Krypton Solid

Krypton Solid

La última tecnología en raciones de 5 minutos

Maneras de mejorar la seguridad de IoT

El Internet de las cosas (IoT) es omnipresente, es increíble, es conveniente. Pero con la proliferación de esta tecnología viene una cantidad cada vez mayor de exposición al riesgo. Hoy en día, con múltiples vectores de ataque a su disposición, los ciberdelincuentes tienen amplias oportunidades junto con tácticas y métodos ingeniosos. Por lo tanto, no debería sorprender por qué los dispositivos IoT no seguros son susceptibles de piratería.

Según un informe elaborado por F-segurolos ataques a través de dispositivos IoT aumentaron un 300 % solo en 2019.

El mundo de IoT ha crecido exponencialmente y en consecuencia Gartnerhabrá 25 mil millones de dispositivos conectados a Internet para 2021, lo que representa un aumento masivo en la superficie de ataque de IoT.

La seguridad comienza con el desarrollo del producto

¿Por qué hay tantos problemas de seguridad en torno a los dispositivos IoT y cuáles son los pasos sencillos que podemos seguir para mejorar la seguridad de estos dispositivos? Creo que la respuesta a estas preguntas se encuentra en las diferentes etapas del desarrollo del producto.

Hay muchas etapas en un proyecto y, según la metodología seguida (por ejemplo, cascada, espiral o Agile), las etapas pueden incluir una variedad de requisitos, análisis, diseño, codificación, implementación, prueba, implementación y mantenimiento. Hay oportunidades para mejorar la seguridad en cada etapa del desarrollo.

Entonces, ¿cómo ayuda un proyecto a proteger nuestra red doméstica y las redes más amplias que encontramos en cafeterías, aeropuertos y la sociedad en general de la amenaza potencial de dispositivos IoT no seguros?

Conforme Networkworld.com, algunos de los pasos necesarios para mejorar la seguridad de IoT implican garantizar que se hayan realizado pruebas de seguridad adecuadas del código fuente, que se hayan implementado controles de acceso seguro y que se cumpla el nivel correcto de estándar de seguridad. Técnicas simples pero a menudo pasadas por alto, como la segregación de redes, ayudan a limitar el riesgo.

Creo que la responsabilidad de la seguridad recae en dos áreas distintas:

  • Fabricantes: Los fabricantes de dispositivos IoT deben brindar comodidad con seguridad integrada en el corazón del diseño y seguir la metodología «Secure by Design». Aseguran que se han realizado las siguientes pruebas de seguridad contra el código/firmware de la aplicación antes de su comercialización.

  • Usuarios finales – Ya sea que el consumidor sea un usuario comercial o doméstico, en el hogar, las medidas de seguridad no pueden terminar con el fabricante. (Lea también: Directamente de los expertos: cómo limitar el riesgo de IoT en el lugar de trabajo).

Pruebas de seguridad del código

Como puede imaginar, la cantidad de código en una aplicación o firmware puede variar considerablemente, desde unas pocas líneas hasta miles de líneas de código. Como tal, es antieconómico y una pérdida considerable de recursos de personal realizar una revisión manual del código en este nivel.

CONTENIDO RELACIONADO  Ratón para juegos Shogun Bros. Ballista MK-1 ajusta DPI como un ábaco (práctico)

Prueba manual

Las pruebas manuales implican la revisión del código, la revisión del código por pares o el envío. Estas técnicas son el acto de unirse de manera consciente y sistemática con otros programadores para verificar el código de los demás en busca de errores, y se ha demostrado repetidamente que aceleran y simplifican el proceso de desarrollo de software.

El segundo par de ojos es el requisito de que dos personas aprueben algo antes de que se pueda actuar en consecuencia. El principio de los cuatro ojos a veces se denomina la regla de los dos hombres o la regla de las dos personas, y encaja con la práctica de seguridad del control dual.

Pruebas automáticas

Las pruebas automatizadas aceleran activamente todo el proceso de pruebas de seguridad y se realizan a través de una aplicación estática (caja blanca) o un método dinámico (caja negra).

  • Las pruebas de seguridad de aplicaciones estáticas (SAST), también conocidas como «pruebas de caja blanca», existen desde hace más de una década. Permite a los desarrolladores encontrar vulnerabilidades de seguridad en el código fuente de la aplicación antes en el ciclo de vida del desarrollo de software.
  • La prueba dinámica de seguridad de aplicaciones (DAST) es un método de prueba de caja negra que examina una aplicación mientras se ejecuta para encontrar vulnerabilidades que un atacante podría explotar.

Las pruebas automatizadas garantizan que las pruebas se realicen de acuerdo con los requisitos de cumplimiento, como los establecidos por el Instituto Nacional de Tecnología de Estándares (NIST), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPPA) y los Estándares de Seguridad de Datos de la Industria de Tarjetas de Crédito. PCI-DSS).

