Cómo mejorar la seguridad de los entornos IoT

Los dispositivos del Internet de las Cosas (IoT por su acrónimo en inglés) nos permiten explorar nuevos servicios y ampliar los horizontes de adquisición de datos a niveles sin precedentes. Estos pequeños (y no tan pequeños) dispositivos son capaces de recopilar datos de diversa índole y transmitirlos al exterior, sea a una red privada, pública, o a un servicio en la Nube.

Esta característica esencial de dispositivos conectados es su principal punto fuerte, pero también su principal desventaja. Para entender el sentido en que esto puede ser una desventaja, hemos de dar algunos datos. Algunas estimaciones indican que existirán alrededor de 29.000 millones de dispositivos conectados para 2022, de los cuales alrededor de 18.000 millones estarán relacionados con IoT; otras, más optimistas, señalan unos 75.000 millones de dispositivos IoT en 2025.

Dentro de los dispositivos conectados disponemos de una amplísima variedad de opciones, desde las más avanzadas como, por ejemplo, los asistentes personales por voz o los smart lock, hasta las más simples como los termostatos o las bombillas inteligentes.

Los dispositivos más avanzados cuentan con software de seguridad también avanzado y son sistemas relativamente seguros ante un ciberataque. Al contrario, los dispositivos menos avanzados, como la bombilla del ejemplo, pueden ser dispositivos sin capacidad de contrarrestar una intrusión, o ni tan siquiera de detectarla. Estos dispositivos, que además son los más numerosos, suponen un riesgo muy importante para la seguridad.

El enorme potencial que promete el IoT es comparable con un aumento proporcional de las amenazas de seguridad. A medida que dependamos cada vez más de esta nueva conectividad, la seguridad, confiabilidad y resistencia de datos e infraestructura adquieren una importancia crítica.

El problema de partida en la seguridad IoT

La mayoría de los dispositivos IoT habituales son de muy pequeñas dimensiones. Estos dispositivos cuentan con software escrito en lenguajes informáticos comunes y eficientes como C o C++, lo cual deriva en el primer problema potencial: los errores de programación más habituales, como las fugas de memoria o las vulnerabilidades por desbordamiento de búfer.

Esto es tan solo el principio del problema y, aunque existen diferentes soluciones para deshabilitar los dispositivos en caso de, por ejemplo, un desbordamiento de búfer, no todos los dispositivos las implementan.

La complejidad del asunto estriba, por otro lado, en el control del acceso a los dispositivos a través de las redes. Controlar el acceso dentro de un entorno de IoT es uno de los mayores desafíos de seguridad que enfrentan las empresas al conectar activos, productos y dispositivos.

Además, no solo hemos de considerar la seguridad intrínseca de cada dispositivo, ni la seguridad de la red y el control de accesos, sino que hemos de valorar la figura del proveedor de servicios. Las organizaciones contratan servicios a todo tipo de proveedores y, en algunos casos, esos servicios se prestan a través de equipos que se ubican en las instalaciones del cliente (y existe una gran posibilidad de que sean dispositivos conectados y, por lo tanto, vulnerables a intrusiones). Y si los servicios están en la Nube, también hemos de preocuparnos por sus principales retos de seguridad.

Recomendaciones de seguridad IoT

1. Garantizar la seguridad de los dispositivos a través de testing. Existen diferentes herramientas de test en el mercado para examinar los dispositivos conectados y emitir un veredicto en cuanto a su seguridad.
2. Garantizar el control de acceso. Las empresas y organizaciones deben, en primer lugar, identificar los comportamientos y actividades que se consideran aceptables desde y hacia los dispositivos conectados en el entorno IoT. Posteriormente, han de implementarse controles que tengan en cuenta todo esto, pero que a la vez no interfieran en los procesos.
3. Informarse de la seguridad de los dispositivos de los proveedores. Debe estar bien claro quién es responsable de las actualizaciones y del ciclo de vida del equipo, así como si se tendrá acceso (y quién) a él en caso de un incidente. Esto es crítico en algunos casos, en los que un contrato no especifica cuándo el cliente puede solicitar una actualización de dispositivo que el proveedor podría no estar dispuesto a asumir. En ese caso, se podría estar permitiendo que un dispositivo vulnerable y no compatible permanezca en la red más tiempo del que debería.
4. Defenderse ante la suplantación de identidad en dispositivos IoT es uno de los peligros más evidentes de los entornos IoT. Si un atacante es capaz de tomar el control de un dispositivo, por inocente y aparentemente inofensivo que sea, tendrá a su alcance toda la red. Por tanto, la defensa contra suplantación de la identidad es uno de los puntos en que más fuerte ha de ser la organización. Los dispositivos IoT deberían tener una identidad única para evitar los riesgos de falsificación desde el nivel de microcontrolador hasta las aplicaciones y la capa de transporte.
5. Permitir conexiones en un único sentido. Los dispositivos IoT no deberían ser capaces de establecer nuevas conexiones. De esta manera, aunque esto no impide que un atacante tome el control del dispositivo, sí que limitaría su capacidad para “saltar” a otros dispositivos más críticos.
6. Utilizar una red segregada. Una buena manera de mejorar la seguridad de los dispositivos IoT es que utilicen una red segregada de la red empresarial, de manera que el control sobre las comunicaciones sea todavía mayor y más fácil de concretar.