La clave de la ciberseguridad del IoT está en los dispositivos

Ciberseguridad del IoT

La ciberseguridad de IoT es una de las mayores preocupaciones que tienen las empresas de los sectores industriales a la hora de abordar un proyecto o despliegue de IoT. Y no es una preocupación infundada.

Las empresas están expuestas a multitud de amenazas de ciberseguridad que pueden causar daños económicos irreparables (si te interesa profundizar en el tema, te recomendamos que te descargues nuestra Guía de Ciberseguridad en el IoT Industrial en la que te contamos con más detalle, entre otras cosas, en qué consisten este tipo de ataques)

Descubra el estado de la ciberseguridad del IoT industrial, la normativa, los estándares y las mejores prácticas con nuestra guía.

DESCARGAR

Pero hablar de seguridad de Io T es hablar de ciberseguridad en cada uno de los elementos de su cadena de valor. Y para ello, lo primero que hay que hacer es entender qué es la cadena de valor de IoT.

Esta cadena está lejos de ser un estándar y algo en lo que todo el mundo esté de acuerdo. La propia inmadurez del mercado de la IO hace que aún no haya acuerdo al respecto. Sin embargo, existe cierto consenso sobre los tres niveles en los que debe considerarse la cadena de valor de la IO:

- El "borde" o plano local: es el nivel más cercano al mundo físico, la "T" de IoT: los dispositivos. Incluye tanto el conjunto de sensores y actuadores que interactúan con el mundo físico, como las pasarelas, hubs y otros nodos de IoT que se comunican localmente con el primero. (No obstante, hay que señalar que el término "borde" no siempre se entiende igual en todos los sectores. Esto es especialmente notable en la industria de las telecomunicaciones, donde el "borde" es a menudo literalmente el "borde" de la red, en lugar de un elemento del plano local).  

- La red de comunicaciones: Es la autopista que conecta los datos del plano local al remoto y viceversa. Enlaza el mundo físico con el mundo digital de Internet.

- La nube o plano remoto: es lo que hace que la "I" de IoT tenga sentido. Recoge, procesa y explota los datos que recibe (aquí es importante señalar que es muy habitual que parte del procesamiento y la inteligencia de los datos locales se realice en el borde -lo que se conoce como "edge computing"-). La nube del IoT engloba el conjunto de servidores, bases de datos y plataformas remotas de análisis y visualización que dan sentido y valor a los datos. Suele ser también la principal interfaz de comunicación con el consumidor humano de estos datos.

Hablar de seguridad en el IoT es, por tanto, hablar de seguridad en cada uno de estos 3 niveles y todos son importantes para garantizar la integridad de los datos intercambiados y de los sistemas, remotos y locales, implicados.

Tanto las redes de comunicaciones como los elementos de la nube están tradicionalmente mucho más y mejor protegidos. Y es precisamente por eso que la gran mayoría de los ciberataques y amenazas a la seguridad se centran en los dispositivos IoT.

El dispositivo IoT: el eslabón más débil de la cadena de ciberseguridad IoT

El dispositivo IoT es, con diferencia, el elemento más vulnerable de toda la cadena de ciberseguridad. Y la razón principal es la falta de actualizaciones de su firmware.

Como usuarios de sectores tan maduros como la informática personal y la telefonía móvil, estamos más que acostumbrados a recibir notificaciones de nuevas versiones disponibles, parches de seguridad, etc. Esto hace que nuestros smartphones y portátiles estén siempre actualizados y protegidos contra las últimas vulnerabilidades que han ido apareciendo en el mercado. Sin embargo, en el mundo del IoT esto dista mucho de ser la norma.

La mayoría de los dispositivos IoT, una vez desplegados en su entorno físico, rara vez se actualizan, lo que aumenta enormemente el riesgo de ser víctima de un ciberataque.

‍

Hay principalmente dos realidades que explican por qué los dispositivos IoT no se actualizan de la misma manera que nuestros teléfonos y ordenadores:

• La inmadurez del IoT industrial mercado: el hecho de que estemos en la "adolescencia" de IoT hace que la ciberseguridad no se perciba como una necesidad primaria. Si pusiéramos todas las necesidades que motivan a una empresa a emprender un proyecto de IoT en una especie de pirámide de Maslow, hay otras preocupaciones que están por encima de la ciberseguridad y que sustentan esta pirámide. Y precisamente ahí radica el problema: preocuparse por la seguridad IoT cuando ya se ha desarrollado el proyecto, en lugar de hacerlo desde la fase de diseño, impide que se haga correctamente.
• La complejidad de gestionar un entorno distribuido, remoto y tremendamente heterogéneo: El propio concepto de IoT se basa en la existencia de multitud de "cosas" distribuidas. Poder asegurar la actualización de todos estos dispositivos de forma eficiente y escalable hace imprescindible contar con un sistema de gestión remota seguro. De lo contrario, el coste de tener que actualizar periódicamente los dispositivos IoT de forma local haría inviable cualquier proyecto de cierta envergadura. Además, la falta de estándares (de iure o de facto) en el desarrollo de los dispositivos IoT complica esta gestión, y deja en manos de cada proveedor la respuesta (o no) a esta necesidad.
• Soporte profesional. Contar con alguien que se preocupe por generar parches de seguridad con la suficiente consistencia para que los dispositivos IoT estén correctamente protegidos en todo momento es clave. Es habitual utilizar software libre que no tiene mantenimiento asociado, lo que hace muy costoso o incluso inviable proteger los dispositivos IoT en todo momento.

Ciberseguridad de Bárbara e IoT

En Barbara IoT creemos en estos principios, y nuestra propuesta de valor se basa en ellos. Nuestro sistema operativo, Barbara OS:

• se crea con el seguridad desde el principio. Se ha creado incluyendo una serie de características de seguridad que protegen la integridad de los dispositivos IoT y los datos que gestionan.
• le permite realizar la gestión completa del ciclo de vida de los dispositivos IoT. A través de un panel de gestión, tendrás en todo momento controlados los equipos, podrás cambiar su configuración, actualizarlos
• se mantiene con actualizaciones periódicas. Nuestro equipo de desarrollo integra continuamente no sólo las mejoras funcionales, sino también todos los parches de seguridad que están disponibles en cada momento para resolver las vulnerabilidades públicas.

Si quieres saber más sobre el estado de la Ciberseguridad en el IoT industrial, te recomendamos que te descargues nuestra nueva guía

‍