El Internet de las Cosas (IoT) sigue siendo un concepto en transformación, pero ya está aquí – con más de 6.5 Billones de dispositivos en 2016 – y con una previsión de llegar a más de 50 Billones en 2020. Esto levanta una preocupación legítima sobre la seguridad que nos proporciona las siguientes reflexiones.
Personalmente prefiero hacer una diferenciación definitoria desde el inicio, entre el IoT común y el IoT Industrial (IIoT), que nos va a ayudar tener un tratamiento diferente de la seguridad; porque, aunque las amenazas se parecen en gran medida, debido al valor diferente de los activos y las implicaciones, los riesgos de seguridad son diferentes y las defensas igualmente tienen que ser diferentes.
El IoT común nos envuelve e impacta a todos, incorporando sistemas que hemos considerado tradicionalmente “inteligentes” – ordenadores, móviles, tabletas – y “menos inteligentes” –juguetes, cámaras IP, Smart TV y Smart Fridges –, hasta dispositivos críticos para nuestra vida – los coches inteligentes, pero también los dispositivos clínicos que mejoran nuestra vida. Las amenazas y los ataques recientes como el bot Mirai nos han demostrado como de vulnerables somos frente a un uso malintencionado de “las cosas” para impactar nuestra vida, y por desgracia es solo el inicio. El nivel de sofisticación y la profundidad de estos ataques queda lejos de lo que pasa en el mundo de los ordenadores, servidores y datacenters, donde ya hablamos de Crimeware as a Service, de una “industrialización” de los ataques, y de cíber-armas; mientras tanto en los ataques sobre IoT aún estamos en un estado artesanal, que no durara mucho porque la sofisticación, complexidad y automatización no van a tardar en aparecer.
Para asegurar nuestra vida y experiencia digital ya tenemos herramientas, pero es esencial considerar que, como cada vez que hablamos de la seguridad, hablamos de un conjunto de tecnologías, procedimientos/prácticas y conocimientos:
A. Tecnologías: Han aparecido ya varios productos dirigiéndose a la seguridad del IoT y con ellos han aparecido ya los análisis comparativos (como los de PC World, Top 10 Reviews o Tom’s Hardware). Mi recomendación seria buscar productos que:
– puedan hacer un “inventario” de los dispositivos conectados de un entorno definido (casa, oficina, o dentro de la misma red) y les asignan una identidad digital para “reconocerlos” y autorizarlos;
– aseguren la gestión de vulnerabilidades a través de escaneos periódicos y de comprobación con bases de vulnerabilidades y con parches de los fabricantes, asegurando también la seguridad del proceso de patch management – uno de los ataques clásicos es a través de falsas actualizaciones;
– contengan rutinas de detección de intrusos;
– incorporen medidas de seguridad en la capa de aplicación, como la detección de malware especifico y de anomalías de tráfico;
– aseguren trafico encriptado y controles de seguridad en las interfaces de configuración, adquisición y gestión de datos.
B. Prácticas y educación: Las buenas prácticas de seguridad y el sentido común nos pueden ayudar mucho: cambiar las contraseñas por defecto, usar comunicaciones encriptadas si es posible (o autenticación de factor múltiple), suscribirse a los canales oficiales de notificaciones de los fabricantes, hacer escaneos periódicos de vulnerabilidades y solucionar las debilidades encontradas, o contratar servicios especializados de seguridad y gestión (porque mi previsión es que dichos servicios no van a tardar mucho en aparecer), estos serían algunos ejemplos.
En cuanto al IoT Industrial, los controles de tipo arquitecturales y la práctica de airgapping siguen siendo una base fuerte. Pero, por supuesto, se tiene que poner en practica todo un conjunto de medidas de gestión de los riesgos de seguridad, de las que probablemente vamos a hablar en otra ocasión. Hasta entonces, mi mensaje es de confianza: si pensamos en la seguridad desde este estado incipiente, podemos llegar seguramente a un Internet of Secure Things (IoST).
BitDefender
Channel Marketing Manager
