Jakub Jirsk - Fotolia
En los dispositivos de internet de las cosas la seguridad es vital
Antes de adquirir dispositivos de internet de las cosas (IoT), las empresas deben analizar cuánto aumentarán estos la superficie de exposición y analizar cuán viables son las opciones de contingencia.
En el mundo de IoT, existen diferentes tipos de dispositivos y sensores que pueden incluir una o más funcionalidades, e interfaces más o menos complejas, dependiendo de qué sea lo que se necesite. En todo caso, la seguridad de la información es un proceso transversal a cualquier sistema, de modo que cualquier funcionalidad de este debiese asociarse a un cuidadoso análisis de riesgos y el consecuente desarrollo seguro. Según las características del sensor y del sistema donde se implementará, se deben tomar los recaudos para garantizar la confidencialidad, integridad y disponibilidad de los datos estacionarios y en tránsito.
“Hay, todavía, pocos estándares reconocidos para el intercambio y almacenamiento de datos de IoT y los proveedores individuales, operadores y proveedores de servicios tendrán sus propios arreglos. La cuestión clave es la responsabilidad. Debe haber una aceptación y un acuerdo reconocidos y sólidos sobre qué entidad es la responsable de la seguridad de una red IoT: fabricante, proveedor, operador, proveedor de servicios o proveedor de servicios de seguridad subcontratada”, dice Marcelo Sukni, gerente general de SAS Chile.
El grado de seguridad estará sujeto al tipo de red que se utilice, privado o público, y al tratamiento de los datos, que también estará sujeto al tipo de información que se envíe y al nivel de confidencialidad de la misma. Sin olvidar el almacenamiento y la seguridad de la aplicación que después haga uso de los datos recolectados.
Cómo funciona la captura de información en IoT
Los sensores de IoT permiten transformar mediciones del mundo analógico –como la temperatura, el sonido o el nivel de un líquido en un estanque– en impulsos eléctricos que pueden ser transmitidos como datos digitales a través de bits. “De esta forma, una red de datos puede enviar la información desde el sensor hacia un controlador o microcontrolador y este, a su vez, conectado por el protocolo IP, transmitir los paquetes de datos hacia un servidor más potente. Todo esto, puede ser de forma cableada o vía inalámbrica a través de Wifi, Bluetooth o RFID. Así, ya sea en algunos controladores, o en el servidor computacional, se pueden almacenar estos datos, tomar decisiones e incluso enviar instrucciones a dispositivos actuadores, como, por ejemplo, un switch que permita encender o apagar un equipo”, detalla Nelson Álvarez, director de Carreras de la Escuela de Informática y Telecomunicaciones, sede Maipú de Duoc UC.
El experto señala que, debido a la gran cantidad de información que puede enviar un sistema de estas características, la información se puede registrar en bases de datos relacionales o no relacionales, dependiendo de la disponibilidad y características de la información. En el caso de las bases de datos no relacionales conocidas como NoSql, la información se puede actualizar en intervalos de tiempo posteriores a la captura del dato, por ejemplo, en momentos del día en que haya conectividad a la red, y la información se puede replicar en centros de datos replicados en varias zonas geográficas a través de la nube.
“El caso de los actuadores no deja de ser delicado desde el punto de vista de la seguridad, ya que no sería bien visto que un tercero no autorizado pudiera tener control de los dispositivos. Por ello, la seguridad de la red, de los equipos y de los servicios conectados es clave”, refiere Álvarez, de Duoc UC.
Sergio Jiménez Alfaro, especialista en CC3 de SONDA, agrega que: “Los datos recopilados por los sensores de IoT son enviados por diferentes medios y protocolos – tales como Zigbee, Bluetooth, WiFi, LTE y Ethernet– hacia la nube empresarial. Estos serán procesados y almacenados por los data centers que ya conocemos, pero también existen otros métodos y dispositivos que nos permiten realizar el procesamiento y almacenaje, lo más cercano posible al ‘punto de recolección de la información’. Este proceso es llamado fog computing, y tiene la ventaja de que los datos no viajan y las decisiones pueden ser tomadas y ejecutadas lo más cercano y pronto posible”.
