Seguridad TI: IoT o la multiplicación del caos que ya conocemos

Una de las cosas que se han podido ver después del reciente ataque de Wannacry, es que su efectividad se basó en aprovechar una vulnerabilidad de Windows, reportada por Microsoft en Marzo y para la que existía un parche publicado.

Si el gigante Microsoft, con todos sus canales de comercialización y comunicación no ha sido capaz de hacer que equipos profesionales de Ciberseguridad de grandes empresas neutralizaran esa vulnerabilidad, imaginemos lo que puede llegar a ser la explosión de dispositivos conectados que se dirigen no solo a mercados profesionales, si no también al de consumo.

Principales riesgos de IoT

Coches conectados y autónomos, neveras que compran solas, botones de Amazon para pedir items individuales, dispositivos que nos escuchan y nos ven, sensores de parámetros de salud y otros que ya están o que están por venir, aparentemente simplificarán mucho nuestra vida y nos harán la vida mucho más sencilla.  Dejando aparte que el cerebro y los músculos son órganos que si no entrenan se atrofian, (y aquí cada uno que saque las conclusiones que considere oportunas respecto a algunos efectos que ya estamos viendo en las generaciones más jóvenes), podemos imaginar los riesgos que se plantean en cuanto a Seguridad y Privacidad.  Imaginemos que para el año 2022 se esperan al menos 1.800 millones de dispositivos conectados, muchos de ellos en áreas de Gobierno, Administración Pública o infraestructuras críticas.

IoT y Seguridad: Retos

El problema principal está en que las reglas que han venido aplicando hasta ahora ya no son válidas. En su origen, Internet se crea como un entorno abierto de compartición donde todo el mundo podía colaborar bajo las premisas de confianza mutua. Ahora mismo, ese entorno se ha convertido en hostil, y la seguridad es no sólo la principal preocupación de todos los implicados, sino el principal factor que determinará su éxito. 

La única forma de considerar la seguridad en el mundo IoT es hacerlo considerando la cadena de valor en su conjunto:  Empezando por los dispositivos, la red, las plataformas de gestión, control y análisis, las aplicaciones y los servicios.  Cualquier otro enfoque abrirá posibilidades de ataque de consecuencias imprevisibles.

Varios son los retos específicos de la seguridad en el entorno IoT

  • ¿Como garantizar la seguridad de millones de dispositivos?
  • ¿Cómo gestionar las actualizaciones de software y la protección de vulnerabilidades?
  • ¿Cómo definir nueva regulación o cumplir con la vigente?
  • ¿Como plantear la Ciberseguridad y Ciberdefensa en dispositivos que pueden plantean riesgos físicos, y no sólo lógicos, como coches, compuertas o dispositivos médicos?

El principal problema de IoT es que se manejan millones de dispositivos, sin interfaz de usuarios y que además no permiten una pre-configuración individual, ya que los costes del modelo de negocio no lo permitirían. 

Conclusión

Por tanto, la única opción que permite dar respuesta a todos estos retos (y muchos más que se plantean) es incluir la privacidad, la seguridad y la confidencialidad desde la fase de diseño de todas y cada una de las etapas de la cadena de valor.

Esto se consigue, por una parte, aplicando metodologías y  criterios de diseño de calidad del software que garanticen la ausencia de vulnerabilidades y puertas traseras, así como un control, actualización y gestión sencillos y automáticos. Por otra estableciendo aplicaciones de seguridad Over the Top, que garanticen la privacidad y confidencialidad de los datos en todos los momento del servicio: obtención, transmisión, tratamiento y almacenamiento.

Solo generando en todos los actores implicados la confianza suficiente en los sistemas IoT, podrán establecerse modelos de negocio rentables y masivos.