igor - Fotolia
Las pruebas son clave para la seguridad IoT, dice investigador
La construcción de un proceso de prueba eficaz a través de todos los elementos asociados con un producto es clave para asegurar la internet de las cosas, de acuerdo con un investigador en el campo.
Las pruebas son la única forma de asegurar que las organizaciones que usan dispositivos de internet de cosas (IoT) permanezcan seguras, pero esas pruebas no pueden limitarse únicamente a dispositivos conectados a internet, advierte Deral Heiland, líder de investigación de IoT en Rapid7.
"El punto más importante es que cuando estamos pensando en seguridad en IoT, no nos centramos en el hardware de tecnología embebida, que es lo que los investigadores, los probadores, las empresas y los clientes tienden a hacer", dijo al portal hermano ComputerWeekly.
"Es importante incluir todo el ecosistema de un producto. Todas las piezas que hacen que funcione una solución IoT deben considerarse, no solo el hardware del dispositivo, cuando estamos pensando en el modelo de seguridad general y el riesgo del producto".
Estos elementos suelen incluir cosas como las comunicaciones de red, las comunicaciones de radiofrecuencia, las API de nube (interfaces de programas de aplicación), las aplicaciones móviles, los servicios en la nube, y las aplicaciones de comando y control que se encuentran en las piezas móviles y en la nube de un sistema IoT.
De acuerdo con Heiland, no es raro encontrar problemas con cada uno de estos elementos que componen un sistema de IoT, pero están típicamente en diferentes niveles de gravedad.
Los fabricantes de dispositivos son las organizaciones más obvias para tener procesos de prueba de seguridad implementados para evaluar productos y servicios antes de ir al mercado, lo que puede aliviar "una enorme cantidad" del riesgo, dijo Heiland.
Aliados a esto, los fabricantes deben asegurarse de que disponen de mecanismos y procesos eficaces de parchado o actualización de software, de manera que los problemas pueden solucionarse cuando surgen.
"Las vulnerabilidades nunca van a desaparecer, pero –como lo hizo Microsoft– este problema se puede solucionar con un eficaz proceso de parchado para reducir en gran medida el riesgo, que los consumidores, tanto las organizaciones como los individuos, deberían esperar y exigir de los fabricantes", dijo Heiland.
"Antes que las organizaciones se comprometan con determinados dispositivos y servicios, deben exigir pruebas de que los productos han sido probados en su seguridad para evitar exponer a la organización a riesgos innecesarios”.
"Las grandes organizaciones que trabajan en proyectos de implementación más grandes también deben asegurarse de que tienen un proceso de pruebas efectivo, y algunas ya están siguiendo este enfoque".
Problemas de seguridad descubiertos
Heiland ha trabajado con varias organizaciones para probar sistemas IoT y les ha ayudado a trabajar con los fabricantes para resolver y divulgar los problemas de seguridad descubiertos.
Un ejemplo de esto era un dispositivo de seguimiento estilo GPS para permitir a los padres encontrar a sus hijos si se perdían.
"Las APIs de la nube vinculadas a este producto tenían más problemas de seguridad de lo que usted pudiera imaginar", dijo Heiland, lo que significaba que desconocidos podrían acceder a todos los datos de seguimiento GPS desde el dispositivo, números de teléfono asociados con el dispositivo, otra información de contacto, e incluso el número de identificación internacional de equipo móvil (IMEI) del dispositivo.
Cualquier persona con una cuenta en el sistema también podría acceder a otras cuentas, y alterar o reconfigurar dispositivos de forma remota debido a la mala seguridad de las comunicaciones a través de APIs, desde el dispositivo hasta la interfaz web asociada.
"Las APIs de nube y los servicios web sufrieron una serie de vulnerabilidades de seguridad que permitieron que casi cualquier persona tuviera acceso a los datos, y cualquier persona con una cuenta pudiera alterar los datos", dijo Heiland.
Aunque es poco probable que las empresas más pequeñas tengan las habilidades necesarias para realizar las pruebas de seguridad, el ejecutivo dijo que el simple hecho de estar al tanto de los riesgos potenciales asociados a todos los componentes de un sistema IoT puede ayudarles a implementar sistemas IoT de una manera más segura.
"Al pensar en las piezas que componen el ecosistema, las compañías más pequeñas pueden identificar maneras apropiadas de mitigar los riesgos de su ambiente particular siguiendo las mejores prácticas y mandando políticas y procesos específicos", dijo Heiland, agregando que es raro que solo una pieza tenga una vulnerabilidad.
Para desarrollar un proceso de prueba eficaz, las organizaciones deben primero entender la estructura de un ecosistema típico de IoT, aprender las metodologías generales de prueba de los sistemas IoT, y estar familiarizados con vulnerabilidades comunes en sistemas IoT, dijo.
Aunque Heiland cree que un proceso eficaz de pruebas de seguridad es esencial y debería implementarse lo antes posible, también siente que los temores de seguridad alrededor de IoT han sido exagerados.
"A corto plazo, hay ciertamente el gran riesgo para la vida y las extremidades como algunos han sugerido, pero conforme los sistemas de IoT se vuelven más comunes, especialmente en la salud y los vehículos privados, tenemos que construir la forma en que se acercan a la seguridad", dijo.
Heiland describió muchos de los problemas de seguridad que se están descubriendo actualmente en los sistemas IoT como "típicos dolores de crecimiento", asociados con cualquier nueva tecnología.
La gran diferencia con IoT, sin embargo, es que los volúmenes involucrados son mucho mayores que nunca. Se espera que el número de dispositivos y sistemas de IoT crezca rápidamente en los próximos años, e IoT se encontrará probablemente en casi todas las áreas de la vida en un futuro no muy lejano.
"Hay desafíos de seguridad, al igual que con cualquier tecnología, pero no es el fin del mundo porque hay soluciones a la vuelta de la esquina en las que la industria está trabajando", dijo Heiland.
Mecanismos eficaces de parchado
Él cree que los mecanismos y los procesos eficaces de parchado son quizás la manera mejor y más rápida de resolver muchos de los riesgos de seguridad en sistemas de IoT, particularmente una vez que los sistemas se han aplicado.
"La mayoría de las vulnerabilidades que yo y otros hemos encontrado siguen casi el mismo patrón", dijo. "Son típicamente cosas que podrían haber sido resueltas fácilmente y que deberían haber sido captadas en las pruebas para que nunca llegaran al mercado en primer lugar".
Un proceso de prueba eficaz se desharía de todos los riesgos de seguridad comunes, de fácil resolución, lo que permitiría a los investigadores concentrarse en encontrar riesgos más complejos, menos obvios, más difíciles de encontrar, dijo.
"Los investigadores de seguridad quieren profundizar sin perder tiempo encontrando todas las cosas simples que un buen proceso de prueba encontrará, para que puedan encontrar las cosas más difíciles, para hacer los sistemas y dispositivos IoT aún más seguros", dijo Heiland.
Por último, dijo que las organizaciones necesitan asegurarse de que tienen un sistema de escaneo eficaz instalado para permitirles identificar cualquier dispositivo IoT deshonesto o no autorizado que puede estar conectado a la red de la empresa, para que puedan evaluar y mitigar cualquier riesgo asociado.