Como media se reciben en una organización 16.937 alertas a la semana a través de controles de seguridad y de ellas el 19% son ables. smartphone, tablets, PCs, smart-watch, smart-gafas, smart- electrodomésticos, etc.) como nodos sensores (formados por hardware, sistema operativo, cliente de poco peso) como lectores de sensores, GPS, giróscopos, video-vigilancia, audio- vigilancia, etc. En esta capa se pueden identi car diferentes módulos: servicios de comunicación (para la comunicación los nodos sensor y los usuarios nales), servicios de localización, gestión de servicios, AAA (autenticación, autorización y regis- tro/accountability), gestión sobrecargas y agente de la nube (para la comunicación con la nube). Ciberseguridad-privacidad en fog-computing Según OWASP (Open Web Application Security Project) los principales puntos de vulnerabilidad y super cies de ataque en entornos IoT/IIoT con su vinculación a fog-computing son: 1. Inseguridad Web. Identi cación, autenticación, auto- rización y trazabilidad insu ciente, con dencialidad, integridad y disponibilidad de ciente. En este entorno se deberían implantar medidas de protección de datos e caces. 2. Problemas de privacidad, ecosistema de nube no seguro, ecosistema de movilidad no seguro, carencia de cifrado-esteganografía en el transporte de información y servicios de red no seguros. En este entorno se debería implantar medidas de protección de red incluso contra el análisis de trá co cifrado. 3. Software- rmware no seguro. En este entorno se debería implantar medidas de protección en software y en r- mware (auditoría estáticas y dinámicas de diseño, código, con guración e implementación). 4. Seguridad física/hardware de ciente. En este entorno se deberían implantar medidas de protección a nivel de dis- positivo y tecnología PUF anti-falsi cación. Todo modelo de amenazas de ne las amenazas que tienen que ser con- sideradas y aquellas que no. Un ataque es una instancia de una amenaza, que viola las propiedades de seguridad de un sistema (como con dencialidad, integridad, disponi- bilidad, autenticación, no repudio, trazabilidad, frescura de información, control de acceso, etc.). Se debe tener siempre presente el costo en relación al bene cio a la hora de implantar medidas de seguridad. Una política de seguridad especi ca qué o quién puede acceder a qué recurso bajo qué condiciones. Los mecanismos de seguri- dad sirven para implementar las políticas de seguridad. El responsable de mantener las políticas de seguridad es el componente trusted (de con anza). La con anza (trust) debe estar en la raíz del hardware (esta- blecido en el encendido del sistema en base a hardware root-of-trust extensible a chain-of-trust). Fidedigno es aquello diseñado para ser seguro. TCB (Trusted Computing Base) es el hardware, software, rmware y componentes de red que deben ser tanto correctos como no corrompibles para poder asegurar que la política de seguridad no se viole. TEE (Trusted Execution Environment) es un área segura de almacenamiento de proce- sador que garantiza que el código y los datos allí localizados se encuentren protegidos (por ejemplo, respecto a con den- cialidad, integridad, disponibilidad, etc.). AAA es sinónimo de control de acceso que a su vez integra: 1. Identi cación (¿quién es Vd.?), autenticación (demuestre que Vd. es quien dice ser). Autentica humano a máquina y máquina a máquina. La autenticación debería ser multi- factor (lo que uno sabe, lo que uno transporta, lo que uno es biometría humana PUF hardware, ¿dónde se encuen- tra?, ¿qué hora es?) y mutua entre las dos entidades. 2. Autorización (¿qué se le permite hacer a Vd.?) signi ca quién puede hacer qué cosas (operaciones, acciones, tareas, etc.) a qué objeto. 3. Accountability, signi ca trazabilidad y registro de todas las acciones y operaciones que realiza toda entidad, sujeto o principal. La privacidad es el derecho a decidir cómo se utilizará la información de uno (aquí se integra el anonimato, la no geolo- calización, la no revelación de secretos, la no revelación de lo que se hace con los datos, etc.). Privacidad no es lo mismo que con dencialidad (a la con dencialidad sólo le preocupa preve- nir la revelación no autorizada de información, por ejemplo, la tecnología VPN (Virtual Private Network) no protege la privaci- dad al dejar en texto en claro las direcciones origen y destino). La privacidad es una propiedad de los datos y se construye por encima de la seguridad. Tecnologías de vanguardia para la defensa de fog-computing Las tecnologías denominadas por Gartner como platafor- mas distribuidas de engaño o DDP (Deception Distributed Platforms) son una de las herramientas de vanguardia de cara a defenderse contra atacantes cada vez más so sticados, con más recursos y dotados de un arsenal de armas de ciberataque inconmensurable. Las tecnologías de engaño se caracterizan por el uso de señuelos, falsedades, avatares virtualizados de desorientación, tutores my-me caóticos y/o trucos diseñados para protegerse contra procesos cognitivos del atacante, trastornar-interrumpir-frustrar las herramientas automati- zadas del atacante, retardar las actividades del atacante o trastornar la progresión de una penetración/brecha. 54<< INVESTIGACIÓN