02
octubre
2019

IoT: Internet de las Cosas

iot

El término Internet de las Cosas (IoT: Internet of Things, por sus siglas en inglés), se refiere a entornos en donde la conectividad de red y la capacidad de cómputo se extienden a objetos, sensores y elementos cotidianos que habitualmente no se consideran computadoras, y permiten que estos dispositivos generen, intercambien y consuman datos con una mínima intervención humana.

La IoT incluye productos de consumo, bienes duraderos, automóviles y camiones, componentes utilizados por la industria y los servicios públicos, sensores y muchos otros. Presenta una nueva forma para que los usuarios interactúen con la red, utilizando dispositivos que no se limitan a las computadoras tradicionales o los teléfonos inteligentes.

La naturaleza abierta de Internet crea la capacidad de conectar dispositivos, aplicaciones y servicios a una escala que transforma la manera en que se interactúa con el entorno y la sociedad.

A nivel internacional y con el desarrollo de la tecnología de comunicaciones 5G, se prevé un crecimiento exponencial de servicios alrededor del IoT, que conectarán a millones de nuevos dispositivos entre sí, lo que representa una gran oportunidad para que todos los participantes en este nuevo ecosistema amplíen sus ofertas de servicios y aumenten su base de clientes.

A su vez, dados los miles de millones de dispositivos, aplicaciones y servicios de la IoT que se emplean, y la creciente cantidad de usuarios conectados, la seguridad de la IoT es de suma importancia. Los dispositivos y servicios de la IoT poco seguros pueden servir como puntos de entrada de ciberataques y así comprometer datos confidenciales y amenazar la seguridad de los usuarios individuales.

Los problemas de seguridad son una barrera significativa para el despliegue de muchos servicios nuevos de IoT y, al mismo tiempo, la provisión de conectividad en áreas geográficas cada vez más amplias aumentará la exposición de los servicios IoT al fraude y ataques malintencionados.

Con la evolución de los servicios IoT, se hace cada vez más evidente el interés que los ciberdelincuentes comienzan a mostrar en este entorno, donde en muchas ocasiones, el desarrollo acelerado de nuevos dispositivos deja al descubierto algunas vulnerabilidades de seguridad, que se provechan rápidamente por los atacantes para exponer datos, utilizar el dispositivo para agredir a otros, o causar una interrupción en servicios relacionados con el dispositivo que ha sido comprometido.

Consideraciones de Seguridad para IoT

Existen varios factores que se deben considerar a la hora de abordar la seguridad de la IoT. Estos incluyen:

  • La IoT es un área en evolución que está cambiando aceleradamente, pues con mucha frecuencia se agregan nuevas capacidades y se descubren nuevas vulnerabilidades; de igual manera, se desarrollan mejores prácticas y estándares para su seguridad, por lo que es un tema también en crecimiento, abordado por numerosas organizaciones.
  • La IoT es más que los dispositivos, ya que los sistemas IoT están interconectados y son complejos, e incluyen software, dispositivos, sensores, plataformas y la transmisión de datos a través de Internet, así como el análisis y almacenamiento de datos en la nube. Dado que todas las partes deben estar protegidas, es necesario adoptar un enfoque de seguridad continuo y en capas.
  • La seguridad interna es diferente de la externa, pero ambas son igualmente importantes, lo que se comprende porque un sistema IoT puede ser atacado hacia lo interno, afectando la privacidad y la seguridad de su usuario (por ejemplo: dejando expuesta la transmisión de video, o controlando sistemas hogareños inteligentes). En otro sentido, y hacia lo externo, un sistema de IoT comprometido puede utilizarse para lanzar ataques contra terceros (por ejemplo: emplearlos para formar parte de una botnet utilizada en un ataque de denegación de servicios sobre redes, usuarios o infraestructura). Los sistemas de la IoT se deben asegurar considerando los riesgos para otras redes y usuarios (seguridad externa), y también para sus propios usuarios y activos (seguridad interna).
  • La seguridad de la IoT es una preocupación global, pues la seguridad de una red sobre Internet puede afectar la seguridad de cualquier otra, ya que los sistemas vulnerables de la IoT podrían verse comprometidos desde cualquier lugar y utilizarse para atacar a cualquier objetivo.
  • La seguridad es fundamental desde el diseño de sistemas o dispositivos IoT, ya que es más eficaz cuando se incluye en el proyecto desde su inicio, y forma parte durante todo el proceso hasta la implementación y soporte de los dispositivos; no debe ser agregada a último momento.
  • La seguridad de los sistemas de la IoT es un proceso continuo, lo que se traduce en que requiere mantenimiento en el tiempo, lo que hoy en día es principalmente responsabilidad de los fabricantes y proveedores de servicios; las actualizaciones y parches oportunos, verificables y eficaces son un aspecto crítico, donde los ciclos de vida de los productos y servicios son un componente fundamental.
  • Es importante investigar e informar las vulnerabilidades: quienes investigan en el área de la seguridad desempeñan un papel importante dado que prueban la seguridad de los dispositivos y alertan a los fabricantes y proveedores de servicios sobre las vulnerabilidades descubiertas.
  • Las plataformas de integración de dispositivos de IoT tienen un alto impacto en el mercado, pues permiten controlar una gran cantidad de terminales usando un mismo protocolo e intercambian datos para tomar decisiones utilizando diseños cohesivos para interactuar fácilmente con dispositivos compatibles y simplificar la experiencia de los usuarios, ocultando la complejidad y la escala de la automatización. Su diseño con fuertes requisitos de seguridad impulsa a los fabricantes y proveedores a mejorar consecuentemente la seguridad de sus dispositivos y servicios asociados.

