativa, y las organizaciones entienden las principales áreas de vulnerabilidad que presentan barreras ante la adopción de soluciones empresariales basadas en el IoT. Las 451 empresas encuestadas por Research expresaron su preocupación en cuanto a debilidades de la infraestructura del IoT en su totalidad, especialmente en lo referente al extremo de la red, que incluye los endpoints (puntos finales de comunicación) del IoT, sus conexiones a otros dispositivos y a la red central.
Las mayores preocupaciones son la seguridad física de los endpoints, la autenticación de los dispositivos conectados, la seguridad del software de aplicación y las conexiones entre los dispositivos del IoT y la red central. Asuntos como la seguridad de las memorias de datos del IoT y la vulnerabilidad ante los ataques de denegación de servicio presentan una preocupación inferior en comparación con los retos vinculados a las infraestructuras y dispositivos de extremo más vulnerables.
Mejores prácticas y marcos de seguridad
Asegurar los activos conectados al IoT supone un reto enorme. Los dispositivos no son solamente vulnerables a los ataques físicos y las amenazas en línea, sino que, generalmente, cuentan además con unos recursos limitados, como memoria, potencia y ciclos de procesador, para respaldar la seguridad electrónica. Una seguridad adecuada no debe imponer barreras; es decir, no debe obstaculizar el acceso a los usuarios autorizados ni disminuir el valor empresarial y la eficiencia general de la aplicación. Para contribuir a implementar una seguridad apropiada, dentro de los límites imperantes, es útil analizar las amenazas en potencia a las que se enfrentan varios tipos de dispositivos y las posibles implicaciones que conllevaría una brecha de seguridad en cada caso para poder diseñar unas directrices de mejores prácticas y unas políticas de seguridad coherentes.
La IoT Security Foundation (www.iotsecurityfoundation.org) ha estudiado en profundidad las brechas de seguridad de datos y dispositivos, y el impacto de las mismas en la privacidad, la actividad empresarial, las infraestructuras y la seguridad, para formular un conjunto de clases de cumplimiento de seguridad. Este análisis puede ayudar a garantizar que los dispositivos IoT sean diseñados con una seguridad del nivel adecuado para su uso previsto, e implementados debidamente por los planificadores de red. La tabla 1 describe estas clases de cumplimiento en relación a la integridad de dispositivo, la disponibilidad de dispositivo y la confidencialidad de datos. Cualquier enfoque relativo a la seguridad del IoT debe también reconocer que los hackers buscarán atentar contra los puntos más débiles de la red y utilizar los nodos más pequeños y de menor coste como puntos de entrada o pasos intermedios para alcanzar los activos de mayor valor y/o penetrar las redes principales.
Es necesario contar con un enfoque estructurado a la hora de diseñar dispositivos de IoT y, en el momento de configurar redes, hay que asegurarse de que todas las técnicas de seguridad disponibles sean evaluadas e implementadas de acuerdo con las necesidades existentes y dentro de las capacidades del sistema host. Las medidas de seguridad aplicables a los dispositivos del IoT incluyen:
- Detección de manipulación
- Almacenamiento de datos seguro
- Garantía de la transmisión de datos
- Autenticación
- Inicio seguro
- Actualizaciones de firmware seguras
- Fabricación segura de dispositivos del IoT
- Desactivación segura de nodos finales del IoT y gestión adecuada de los activos asociados (datos)
- Procedimientos y políticas de seguridad Estas consideraciones abarcan el ciclo de vida del dispositivo del IoT en su totalidad (imagen 1): desde las primeras fases de diseño del sistema embebido (tales como seleccionar un microcontrolador con coprocesador criptográfico integrado o un discreto hardware Secure Element), pasando por la fabricación, la puesta en marcha y el mantenimiento durante su uso, hasta la retirada de la red y la eliminación al final del ciclo de vida útil. Incluso con la ayuda de un riguroso marco de cumplimiento, como el elaborado por la IoT Security Foundation, y un claro entendimiento de técnicas de seguridad basadas en software y hardware aplicables, es innegable que los datos IoT se enfrentan a una apabullante diversidad de retos de seguridad entre endpoints de red y el núcleo, tanto si se trata de una red corporativa privada o la Nube.
Existe una amplia gama de soluciones de seguridad ofrecida por numerosos proveedores, pero los desarrolladores necesitan ayuda para evaluar, seleccionar y combinar los elementos elegidos para crear así un conjunto coherente que cubra todas las posibles vulnerabilidades de forma óptima. La imagen 2 sugiere una estrategia de seguridad para diseños de endpoint del IoT, a fin de conseguir protección ante ataques físicos y en línea. La oferta de Arrow Connect tiene como objetivo proporcionar este tipo de recurso, al aunar soluciones para la gestión de dispositivos del IoT, incluidos endpoints y gateways. Abarca un kit de desarrollo de software (SDK) para gateways y endpoints, además del diseño de gestión de dispositivo a la Nube. Incorpora también soluciones para integrar dispositivos en la red de forma segura, autenticación, gestión de claves de seguridad, identificación de dispositivo, gestión de dispositivo, prioridades de endpoint, agrupaciones y jerarquías, ingesta de datos, almacenamiento de datos, acceso de datos y actualizaciones de software de forma inalámbrica.
Conclusión
Asegurar los datos y dispositivos del IoT es esencial pero, al mismo tiempo, supone un auténtico reto. Los activos pueden encontrarse distribuidos a lo largo de una extensa zona geográfica, desatendidos y sometidos a todo tipo de ataques por parte de hackers tortuosos y determinados. Los marcos claros y las mejores prácticas, desarrollados por expertos en seguridad, pueden ayudar a los diseñadores de dispositivos y a los planificadores de redes a implementar las medidas de seguridad correctas en los lugares apropiados para adaptarse a la severidad de las amenazas planteadas en cada caso. La seguridad del IoT es un reto pluridimensional, y la ayuda adicional para afrontar cada aspecto adecuadamente capacita a los desarrolladores para que puedan garantizar que hasta los puntos más débiles sean tan robustos como sea necesario.