El análisis de seguridad detecta vulnerabilidades como las enumeradas en Los 10 mejores de OWASP IoTinclusivo:

  • Contraseñas débiles, fáciles de adivinar o cifradas.
  • Falta de un mecanismo de actualización seguro.
  • Uso de componentes antiguos.
  • Protección de privacidad insuficiente.

Vale la pena señalar que, históricamente, las revisiones de código automatizadas se han dejado fuera de un proyecto debido al costo o simplemente no se han considerado un requisito.

Implementación de controles de acceso seguros

Conforme Revista internacional de informática y seguridad de la información:

“El mecanismo de control de acceso y autenticación de dispositivos también es un problema de seguridad importante en IoT. Los problemas de autenticación y control de acceso en IoT se deben a la gran cantidad de dispositivos y a la naturaleza de comunicación de máquina a máquina (M2M) de IoT”.

Tradicionalmente, los fabricantes de dispositivos IoT han implementado protocolos propietarios para adaptarse al tipo de uso de un dispositivo en particular. Debido a esto, existe una falta de interoperabilidad entre los tipos de dispositivos y los diferentes tipos de pasarelas de conexión actualmente en uso. (Lea también: 6 consejos para asegurar un dispositivo IoT).

CONTENIDO RELACIONADO  Microsoft CamGraph: una máquina de aprendizaje automático para grandes conjuntos de datos

Las redes separadas aseguran que un solo dispositivo o conjunto de dispositivos permanezca aislado de otras redes no relacionadas. La segregación en un entorno comercial se logra mediante el uso de redes de área local virtuales (VLAN). Se puede implementar, por ejemplo, en un conmutador de red empresarial y con la asistencia y el cumplimiento de un conjunto de reglas de firewall, lo que garantiza que el dispositivo aún se pueda usar para el propósito previsto, pero de manera segura.

En casa, aún puede usar redes separadas a través de un enrutador interno compatible con VLAN. Puede conectar sus dispositivos al enrutador de la forma habitual, a través de un cable de red o Wi-Fi.

También debe tomar medidas para dividir su red doméstica en segmentos de red individuales. PC Magazine divide el proceso en 5 pasos básicos para la segmentación de redes.

Cree un conjunto de reglas de firewall que faciliten conexiones VLAN alternativas en su red doméstica. En un nivel básico, puede tener dos o tres redes virtuales o VLAN separadas.

  1. Una red de invitados
  2. Una red privada
  3. Una red IoT

El objetivo de la segmentación es evitar que los dispositivos de una VLAN se comuniquen con los dispositivos de otra VLAN y, al mismo tiempo, permitir un acceso limitado a Internet.

Usar protocolos encriptados

La implementación del cifrado en los dispositivos IoT suele ser más baja y menos segura que en las computadoras. Algunos de los dispositivos usan comunicaciones encriptadas en su configuración original, pero la mayoría usa protocolos web comunes que se comunican a través de Internet en texto sin formato, lo que los hace vulnerables a los piratas informáticos que observan el tráfico de la red para identificar las debilidades.

Como mínimo, todo el tráfico web debe usar HTTPS, seguridad de la capa de transporte (TLS), protocolo de transferencia segura de archivos (SFTP), extensiones de seguridad DNS y otros protocolos de seguridad para las comunicaciones con las estaciones de administración y por Internet. Además, los dispositivos que se conectan a aplicaciones móviles u otras puertas de enlace remotas deben usar protocolos encriptados y encriptar los datos almacenados en unidades flash.

Concienciación del usuario final

Como usuarios de IoT, todos tenemos la responsabilidad de leer el manual, cambiar la contraseña predeterminada y deshabilitar funciones que no pretendemos usar. Hacer estas cosas ayudará a detener posibles violaciones de la privacidad o invasiones de dispositivos conectados a la web, por ejemplo, la capacidad de una persona desconocida para ingresar y escuchar conversaciones en nuestros hogares.

CONTENIDO RELACIONADO  El director de Overwatch, Jeff Kaplan, insinúa el próximo soporte de subtítulos

El IoT interno debe ser fácil de usar, fácil de configurar y, al mismo tiempo, estar protegido contra todo el tráfico entrante malicioso. Queremos ser plug & play, sí, pero también ser capaces de proporcionar un buen estándar de seguridad, protegidos de cualquiera de esas molestias que existen en Internet. (Lea también: Cómo IoT puede comprometer la seguridad de su hogar).

Antes de comprar mi próximo dispositivo o solución IoT, quiero asegurarme de que sea seguro por diseño. No siempre es posible en algunos casos, especialmente si el producto es una reliquia, además el precio suele ser un factor decisivo para mí.

Sin embargo, no es solo el costo; es si el dispositivo tiene características de seguridad adecuadas como estándar. Si es seguro de forma nativa, esto anularía potencialmente el requisito de segregar mi red doméstica, si ignoramos el enfoque de seguridad en capas, por supuesto.

Algunas de las cosas que debe considerar desde la perspectiva del consumidor: está comprando un producto conocido y confiable, hay mejores versiones disponibles, qué estándares de seguridad están incorporados. Una buena fuente de información para considerar estos puntos es TREND Micro: qué tener en cuenta al comprar un dispositivo inteligente.

