Tecnología Info Tecnología

Comprendiendo los retos y las mejores prácticas de seguridad IoT para evitar vulnerabilidades

Protección de aplicaciones IoT en la nueva era de la industria

Srinivas Bhattiprolu, senior director en Nokia Software

19/12/2019

El Internet de las Cosas (IoT, por sus siglas en inglés) se ha convertido en una de las tendencias más extendidas y, probablemente la más promocionada, tanto en el mundo de los negocios como de la tecnología. Está transformando el panorama de los negocios tal como lo conocíamos hasta ahora, y se calcula que para el año 2030 habrá unos 50.000 millones de cosas interconectadas. Estas cosas incluyen desde objetos funcionales, como los frigoríficos, hasta coches y hogares conectados, y mucho más. Ni que decir tiene que el IoT tendrá un impacto económico tremendo, transformando las organizaciones en empresas digitales y desarrollando nuevos modelos de negocio que mejorarán la productividad y la experiencia de los clientes.

No obstante, las formas en las que las grandes empresas pueden materializar sus beneficios son muy diversas y, en algunos casos, laboriosas, ya que el Internet de las cosas está introduciendo un amplio espectro de riesgos relacionados con la seguridad y la privacidad en el ecosistema IoT. Para más inri, la seguridad del IoT requiere unas competencias que superan las de los responsables de TI tradicionales, al implicar sobre todo la gestión de dispositivos físicos, más que de activos puramente virtuales. Estudios de Gartner señalan que para 2020, más del 25 % de los ataques identificados afectarán al IoT, mientras que las partidas presupuestarias actuales para la seguridad del IoT son realmente insignificantes.

Srinivas Bhattiprolu, senior director en Nokia Software
Srinivas Bhattiprolu, senior director en Nokia Software.

Con unas previsiones acerca del IoT que proyectan oportunidades por valor de casi 2,25 billones de dólares para 2025(1), todas las organizaciones se preparan para aprovechar las ventajas de ese enorme potencial y, por supuesto, los proveedores de servicios y comunicaciones quieren estar en primera línea. Sin embargo, son muy pocas las organizaciones que está centradas en la implementación de un marco holístico de seguridad que cubra todos los flancos de sus ofertas IoT.

La urgencia de asegurar las aplicaciones IoT

En las primeras etapas, las soluciones IoT consiguieron salir del paso incorporando la seguridad como cuestión complementaria. Este enfoque ya no se sostiene, pues ahora el IoT forma parte de las ofertas habituales y se está introduciendo en sistemas de misión crítica. A modo de ilustración, los incidentes con cámaras SecurView de Trendnet, con los dispositivos cardíacos de St. Jude y el del Jeep Cherokee muestran ataques al IoT realizados con éxito, así como las importantes consecuencias que han tenido tanto a nivel financiero como para la reputación de las empresas, llegando incluso a amenazar en algunas ocasiones la vida de personas.

Desde una perspectiva de seguridad, una estructura IoT distribuida geográficamente requiere la comunicación de datos, lo que ya de por sí tiene riesgos de seguridad asociados: confidencialidad, integridad y disponibilidad, conocidos también como la Triada CIA (por sus siglas en inglés: Confidentiality, Integrity y Availability). La diversidad de tecnologías inmersas en un sistema IoT supone por tanto un potencial para la aparición de nuevas vulnerabilidades. Para asegurar un sistema IoT extremo a extremo, es necesario abordar las vulnerabilidades y brechas de seguridad de forma simultánea con componentes individuales y en todo el sistema, incluidos los elementos humanos. Ello exige una comprensión total de la arquitectura de un sistema IoT, la funcionalidad asumida por los componentes, los datos y el flujo de control a través de los sistemas implicados.

Hacer una solución IoT completamente segura resulta imposible. No obstante, conocer las posibles vulnerabilidades de las distintas capas y sus correspondientes vectores de ataque, junto con la adopción de las mejores prácticas, puede realmente reforzar la posición de seguridad de las soluciones IoT.

Posibles vulnerabilidades y vectores de ataque

Los sistemas IoT tienden a ser sofisticados y heterogéneos, e incluyen múltiples niveles, tecnologías, ubicaciones de implementación, fabricantes de equipos, APIs y mucho más. Desde el punto de vista de la seguridad, los sistemas IoT extremo a extremo tienen numerosas vulnerabilidades en muy diferentes estratos, donde los múltiples componentes son objeto de ataques específicos.

A continuación, se incluye un resumen de posibles vulnerabilidades y los ataques correspondientes que pueden afectar a los distintos componentes.

