El Internet de las cosas (IoT) es omnipresente, es increíble, es conveniente. Pero con la proliferación de esta tecnología viene una cantidad cada vez mayor de exposición al riesgo. Hoy en día, con múltiples vectores de ataque a su disposición, los ciberdelincuentes tienen amplias oportunidades junto con tácticas y métodos ingeniosos. Por lo tanto, no debería sorprender por qué los dispositivos IoT no seguros son susceptibles de piratería.
Según un informe elaborado por F-segurolos ataques a través de dispositivos IoT aumentaron un 300 % solo en 2019.
El mundo de IoT ha crecido exponencialmente y en consecuencia Gartnerhabrá 25 mil millones de dispositivos conectados a Internet para 2021, lo que representa un aumento masivo en la superficie de ataque de IoT.
La seguridad comienza con el desarrollo del producto
¿Por qué hay tantos problemas de seguridad en torno a los dispositivos IoT y cuáles son los pasos sencillos que podemos seguir para mejorar la seguridad de estos dispositivos? Creo que la respuesta a estas preguntas se encuentra en las diferentes etapas del desarrollo del producto.
Hay muchas etapas en un proyecto y, según la metodología seguida (por ejemplo, cascada, espiral o Agile), las etapas pueden incluir una variedad de requisitos, análisis, diseño, codificación, implementación, prueba, implementación y mantenimiento. Hay oportunidades para mejorar la seguridad en cada etapa del desarrollo.
Entonces, ¿cómo ayuda un proyecto a proteger nuestra red doméstica y las redes más amplias que encontramos en cafeterías, aeropuertos y la sociedad en general de la amenaza potencial de dispositivos IoT no seguros?
Conforme Networkworld.com, algunos de los pasos necesarios para mejorar la seguridad de IoT implican garantizar que se hayan realizado pruebas de seguridad adecuadas del código fuente, que se hayan implementado controles de acceso seguro y que se cumpla el nivel correcto de estándar de seguridad. Técnicas simples pero a menudo pasadas por alto, como la segregación de redes, ayudan a limitar el riesgo.
Creo que la responsabilidad de la seguridad recae en dos áreas distintas:
-
Fabricantes: Los fabricantes de dispositivos IoT deben brindar comodidad con seguridad integrada en el corazón del diseño y seguir la metodología «Secure by Design». Aseguran que se han realizado las siguientes pruebas de seguridad contra el código/firmware de la aplicación antes de su comercialización.
-
Usuarios finales – Ya sea que el consumidor sea un usuario comercial o doméstico, en el hogar, las medidas de seguridad no pueden terminar con el fabricante. (Lea también: Directamente de los expertos: cómo limitar el riesgo de IoT en el lugar de trabajo).
Pruebas de seguridad del código
Como puede imaginar, la cantidad de código en una aplicación o firmware puede variar considerablemente, desde unas pocas líneas hasta miles de líneas de código. Como tal, es antieconómico y una pérdida considerable de recursos de personal realizar una revisión manual del código en este nivel.
Prueba manual
Las pruebas manuales implican la revisión del código, la revisión del código por pares o el envío. Estas técnicas son el acto de unirse de manera consciente y sistemática con otros programadores para verificar el código de los demás en busca de errores, y se ha demostrado repetidamente que aceleran y simplifican el proceso de desarrollo de software.
El segundo par de ojos es el requisito de que dos personas aprueben algo antes de que se pueda actuar en consecuencia. El principio de los cuatro ojos a veces se denomina la regla de los dos hombres o la regla de las dos personas, y encaja con la práctica de seguridad del control dual.
Pruebas automáticas
Las pruebas automatizadas aceleran activamente todo el proceso de pruebas de seguridad y se realizan a través de una aplicación estática (caja blanca) o un método dinámico (caja negra).
- Las pruebas de seguridad de aplicaciones estáticas (SAST), también conocidas como «pruebas de caja blanca», existen desde hace más de una década. Permite a los desarrolladores encontrar vulnerabilidades de seguridad en el código fuente de la aplicación antes en el ciclo de vida del desarrollo de software.
- La prueba dinámica de seguridad de aplicaciones (DAST) es un método de prueba de caja negra que examina una aplicación mientras se ejecuta para encontrar vulnerabilidades que un atacante podría explotar.
Las pruebas automatizadas garantizan que las pruebas se realicen de acuerdo con los requisitos de cumplimiento, como los establecidos por el Instituto Nacional de Tecnología de Estándares (NIST), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPPA) y los Estándares de Seguridad de Datos de la Industria de Tarjetas de Crédito. PCI-DSS).
El análisis de seguridad detecta vulnerabilidades como las enumeradas en Los 10 mejores de OWASP IoTinclusivo:
- Contraseñas débiles, fáciles de adivinar o cifradas.
- Falta de un mecanismo de actualización seguro.
- Uso de componentes antiguos.
- Protección de privacidad insuficiente.
Vale la pena señalar que, históricamente, las revisiones de código automatizadas se han dejado fuera de un proyecto debido al costo o simplemente no se han considerado un requisito.
Implementación de controles de acceso seguros
Conforme Revista internacional de informática y seguridad de la información:
“El mecanismo de control de acceso y autenticación de dispositivos también es un problema de seguridad importante en IoT. Los problemas de autenticación y control de acceso en IoT se deben a la gran cantidad de dispositivos y a la naturaleza de comunicación de máquina a máquina (M2M) de IoT”.