Los expertos advierten que siempre estaremos en una mejor posición si la seguridad ya se encuentra embebida en el dispositivo IoT, ya que esto facilitará el lineamiento de todos los demás componentes. Sería deseable contar con una alianza, como el ejemplo de la WiFi Alliance, que definieron el estándar de seguridad necesario en los dispositivos para LAN inalámbrico con que hoy contamos en todos nuestros hogares. De esta forma sabríamos que los dispositivos IoT al menos cumplen con ciertos estándares de seguridad y posiblemente la adopción de los mismos sería mayor de lo que hoy ocurre.
“Lo importante es que, sin importar la red, se utilicen protocolos seguros que garanticen el cifrado de los datos en transmisión y que minimicen los riesgos de ataques de MITM. En cuanto al almacenamiento y procesamiento de los datos, el tratamiento de la información variará según las especificaciones del fabricante del sensor o el modelo de seguridad presente en el sistema receptor de datos. Adicionalmente, las legislaciones vigentes en el país donde se encuentren los servidores podrían contribuir a determinar cuáles serán los recaudos que se implementarán en cuanto al manejo de la información, según el tipo de datos que estén siendo recolectados”, dice Denise Giusto Bilic, especialista en seguridad informática de ESET Latinoamérica.
La clave está en tomar las medidas de seguridad correctas
De acuerdo con Pablo Dubois, gerente de productos de seguridad de CenturyLink para América Latina, en primer lugar y siempre que sea posible, es aconsejable que estos dispositivos se conecten utilizando una red privada y nunca una pública. Luego el cifrado de la información.
“Otra gran recomendación en este punto es la segmentación de las redes privadas, una práctica no muy común, pero altamente recomendable. Esto permite que, ante la posibilidad de compromiso, por ejemplo de la red de IoT, esto no afecte directamente a los demás servicios de la empresa al estar en un segmento independiente. Si no es posible conectar los dispositivos IoT con una red privada, al menos hacerlo utilizando encriptación, aunque esto muchas veces implica utilizar algún otro equipamiento en los extremos. En el peor de los casos, cuando sea público y no haya posibilidad de encriptar los datos, al menos utilizar puertos no estándares en la comunicación, como también no utilizar ninguna contraseña por default y reemplazarlas por contraseñas fuertes”, sostiene.
Para Giusto, de ESET Latinoamérica, la protección de los activos de información puede entenderse como el diseño y puesta en marcha de un sistema de seguridad en capas, donde las barreras de protección se solapan unas sobre otras con el objetivo de dificultar la intrusión de un cibercriminal. “En este contexto, la internet de las cosas demanda un cuidadoso análisis de los riesgos de seguridad presentes según la cantidad y diversidad de equipos que manejan datos sensibles, para poder así implementar un sistema de protección efectivo”, comenta.
Para prevenir los ataques a estos equipos, la experta recomienda tener en cuenta dos aspectos principales. El primero es el técnico, con el reto de implementar la seguridad en la plataforma, ya que las técnicas tradicionales de seguridad –como el filtrado, el cifrado y la autenticación– pueden llegar a consumir una enorme capacidad de procesamiento y ancho de banda, lo que puede sobrecargar los sistemas. “Por lo tanto, es necesario innovar en tecnología de protección y lograr medidas de seguridad acordes a la capacidad de los dispositivos que las implementan. La segregación de redes para aislar dispositivos vulnerables y tráfico inseguro, la elección de fabricantes responsables que utilicen un modelo de desarrollo seguro y garanticen la liberación en tiempo y forma de parches de seguridad, la creación de una política para controlar la información que se trasmita mediante dispositivos IoT, la modificación de las configuraciones por defecto y la protección de la autenticación multiplataforma, son algunas de las medidas que ayudarán a reducir los riesgos de una fuga de información en la era de IoT”, manifiesta.
El segundo factor tiene que ver con la concientización de los usuarios que utilizarán estos dispositivos. Las medidas de seguridad que deben implementar los usuarios son generalmente las mismas: Contraseñas fuertes, software de protección, estar atentos a posibles engaños, entre otras. “No obstante, la creación de un plan de capacitación sobre riesgos de seguridad será vital para minimizar la posibilidad de un ataque exitoso contra la empresa”, explica.