Capa Vulnerabilidades posibles Vectores de ataque
Física
  • Dispositivos huérfanos
  • Manipulación física en unidades MMU (Malfunction Management Units)
Dispositivo del IoT
  • Implementación simplista de varias pilas
  • Control de excepciones y validación de entradas inadecuadas
  • Exposición a internet directa y excesiva
  • Inyección de comandos
  • Inclusión de dispositivos en botnets
  • Malware
  • Ataques relacionados con certificados y claves en clientes

Comunicación inalámbrica local

  • Uso de protocolos que no son IP y enlaces de datos locales, que son menos seguros
  • Intrusión
  • Intermediarios (MitM, Man in the Middle)
  • Apropiación
  • Redireccionamiento
  • Inyección de comandos
Puertas de enlace del IoT
  • Deficiencias en bibliotecas de software
  • Credenciales en riesgo
  • Inclusión en botnets
Redes
  • Corrupción en transporte
  • Explosión en plataformas de enrutadores IP
  • Ataques a gran escala dirigidos a servidores de contenido y redes de enrutadores
  • Ataques de intrusión
  • Ataques de envenenamiento de datos
  • Ataques de planos de datos/control de enrutadores
  • Ataques de DDoS volumétricos
Servidor de aplicaciones en la nube
  • Potencial de suplantaciones
  • Denegación de servicio
  • Intrusión
  • Apropiación
Aplicaciones
  • Robo de credenciales
  • Malware
  • Phishing (Suplantación)/Suplantación con objetivo definido
Otros/Sistema completo
  • Vulnerabilidades del software intermedio (middleware)
  • Vulnerabilidades de API
  • Negligencias humanas
  • Malware específico IoT
  • Manipulación de datos

Existen miles de vectores, así que se pueden realizar ataques con intervención humana y sin ella. Además, en el caso del IoT la escala de la infección se esparce a gran velocidad y sus ramificaciones negativas son aún más pronunciadas. Existen, por ejemplo, varios softwares maliciosos dirigidos y enfocados a explotar las vulnerabilidades a través de los distintos niveles de una solución IoT.

Adopción de las mejores prácticas

Las amenazas y vulnerabilidades son múltiples y por ahora no existe ningún método infalible de protección del IoT. Sin embargo, las empresas y organizaciones pueden implementar unas cuantas prácticas recomendadas que ayudan a proteger la seguridad de las ofertas IoT, como se indica a continuación.

Elemento Descripción
Control de inventarios y acceso físico
  • Supervisar los dispositivos IoT incluidos la configuración inicial, la monitorización y la retirada de servicio del software abandonado
  • Proteger el acceso físico

Mantenimiento al día de los sistemas y refuerzo de la protección de dispositivos

  • Tener actualizados los sistemas operativos y controladores de dispositivos con las últimas versiones
  • Actualizar e instalar revisiones y parches en dispositivos con regularidad
Garantizar que la infraestructura de enrutamiento IP es sólida y resistente
  • Elegir plataformas de enrutadores que sean 'seguras por diseño' y con características incorporadas de hardware que ayuden a asegurar el entorno de enrutamiento
Monitorización del tráfico IoT de salida y lateral
  • Monitorizar los dispositivos IoT para detectar comportamientos anormales e identificar automáticamente dispositivos maltintencionados

Segmentación del tráfico IoT

  • Mantener el tráfico IoT separado de otros segmentos de la red para limitar la exposición a la distribución de software malicioso
Detección y limpieza en tiempo real, y auditorías frecuentes
  • Auditar la infraestructura IoT de forma continua
  • Actuar en tiempo real
Mejores prácticas con aplicaciones IoT
  • Seguir estándares criptográficos homologados
  • Realizar análisis de código estático para identificar problemas comunes de codificación
  • Proteger credenciales
  • Utilizar las últimas técnicas desarrolladas para la seguridad IoT, como los análisis multidimensionales y la IA

IoT es ya un punto de inflexión en expansión, que está entrando rápidamente en áreas de misión crítica, en especial con la llegada inminente del 5G. Los aspectos relacionados con la seguridad y privacidad van a obstaculizar la adopción del IoT y su crecimiento, por lo que las empresas deben implementar medidas de seguridad sólidas que alivien tales recelos. Por su parte, los gobiernos deben abordar el desarrollo de normas y reglamentos unificados para la seguridad del IoT, que a día de hoy no existen, y los académicos ocuparse de asegurar el aprendizaje necesario de todas las partes interesadas y de aumentar la investigación centrada en la seguridad del IoT.

En resumen, para reforzar la confianza en el IoT, todas las partes interesadas deben aunar esfuerzos con el objetivo de hacer de la seguridad IoT un imperativo y un punto crucial de integración en sus operaciones.

(1)Machina Research 2016; Nokia Corporate Strategy 2016-2025 CAGR

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos

REVISTAS

NEWSLETTERS

  • Newsletter Seguridad

    17/09/2024

  • Newsletter Seguridad

    10/09/2024

ÚLTIMAS NOTICIAS

OPINIÓN

SERVICIOS