Principales Desafíos

Al abordar la seguridad de la IoT es necesario reconocer múltiples desafíos. Estos incluyen:

  • La economía no favorece la seguridad. Las presiones competitivas por lograr tiempos de comercialización más cortos y productos más baratos llevan a muchos diseñadores y fabricantes de sistemas para la IoT, incluyendo los dispositivos, aplicaciones y servicios, a dedicar menos tiempo y recursos a la seguridad.
  • La seguridad requiere experiencia específica. Los proveedores de dispositivos y servicios que recién ingresan al ecosistema de IoT pueden tener poca o ninguna experiencia previa con la seguridad en Internet (por ejemplo, un fabricante puede saber cómo hacer seguro a un refrigerador para su uso principal, atendiendo el diseño del cableado eléctrico y productos químicos que emplea, pero no comprender el potencial impacto que podría tener el comprometimiento de un refrigerador inteligente).
  • Los sistemas de IoT son complejos y todas las partes deben ser seguras. Puede que diferentes componentes estén bajo el control de distintos actores en disímiles jurisdicciones, lo que dificulta la resolución cooperativa de los problemas de seguridad. La complejidad de las cadenas de suministro significa que evaluar la seguridad es un desafío y requiere que los sistemas estén asegurados como un todo, coordinando entre los diferentes actores y partes del sistema.
  • Debe mantenerse el soporte de la seguridad. Los dispositivos, aplicaciones y servicios relacionados con IoT habitualmente requieren parches de seguridad y actualizaciones para protegerlos contra vulnerabilidades conocidas. La tarea de proveer soporte para IoT a largo plazo es costosa y requiere de muchos recursos por parte de proveedores y desarrolladores, por lo que en ocasiones no se prioriza lo suficiente.
  • Los consumidores saben poco sobre la seguridad de la IoT. En general, el conocimiento que tienen los usuarios de IoT es limitado, lo que afecta su capacidad para incorporar la seguridad en sus hábitos de compra o para configurar y mantener la seguridad de sus sistemas, por lo que sensibilizar y educar a los consumidores son desafíos particularmente importantes.
  • Los mecanismos de responsabilidad legal existentes pueden ser poco claros. Lo anterior genera incertidumbre entre las víctimas a la hora de asignar responsabilidades u obtener una compensación por los daños sufridos. Una responsabilidad clara puede ser un incentivo para una mayor seguridad. En ausencia de regímenes de responsabilidad sólidos, los usuarios son en última instancia quienes pagan el precio de las fallas de seguridad.

Recomendaciones de Seguridad para IoT

Para disminuir los riesgos de que los dispositivos IoT sean atacados es recomendable tener en cuenta una serie de sugerencias:

  • Cambiar las credenciales predeterminadas de los dispositivos IoT, empleando contraseñas robustas.
  • Instalar las actualizaciones de las aplicaciones de los dispositivos IoT tan pronto como estén disponibles, y actualizar su firmware a su última versión.
  • Deshabilitar las características y funcionalidades de los dispositivos IoT que se decida no emplear.
  • Deshabilitar o proteger el acceso remoto a los dispositivos IoT mientras que éste no sea necesario, pues constituye la funcionalidad que permite controlarlos a distancia.
  • Investigar y aprovechar las medidas de seguridad que ofrece propiamente el dispositivo IoT en concreto.

Comprender el creciente impacto que la seguridad de IoT tiene para sus usuarios es fundamental para salvaguardar el futuro de Internet. Los fabricantes de dispositivos para IoT, los proveedores de servicios, los usuarios, las organizaciones de estandarización, los legisladores y los reguladores deberán tomar medidas para protegerse de las amenazas a la infraestructura de Internet.

Construir un ecosistema de IoT seguro que reduzca los riesgos y proteja contra las amenazas, y que a la vez permita desplegar el gran potencial que la IoT ofrece a la sociedad es fundamental, urgente y debe ser una alta prioridad para todos los interesados.