Marcelo Díaz, gerente general de Makros, refuerza esta idea señalando que las empresas deberían contar con controles más robustos de acceso a internet, así como también de acceso a la red de la compañía. “Se requiere un endurecimiento de la configuración y mejores reglas para el acceso inalámbrico y la autenticación de tráfico. Hacer un seguimiento de los dispositivos y que esté actualizado, en cuanto a si están siendo usados o no, es un punto también que debe considerarse para las políticas y protocolos de seguridad”, dice.
Con IoT hay una superficie más amplia
Sukni, de SAS Chile, sostiene que el uso de dispositivos de IoT agrega una dimensión a la organización de la red y aumenta la zona de ataque de adversarios. Por ejemplo, las compañías necesitan visibilidad en cómo y cuándo estos dispositivos se conectan a la red, así como de su comportamiento una vez que están conectados. Esta información ayuda a los profesionales de seguridad de las empresas a entender la diferencia entre el comportamiento normal y la intrusión maliciosa.
“Los dispositivos de IoT o los chipsets que se incrustan en ellos son típicamente baratos y se originan en jurisdicciones permisivas de control calidad y protección IP. Hay una probabilidad de tener un compromiso de seguridad previamente instalado en el firmware y los operadores de IoT deben aceptar la probabilidad de que sus redes estén comprometidas por diseño. Por lo tanto, el tema se convierte en uno de gestión de riesgos y mitigación, y el diseño y la respuesta operativa deben reflejar esto. Para ser eficaz, cualquier seguridad aplicada a una red IoT debe depender de un conocimiento detallado y preciso del tamaño de la red, la configuración y la topología tal como está construida, y una visión coherente de la actividad en la red, incluyendo un conocimiento muy detallado de lo que constituye la norma, para poder identificar temprano cualquier ataque u otro evento maligno, desviaciones de esa norma”, resalta.
Finalmente, Walter Montenegro, gerente de ciberseguridad de Cisco Chile, advierte que pocas veces se ve que los sistemas de IoT estén actualizados o parchados por alguna vulnerabilidad. Por eso, “se deben implementar otras medidas de seguridad, tales como monitoreo de los flujos de red que estén siendo generados por estos sistemas o que tengan como destino un dispositivo IoT. De esta manera se pueden buscar patrones de comportamiento que finalmente alerten en caso de que estos sistemas se comprometan. Por otro lado, hay soluciones que lo que buscan es ser la primera capa de protección para la red, incluyendo estos sistemas. Generalmente, cuando un sistema está comprometido, lo primero que realiza es tratar de buscar un centro de comando y control en internet, para lo que hay soluciones que permiten capturar estas peticiones DNS e inhibir esta comunicación”, concluye.
Medidas para integrar nuevos dispositivos a su red IoT
Sergio Jiménez Alfaro, especialista en CC3 de SONDA, entrega varias medidas que las empresas pueden implementar para integrar nuevos dispositivos, clasificadas en tres grupos:
- La seguridad del dispositivo
- Cambiar la configuración por defecto del dispositivo para asegurar que no sea controlado por una persona distinta a las autorizadas.
- Desactivar funciones que no son necesarias para que no se vuelvan un punto de ataque.
- Utilizar contraseñas robustas.
- Actualizar firmware a su última versión.
- Aprovechar las medidas de seguridad de que dispone el propio dispositivo.
- Uso de protocolos seguros.
- La seguridad en la nube
- Autenticación de la información o usuarios.
- Filtrado de tráfico o acceso.
- Encriptación de datos.
- Detección de Intrusión en tiempo real.
- Protección de dispositivos y aplicaciones (email, malware, virus, etc.)
- La gestión del ciclo de vida de la seguridad
Si bien a menudo se pasa por alto, la gestión del ciclo de vida de los componentes de seguridad del dispositivo y del espectro de la nube es un elemento fundamental para una estrategia de seguridad digital robusta y de largo plazo. La seguridad no es una actividad de una sola vez, sino una parte en evolución del ecosistema de IoT. El agregado de nuevos dispositivos, el desmantelamiento del dispositivo al final de su vida útil, la integración del dispositivo en un nuevo ecosistema de la nube o viceversa, más la gestión de la descarga de firmware/software seguro, son actividades que necesitan una gestión global y completa de las identidades, las claves y los tokens.