Normas de seguridad

Hay un rayo de esperanza en el horizonte en forma de una nueva regulación del Instituto Nacional de Estándares y Tecnología (NIST) dirigida a la seguridad de IoT. En enero de 2020, NIST publicó su segundo borrador de informe «Recomendaciones para los fabricantes de dispositivos IoT: actividades principales y referencia para la capacidad de ciberseguridad de los dispositivos principales», que sustituyó al borrador original «Línea de base para funciones básicas de ciberseguridad para dispositivos IoT seguros». Ambas publicaciones están basadas en el NIST”Consideraciones para gestionar los riesgos de ciberseguridad y privacidad de Internet de las cosas (IoT).”, publicado en junio de 2019.

En lugar de un conjunto de reglas a seguir, presenta una línea de base que proporciona una guía valiosa para promover las mejores prácticas para mitigar los riesgos de seguridad de IoT. (Lea también: IoT Hacking: vulnerabilidades y métodos de prevención).

Conclusión

El mundo de los productos de IoT es amplio y, en ocasiones, puede parecer abrumador, especialmente cuando intenta comprar de manera inteligente. Sin embargo, puede reducir su alcance preguntándose estas cosas y aplicando los siguientes criterios a su búsqueda:

  • ¿Dónde usará el dispositivo?

  • ¿Qué características estás buscando?

  • ¿Cual es tu presupuesto?

  • ¿Es una marca o producto conocido y confiable, recomendado por amigos y familiares?

  • Finalmente, asegúrese de que sea seguro por diseño y cierre cualquier puerta que pueda estar abierta a ataques cibernéticos.

Mi pasión por las palabras ha logrado que trabaje para Krypron Solid. Escribo desde que tengo uso de razón.
Amanda Copywriter
Amanda
Soy aventurero y mochilero, entre viaje y viaje me gano la vida gracias a mis artículos. Ahora trabajo en exclusiva para Krypton.
Adam Copywriter
Adam
Soy diseñador gráfico y copywriter. Adoro de igual manera una composición de colores que una buena narración.
JordiDiseñador y copywriter
Jordi
Anterior
Siguiente

Deja un comentario

También te puede interesar...

Rechaza esas solicitudes de amistad Krypton Solid

Houston Chronicle publicó un artículo interesante esta semana sobre cómo los profesores se conectan con los estudiantes a través de los sitios de redes sociales. Facebook y MySpace son foros realmente excelentes para comunicarse con

Cuidado con las estafas de criptomonedas

Los pensamientos sobre la frontera estadounidense, también conocida como el Lejano Oeste, a menudo evocan visiones de anarquía y expansión hacia nuevos territorios desconocidos. Este período a menudo se caracteriza por la volatilidad, el riesgo,

Marcos Smith | el borde 50

científicos ioan kovac Astrónomo, Centro Harvard-Smithsonian de Astrofísica En marzo, los científicos que trabajan en el Polo Sur hicieron un gran anuncio. Vieron evidencia que respalda un elemento clave de la teoría del Big Bang

La ACCC revisará la declaración de backhaul

La Comisión Australiana de Competencia y Asuntos del Consumidor (ACCC) ha iniciado una investigación para determinar si la declaración del Servicio de Capacidad de Transporte Interno (DTCS) sigue siendo necesaria después de su vencimiento el

Tráiler de Call of Juarez: El Cartel

«Los tiempos han cambiado en el Viejo Oeste y, sin embargo, nada ha cambiado». Si alguna vez quisiste interpretar a un vaquero con un chaleco antibalas y un guardapolvo que olvida lo que sólo dije

Las mejores impresoras de gran formato para 2021

Imprime el tamaño del tabloide … y más Atrás quedaron los días en que las impresoras de gran formato eran el dominio exclusivo de los profesionales gráficos y arquitectos. Si su empresa requiere impresión de

AOL dice que está lista para crecer

Mientras los analistas fijaban la oferta actual de AOL para comprar a su rival por 1.200 millones de dólares, Case emitió un comunicado esperando recibir más servicios. «Con… nuestra continua expansión de nuestra red… la

Revisión del modelo avanzado Razer Blade 15 (2019)

cuando el original hoja de afeitar 15 Aterricé el año pasado, estaba deslumbrado. Con su chasis de aluminio fresado por CNC, biseles ultradelgados y teclado y panel táctil profundamente satisfactorios, finalmente, una poderosa computadora portátil

Valve ha revelado oficialmente Dota Underlords.

Valve ha revelado oficialmente Dota Underlords, su versión independiente de Dota Auto Chess de la que escuchamos rumores por primera vez hace un mes. De hecho, hoy en día se puede jugar para cualquiera que

Definición del presupuesto anual

¿Qué es un presupuesto anual? Un presupuesto anual establece los ingresos y gastos estimados de una empresa durante un período de 12 meses. El proceso de creación de un presupuesto anual implica equilibrar las fuentes