Asegurando las identidades y protegiendo los datos en la ioT
21 January, 2016
category: Identificación digital, IoT, Seguridad en Internet
Jason Hart, director tecnológico de protección de datos, Gemalto
En un momento dado fueron los teléfonos inteligentes, después fueron las tabletas seguidas de los objetos vestibles, pero este año la innovación más llamativa es la Internet de los Objetos (IoT). En un plano básico, la IoT se refiere a objetos conectados que tienen incorporados sensores, y la capacidad de enviar e intercambiar datos a través de redes inalámbricas. En la reciente feria CES, los ejemplos presentados incluían coches conectados que pueden encender las luces y desbloquear la puerta frontal cuando uno llega a casa, y refrigeradores inteligentes que muestran el calendario de la familia, sugieren recetas y hasta resuelven el viejo problema de que se deje en casa la lista de compras, enviando imágenes a un teléfono inteligente mostrando qué comida hay en el frigorífico.
Los dispositivos de consumo son solo un pequeño segmento del explosivo mercado de la Internet de los Objetos, que se espera crezca hasta 50,000 millones de conexiones para el 2020, de 16,000 millones de conexiones que existen hoy. Las soluciones de grado industrial máquina a máquina (M2M) de IoT están optimizando operaciones y mejorando los resultados para una serie de industrias y soluciones empresariales. Por ejemplo, aumentan los rendimientos agrícolas, en parte gracias al floreciente sector de “agricultura inteligente que utiliza equipos agrícolas conectados para medir los nutrientes del suelo, rastrear ganado, administrar la irrigación de los campos y hasta para mantener a las abejas zumbando y polinando. Los sistemas energéticos inteligentes están mejorando la conservación y optimización de la generación y suministro de electricidad. Además, hay una amplia variedad de soluciones de gestión remota, rastreo y seguimiento, que están optimizando también la manufactura y distribución.
El lado oscuro de IoT
Con todo lo excitante y prometedor que esto resulta, cuando su hogar inteligente está bajo ataque de fuerzas desconocidas, la Internet de los Objetos toma tintes mucho más oscuros. Los temas de seguridad digital y privacidad son una seria preocupación cuando la incidencia de hackeos y violaciones de datos exponen las vulnerabilidades de la IoT. Durante el primer semestre del 2015 hubo más de 880 violaciones de envergadura que comprometieron unos 245 millones de registros de datos. Eso es el equivalente a 16 registros de datos perdidos o robados cada segundo de 1,5 millones por día.
En la carrera por adicionar conectividad IP a los coches, hogares, ciudades y granjas, la seguridad digital en ocasiones ha sido una idea a posteriori. Y no se equivoquen: no faltan hackers que van a explotar cualquier debilidad que descubran. Alenados por una serie de motivaciones, incluyendo fama, fortuna o el simple placer del desafío, los hackers se hacen más sofisticados cada día.
Un partner confiable
Por suerte, los mismos retos que enfrenta actualmente la IoT se han producido con anterioridad. Gemalto ha estado desarrollado soluciones durante décadas para la defensa contra los ataques en industrias sensibles, tales como bancos, salud y gobierno. Los desarrolladores de IoT pueden aprender de estas industrias y resolver la conectividad aprovechando la inteligencia de integradores de sistemas informáticos que defienden contra los ataques en todos los frentes y actualizan continuamente la arquitectura de seguridad cuando surge una nueva amenaza.
La seguridad por diseño es esencial
Se dice que “el problema está en el detalle” y esto es más que cierto en lo tocante a la seguridad en la Internet de los Objetos. Así como nadie construiría una casa sin cimientos, el diseño de la solución de IoT debe comenzar con la arquitectura inteligente de seguridad como la base de la confianza en el dispositivo, los datos, la red y el ecosistema. La seguridad debe ser diseñada en los inicios de los proyectos de desarrollo en todo el ecosistema IoT, y no agregada como una idea de último momento.
Los siguientes cinco principios directivos de la seguridad de datos pueden ayudar a los desarrolladores cuando inician sus proyectos de diseño y desarrollo de IoT:
- Confidencialidad – Asegurar que los datos son confidenciales en todo el ecosistema y que el acceso está limitado exclusivamente a las partes interesadas autorizadas
- Integridad – Garantizar la integridad de los datos, manteniendo y asegurando la exactitud y consistencia de los datos durante todo su ciclo de vida. Este es un aspecto crítico del diseño, la implementación y uso, porque los ataques contra la integridad son difíciles de identificar y los hackers pueden alterar los datos que se emplean para tomar decisiones críticas en los negocios.
