Ciberseguridad: IoT a prueba de hackers
La conexión de dispositivos a Internet aporta un gran número de beneficios en todo tipo de industrias pero también presenta riesgos de seguridad significativos. La ciberseguridad intenta minimizar las vulnerabilidades de estos dispositivos con el fin de evitar ciberataques de hackers que puedan comprometer la seguridad de las redes de datos a las que se conectan.
La amenaza fantasma
Se espera que más de 40 mil millones de dispositivos se conecten a través del Internet de las cosas (IoT), la plataforma para dispositivos inalámbricos que lo conecta todo, desde smart wearables hasta sistemas de rastreo pasando por iluminación inteligente y otros muchos dispositivos “smart”.
Hoy en día es técnicamente sencillo fabricar un dispositivo “inteligente” conectando una serie de sensores y un emisor/receptor de radio a un dispositivo y listo… pero eso equivaldría a dejar abandonado en cualquier rincón un portátil con una contraseña predeterminada y con acceso a una red interna. Esto es lo que ocurre en muchos despliegues de IoT cuando no se considera la ciberseguridad en su plan de diseño.
Enfrentarse a un entorno totalmente conectado presenta una serie de desafíos que si no se gestionan bien pueden acabar en situaciones críticas: hackers abriendo puertas de tiendas desde teléfonos móviles, manipulando termostatos de neveras con el objetivo de dañar los productos o paralizando redes universitarias desde máquinas expendedoras a cambio de dinero. Cualquier dispositivo conectado a Internet corre el riesgo de convertirse en la puerta trasera por donde los atacantes se infiltren para cometer delitos cibernéticos.
Vulnerabilidades clave en un entorno IoT
El ecosistema IoT (módulos celulares, sensores, chips RFID…) hacen del mundo un lugar más conectado, pero con todo lo beneficioso que es también trae un conjunto único de vulnerabilidades clave:
- Más dispositivos de punto final (endpoint devices) significa más puertas traseras
La creación de redes de edificios, vehículos, electrodomésticos y otros dispositivos de punto final, así como los canales de comunicación por los que transmiten, los hacen susceptibles a ataques, como por ejemplo los ataques de denegación de servicio (DDoS).
- La falta de estándares pone en riesgo la seguridad
Los ataques son comunes porque la tecnología IoT aún está en desarrollo. La tecnología IDoT (identidad de las cosas) que asigna credenciales e identificadores a los usuarios de IoT se está desarrollando para satisfacer las necesidades de los sistemas de gestión de acceso e identidad (IAM).
- Los diseños de objetos y sistemas desactualizados dejan los dispositivos abiertos a ataques
Con las nuevas capacidades de red que van más allá de 3G como el 4G–LTE y 5G, es importante poder actualizar la arquitectura existente o desplegar dispositivos actualizados que puedan conectarse con los antiguos usando módulos retro–compatibles. Las redes que no actualicen sus capacidades de hardware y conectividad en los próximos años correrán un mayor riesgo de ataques.
Pasos para proteger y fortalecer los sistemas contra los atacantes
Teniendo en cuenta las amenazas más destacables, durante la planificación del proyecto deberemos considerar una serie de puntos que fortalecerán la ciberseguridad contra ataques cibernéticos:
- La seguridad es una característica más del diseño
El mayor riesgo para una implementación IoT es considerar la seguridad en el último momento. Se ha de planificar la seguridad a medida que se establecen las características y funcionalidades del producto o servicio para poder abordar y resolver las cuestiones técnicas con anticipación.
- Pensar como un hacker
Durante el proceso de diseño se ha de considerar qué aspectos podrían ser de interés para un hacker. Los dispositivos IoT son esencialmente pequeñas computadoras. ¿Que podría hacer un hacker si obtuviera acceso? Desde acceder a una red privada y obtener información sensible hasta utilizar los recursos de miles de dispositivos para lanzar un ataque DDoS pasando por intentar controlar remotamente un vehículo o conectarse a una cámara para obtener imágenes privadas.
- Los datos necesarios y cifrados
Es siempre tentador recoger la mayor cantidad de datos posible, incluso más de los que se pretenden usar. Pero cuantos más datos se recopilen mayores serán las repercusiones en caso de que el dispositivo se vea comprometido. El hecho de que pueda capturar información no significa que deba hacerlo. Además los datos deberían cifrarse en ambas direcciones, desde cada punto final, utilizando métodos de cifrado estándar. El cifrado de datos es un componente esencial del protocolo de ciberseguridad.
- Verificar todos los componentes
Quizás la aplicación haya sido verificada a fondo y se hayan eliminado todos los posibles vectores de ataque. Pero si el dispositivo IoT se ejecuta en un sistema operativo plagado de vulnerabilidades todo ese trabajo puede ser en vano. Hay que considerar el dispositivo IoT como una pequeña computadora, donde la seguridad puede quedar comprometida a través de la red, el sistema operativo o la aplicación.
- Siempre actualizado
No existe la seguridad al 100% y podrían aparecer nuevos riesgos después de lanzar el producto. Por lo tanto, el dispositivo debería tener la capacidad de poder recibir actualizaciones de seguridad remotas y si es posible sin intervención manual. Aunque también hay que considerar los riesgos de seguridad que esto implica, ya que si se hace mal podría ser la vía perfecta para que los hackers controlasen el dispositivo.
- Usar el hardware adecuado
Idealmente la plataforma IoT debería incorporar seguridad en el hardware físico, como carcasas resistentes a la manipulación. Si no es posible por costes o limitaciones técnicas, habría que verificar el historial de respuesta del proveedor. En el caso que se identificara un problema en el hardware central, ¿se podría resolver por código o mediante actualización de firmware? Si no fuese posible, ¿cómo se gestionarían las actualizaciones físicas?
- Establecer protocolos de ciclo de vida de IoT
Hay que considerar qué sucederá con el dispositivo cuando llegue al final de su vida útil. Enviar un correo al usuario notificando que el dispositivo dejará de recibir soporte no es suficiente. Hay que comunicar al usuario las graves consecuencias de usar un dispositivo sin soporte. Incluso sería recomendable poder desactivar el dispositivo o reactivarlo en un modo sin soporte y haciendo consciente al usuario de las implicaciones de seguridad.
Elección de proveedor y módulo para IoT
Al elegir un módulo, el foco de búsqueda debería centrarse en la confiabilidad, el alcance y la escalabilidad del módulo y del proveedor, y la sostenibilidad para proyectos más grandes que pueden requerir pruebas y actualizaciones futuras.
El proveedor debe tener una reputación reconocida para diseñar nuevos productos en múltiples mercados, ofrecer módulos que sean compatibles en múltiples industrias y redes heredadas y ofrecer servicio y soporte de IoT como parte de su plataforma.
En cuanto a seguridad, los módulos deberían estar adaptados a las regulaciones IoT establecidas por administraciones y organismos, como ya han establecido la FCC y la HIPAA en Estados Unidos. También deberían integrar la arquitectura IoT con los sistemas de gestión de identificación y acceso (IAM e IDoT) y estar preparados para defenderse de spyware, ransomware, botnets, ataques DDoS, etc.
En Venco somos proveedores de Telit, Kontron, Axiomtek y Digi entre otras compañias fabricantes de soluciones IoT que cumplen con las recomendaciones de seguridad contra ciberataques. Contacta con nosotros y te asesoraremos en estos y otros aspectos de tu implementación IoT.
Fuentes:
How to prevent iot breach with secure modules
How to secure your iot deployment in 10 steps