El Internet de las cosas (IoT) está presente en nuestras vidas y en millones de personas de todo el mundo. Pero el crecimiento de los dispositivos conectados está provocando un aumento de los riesgos para la seguridad, desde los daños físicos a las personas hasta el tiempo de inactividad y los daños a los equipos, incluso a las tuberías, los altos hornos y las plantas de generación de energía. Dado que varias de estas instalaciones y sistemas de IoT ya han sido atacados y han causado daños impresionantes, garantizar su protección pasa a primer plano.
A nivel general, al hablar de IoT se hace referencia a las lámparas, los calefactores, los frigoríficos y otros electrodomésticos que se pueden controlar a través de Internet. En realidad, el IoT es un tema mucho más amplio. Por Internet de las cosas entendemos principalmente los coches, los televisores, las cámaras de vigilancia, la fabricación robotizada, los equipos médicos inteligentes, la red eléctrica y un sinfín de sistemas de control industrial (turbinas, válvulas, servos, etc.) conectados a la red informática.
Por fortuna, la seguridad del IoT puede construirse sobre la base de cuatro pilares: la seguridad de las comunicaciones, la seguridad de los dispositivos, el control de los mismos y el control de la interacción de la red.
Partiendo de esta base, puedes construir un sistema de seguridad sólido y fácil de implementar que puede mitigar el impacto negativo de la mayoría de las amenazas a la seguridad del IoT, incluidos los ataques dirigidos.
En este artículo describimos los cuatro fundamentos, su finalidad y las estrategias para una aplicación sencilla y eficaz. Por supuesto, es imposible desglosar todos los detalles en una visión general, pero trataremos de ofrecer unas directrices básicas aplicables a todos los ámbitos, como la industria automovilística, la energía, la fabricación, la sanidad, los servicios financieros, el sector público, el comercio minorista, la logística, la aviación, los bienes de consumo y otros ámbitos, entre otros.
Seguridad de las comunicaciones
Hay que asegurar el canal de comunicación, y para ello se utilizan tecnologías de encriptación y autenticación, para que los dispositivos sepan si pueden confiar en el sistema remoto. Es estupendo que las nuevas tecnologías criptográficas, como la ECC (criptografía de curva elíptica), rindan diez veces más que sus predecesoras en chips IoT de 8 bits y bajo consumo. Igualmente, importante es la gestión de claves para la autentificación de datos y la validación de canales. Las principales autoridades de certificación (CA) ya han incorporado certificados de dispositivo en más de mil millones de dispositivos IoT, proporcionando la capacidad de autenticar una amplia gama de dispositivos, incluyendo estaciones base de telefonía móvil, televisores y más.
Proteger los dispositivos
La seguridad de los dispositivos consiste, ante todo, en garantizar la seguridad e integridad del código del software. La cuestión de la seguridad del código está fuera del alcance de este artículo; centrémonos en la integridad. La firma del código es necesaria para demostrar la legitimidad de su lanzamiento y también necesita protección en tiempo de ejecución para que los atacantes no lo sobrescriban cuando se descargue. La firma de código garantiza criptográficamente que el código no ha sido manipulado después de la firma y es seguro para el dispositivo. Esto puede implementarse a nivel de aplicación y de firmware e incluso en dispositivos con una imagen de firmware monolítica. Todos los dispositivos críticos, ya sean sensores, controladores o cualquier otra cosa, deben estar configurados para ejecutar sólo el código firmado.
Los dispositivos también deben ser protegidos en las etapas posteriores, ya después de la ejecución del código. Aquí es donde la protección basada en el host puede ayudar, proporcionando endurecimiento, delimitando el acceso a los recursos y archivos del sistema, control de conexiones, sandboxing, protección contra intrusiones, protección basada en el comportamiento y en la reputación. También se incluyen en esta larga lista de capacidades de protección de host el bloqueo, el registro y las alertas para varios sistemas operativos de IoT. Muchas protecciones basadas en el host se han adaptado recientemente al IoT y ahora están bien diseñadas y afinadas, no requieren acceso a la nube y son suaves con los recursos informáticos de los dispositivos del IoT.
Control de dispositivos
En este sentido, las vulnerabilidades de los dispositivos IoT seguirán existiendo, habrá que corregirlas y esto puede ocurrir mucho después de que el equipo haya sido entregado al consumidor. Incluso el código que utiliza la ofuscación en los sistemas críticos acabará siendo reconstruido, y los atacantes encontrarán vulnerabilidades en él. Nadie está dispuesto, o a menudo es capaz, de enviar a sus empleados a visitar cada dispositivo IoT en persona para actualizar el firmware, especialmente si se trata, por ejemplo, de una flota de camiones o de una red de sensores de monitorización repartidos en cientos de kilómetros. Por este motivo, la capacidad de control over the air (OTA) debe incorporarse a los dispositivos antes de que lleguen a los clientes.
Control de las interacciones de la red
Existen amenazas que superan cualquier medida tomada, por muy bien que se proteja todo. Por eso es crucial contar con capacidades de análisis de seguridad en el IoT. Los sistemas de análisis de seguridad pueden ayudarte a comprender mejor tu red y a detectar anomalías sospechosas, peligrosas o maliciosas.