- Disponibilidad – El diseño de la solución debe asegurar que los datos estén disponibles fácilmente a los niveles requeridos en todas las situaciones, incluso cuando prevalecen condiciones difíciles con la red inalámbrica
- Responsabilidad – Asegurar que los usuarios de los sistemas en todo el ecosistema sean responsables por los datos que producen y las acciones que tomen
- Auditabilidad – Diseñar sistemas que proporcionen una pista clara y transparente de auditoría que dé evidencias de que los datos son exactos
- Evaluación de riesgo y pruebas de hackeo
Los desarrolladores deben trabajar con partners de seguridad experimentados y confiables para conocer, identificar y comprender todas las vulnerabilidades potenciales de los sistemas. Una evaluación temprana y amplia de los riesgos, es crítica para implementar la arquitectura de seguridad en todo el ecosistema de dispositivos conectados – desde los componentes de hardware que permiten la conectividad hasta el software que opera en el dispositivo, los canales de comunicación que emplea y las plataformas de nube que alojan aplicaciones. De la misma forma en que nos apoyamos en las pruebas de choque para verificar la seguridad de un vehículo, los partners de seguridad digital pueden realizar ‘pruebas de hackeo’ de seguridad que establezcan de manera confiable que un determinado producto es seguro y protegido para su uso. Estas mejores prácticas ayudan a proteger el dispositivo, la red y los datos que están en reposo y en movimiento.
Identidades de confianza: una consideración importante
A diferencia de los dispositivos de consumo que están conectados a un usuario único con una estructura tradicional de identidad, los dispositivos IoT tienen múltiples identidades. Cada una de ellas tiene que ser asegurada y autenticada con el fin de proteger todo el ecosistema.
Las soluciones IoT tienen que estar en capacidad de autenticar la identidad de un dispositivo, como puede ser un tractor inteligente conectado junto con el granjero que lo está utilizando, y los demás elementos del ecosistema agrícola inteligente con los que se comunica el tractor – el sistema de nube del fabricante del tractor, el sistema inteligente de riego, el iPad del granjero. En otras palabras, el tractor inteligente necesita autenticar de forma automática y segura que el sistema de riego es el que es y no un atacante malicioso que intenta alterar los rendimientos de las cosechas con fines de beneficio personal respecto a los productos que se comercializan en el mercado.
Las mejores prácticas para soluciones seguras de IoT
Con décadas de experiencia en prácticamente todos los mercados verticales IoT, Gemalto ha desarrollado las mejores prácticas comprobadas en el terreno para proteger el dispositivo, la nube, el canal de comunicación y el ecosistema. La siguiente estrategia para implementar puntos de confianza de extremo a extremo y contramedidas, incluyendo elementos de hardware y software, puede ayudar a mitigar las amenazas y defender los datos si y cuando ocurren ataques.
- Proteger el dispositivo – Implementar soluciones de hardware a prueba de manipulación y software seguro para proteger el dispositivo. Por ejemplo, se implementan elementos seguros (SE) embebidos para adicionar una capa de protección digital y física contra la intrusión y para almacenar las credenciales y los datos del dispositivo en una plataforma dedicada y segura.
- Encriptar y firmar digitalmente el software operativo para protegerlo contra ataques. ¡El software encriptado es inútil sin que haya claves y una firma electrónica que garanticen que solamente un software validado opere en el dispositivo IoT!
- Implementar soluciones de software con encriptación y autenticación fuerte para garantizar la integridad, y que solamente personas y aplicaciones autorizadas reciban acceso a la infraestructura de solución IoT.
- Gestionar de forma segura las claves de encriptación para proteger los datos y gestionar el acceso a los sistemas conectados.
- Proteger contra ataques durante todo el ciclo de vida del dispositivo mediante el empleo de una plataforma dedicada interoperable para implementar actualizaciones de seguridad y lanzar nuevas aplicaciones por aire sin impactar otro software embebido.
La “era de la revolución IoT” ha arribado y nuestro mundo se transforma rápidamente en un lugar donde la conectividad omnipresente provee el potencial para mejorar grandemente la forma en que vivimos, trabajamos y jugamos. Los ataques cibernéticos son inevitables. Sin embargo, podemos defendernos contra ellos y proteger la privacidad de los datos mediante el diseño de la arquitectura de seguridad cuando se inician los proyectos de desarrollo y se gestiona todo el ecosistema de confianza, desde los márgenes hasta el núcleo central, protegiendo aquello que importa, donde importa y cuando importa.