La clave de la ciberseguridad del IoT está en los dispositivos

Ciberseguridad del IoT

La ciberseguridad del IoT es una de las mayores preocupaciones que tienen las empresas de los sectores industriales a la hora de abordar un proyecto o despliegue de IoT. Y no es una preocupación infundada.

Las empresas están expuestas a una multitud de amenazas de ciberseguridad que pueden causar daños económicos irreparables (si está interesado en profundizar en el tema, le recomendamos que descargue nuestra Guía de Ciberseguridad en el IoT Industrial en la que le contamos con más detalle, entre otras cosas, qué son este tipo de ataques).

Descubra el estado de la ciberseguridad del IoT industrial, la regulación, los estándares y las mejores prácticas con nuestra guía.

DESCARGAR

Pero hablar de seguridad del IoT es hablar de ciberseguridad en cada uno de los elementos de su cadena de valor. Y para ello, lo primero que hay que hacer es comprender cuál es la cadena de valor del IoT.

Esta cadena dista mucho de ser estándar y algo en lo que todo el mundo esté de acuerdo. La propia inmadurez del mercado de IoT significa que todavía no hay acuerdo al respecto. Sin embargo, existe cierto consenso sobre los tres niveles en los que debe considerarse la cadena de valor de IoT:

- El "Edge" o plano local: este es el nivel más cercano al mundo físico, la "T" en IoT: los dispositivos. Esto incluye tanto el conjunto de sensores y actuadores que interactúan con el mundo físico, como los gateways, hubs y otros nodos IoT que se comunican localmente con los primeros. (Cabe señalar, sin embargo, que el término "edge" no siempre se entiende de la misma manera en todos los sectores. Esto es especialmente notable en la industria de las telecomunicaciones, donde el "edge" es a menudo, literalmente, el "borde" de la red, en lugar de un elemento del plano local).  

- La red de comunicaciones: Es la autopista que conecta los datos desde el plano local al remoto y viceversa. Vincula el mundo físico con el mundo digital de Internet.

- La nube o plano remoto: esto es lo que hace que la "I" en IoT tenga sentido. Recopila, procesa y explota los datos que recibe (aquí es importante tener en cuenta que es muy común que parte del procesamiento y la inteligencia de los datos locales se realicen en el edge, lo que se conoce como "edge computing"). La nube IoT abarca el conjunto de servidores, bases de datos y plataformas remotas de análisis y visualización que dan significado y valor a los datos. Por lo general, también es la principal interfaz de comunicación con el consumidor humano de estos datos.

Hablar de seguridad en IoT es, por tanto, hablar de seguridad en cada uno de estos 3 niveles, y todos son importantes para garantizar la integridad de los datos intercambiados y de los sistemas, remotos y locales, implicados.

Tanto las redes de comunicaciones como los elementos de la nube están tradicionalmente mucho más y mejor protegidos. Y esa es precisamente la razón por la que la gran mayoría de los ciberataques y las amenazas de seguridad se centran en los dispositivos IoT.

El dispositivo IoT: el eslabón más débil de la cadena de ciberseguridad IoT

El dispositivo IoT es, con diferencia, el elemento más vulnerable de toda la cadena de ciberseguridad. Y la razón principal es la falta de actualizaciones de su firmware.

Como usuarios de sectores tan maduros como los ordenadores personales y la telefonía móvil, estamos más que acostumbrados a recibir notificaciones de nuevas versiones disponibles, parches de seguridad, etc. Esto significa que nuestros smartphones y portátiles están siempre al día y protegidos contra las últimas vulnerabilidades que han ido apareciendo en el mercado. Sin embargo, en el mundo del IoT esto dista mucho de ser la norma.

La mayoría de los dispositivos IoT, una vez desplegados en su entorno físico, rara vez se actualizan, lo que aumenta considerablemente el riesgo de ser víctima de un ciberataque.

‍

Hay principalmente dos realidades que explican por qué los dispositivos IoT no se están actualizando de la misma manera que nuestros teléfonos y ordenadores:

• La inmadurez del mercado de IoT industrial: el hecho de que estemos en la "adolescencia" del IoT significa que la ciberseguridad no se percibe como una necesidad primaria. Si tuviéramos que poner todas las necesidades que motivan a una empresa a emprender un proyecto de IoT en una especie de pirámide de Maslow, hay otras preocupaciones que se anteponen a la ciberseguridad y que sustentan esta pirámide. Y precisamente ahí radica el problema: preocuparse por la seguridad del IoT cuando ya se ha desarrollado el proyecto, en lugar de hacerlo desde la fase de diseño, impide que se haga correctamente.
• La complejidad de gestionar un entorno distribuido, remoto y tremendamente heterogéneo: El concepto mismo de IoT se basa en la existencia de una multitud de "cosas" distribuidas. Ser capaz de asegurar la actualización de todos estos dispositivos de una manera eficiente y escalable hace que sea esencial contar con un sistema de gestión remota seguro. De lo contrario, el coste de tener que actualizar periódicamente los dispositivos IoT de forma local haría inviable cualquier proyecto de cierto tamaño. Además, la falta de estándares (de jure o de facto) en el desarrollo de dispositivos IoT complica esta gestión y deja en manos de cada proveedor responder (o no) a esta necesidad.
• Soporte profesional. Es fundamental contar con alguien que se preocupe por generar parches de seguridad con la suficiente consistencia para que los dispositivos IoT estén debidamente protegidos en todo momento. Es común utilizar software libre que no tiene mantenimiento asociado, lo que hace que proteger los dispositivos IoT en todo momento sea muy costoso o incluso inviable.

Barbara y la ciberseguridad del IoT

En Barbara IoT creemos en estos principios, y nuestra propuesta de valor se basa en ellos. Nuestro sistema operativo, Barbara OS:

• se crea con la seguridad desde cero. Se ha creado incluyendo una serie de características de seguridad que protegen la integridad de los dispositivos IoT y los datos que gestionan.
• le permite realizar la gestión del ciclo de vida completa gestión del ciclo de vida de los dispositivos IoT. A través de un panel de gestión, tiene en todo momento el equipo controlado, puede cambiar su configuración, actualizarlos
• se mantiene con actualizaciones periódicas. Nuestro equipo de desarrollo está integrando continuamente no solo mejoras funcionales, sino también todos los parches de seguridad que están disponibles en cualquier momento para resolver vulnerabilidades públicas.

Si desea saber más sobre el estado de la Ciberseguridad en el IoT industrial, le recomendamos que descargue nuestra nueva guía.

‍