Tradicionalmente, los fabricantes de dispositivos IoT han implementado protocolos propietarios para adaptarse al tipo de uso de un dispositivo en particular. Debido a esto, existe una falta de interoperabilidad entre los tipos de dispositivos y los diferentes tipos de pasarelas de conexión actualmente en uso. (Lea también: 6 consejos para asegurar un dispositivo IoT).
Las redes separadas aseguran que un solo dispositivo o conjunto de dispositivos permanezca aislado de otras redes no relacionadas. La segregación en un entorno comercial se logra mediante el uso de redes de área local virtuales (VLAN). Se puede implementar, por ejemplo, en un conmutador de red empresarial y con la asistencia y el cumplimiento de un conjunto de reglas de firewall, lo que garantiza que el dispositivo aún se pueda usar para el propósito previsto, pero de manera segura.
En casa, aún puede usar redes separadas a través de un enrutador interno compatible con VLAN. Puede conectar sus dispositivos al enrutador de la forma habitual, a través de un cable de red o Wi-Fi.
También debe tomar medidas para dividir su red doméstica en segmentos de red individuales. PC Magazine divide el proceso en 5 pasos básicos para la segmentación de redes.
Cree un conjunto de reglas de firewall que faciliten conexiones VLAN alternativas en su red doméstica. En un nivel básico, puede tener dos o tres redes virtuales o VLAN separadas.
- Una red de invitados
- Una red privada
- Una red IoT
El objetivo de la segmentación es evitar que los dispositivos de una VLAN se comuniquen con los dispositivos de otra VLAN y, al mismo tiempo, permitir un acceso limitado a Internet.
Usar protocolos encriptados
La implementación del cifrado en los dispositivos IoT suele ser más baja y menos segura que en las computadoras. Algunos de los dispositivos usan comunicaciones encriptadas en su configuración original, pero la mayoría usa protocolos web comunes que se comunican a través de Internet en texto sin formato, lo que los hace vulnerables a los piratas informáticos que observan el tráfico de la red para identificar las debilidades.
Como mínimo, todo el tráfico web debe usar HTTPS, seguridad de la capa de transporte (TLS), protocolo de transferencia segura de archivos (SFTP), extensiones de seguridad DNS y otros protocolos de seguridad para las comunicaciones con las estaciones de administración y por Internet. Además, los dispositivos que se conectan a aplicaciones móviles u otras puertas de enlace remotas deben usar protocolos encriptados y encriptar los datos almacenados en unidades flash.
Concienciación del usuario final
Como usuarios de IoT, todos tenemos la responsabilidad de leer el manual, cambiar la contraseña predeterminada y deshabilitar funciones que no pretendemos usar. Hacer estas cosas ayudará a detener posibles violaciones de la privacidad o invasiones de dispositivos conectados a la web, por ejemplo, la capacidad de una persona desconocida para ingresar y escuchar conversaciones en nuestros hogares.
El IoT interno debe ser fácil de usar, fácil de configurar y, al mismo tiempo, estar protegido contra todo el tráfico entrante malicioso. Queremos ser plug & play, sí, pero también ser capaces de proporcionar un buen estándar de seguridad, protegidos de cualquiera de esas molestias que existen en Internet. (Lea también: Cómo IoT puede comprometer la seguridad de su hogar).
Antes de comprar mi próximo dispositivo o solución IoT, quiero asegurarme de que sea seguro por diseño. No siempre es posible en algunos casos, especialmente si el producto es una reliquia, además el precio suele ser un factor decisivo para mí.
Sin embargo, no es solo el costo; es si el dispositivo tiene características de seguridad adecuadas como estándar. Si es seguro de forma nativa, esto anularía potencialmente el requisito de segregar mi red doméstica, si ignoramos el enfoque de seguridad en capas, por supuesto.
Algunas de las cosas que debe considerar desde la perspectiva del consumidor: está comprando un producto conocido y confiable, hay mejores versiones disponibles, qué estándares de seguridad están incorporados. Una buena fuente de información para considerar estos puntos es TREND Micro: qué tener en cuenta al comprar un dispositivo inteligente.
Normas de seguridad
Hay un rayo de esperanza en el horizonte en forma de una nueva regulación del Instituto Nacional de Estándares y Tecnología (NIST) dirigida a la seguridad de IoT. En enero de 2020, NIST publicó su segundo borrador de informe «Recomendaciones para los fabricantes de dispositivos IoT: actividades principales y referencia para la capacidad de ciberseguridad de los dispositivos principales», que sustituyó al borrador original «Línea de base para funciones básicas de ciberseguridad para dispositivos IoT seguros». Ambas publicaciones están basadas en el NIST”Consideraciones para gestionar los riesgos de ciberseguridad y privacidad de Internet de las cosas (IoT).”, publicado en junio de 2019.
En lugar de un conjunto de reglas a seguir, presenta una línea de base que proporciona una guía valiosa para promover las mejores prácticas para mitigar los riesgos de seguridad de IoT. (Lea también: IoT Hacking: vulnerabilidades y métodos de prevención).
Conclusión
El mundo de los productos de IoT es amplio y, en ocasiones, puede parecer abrumador, especialmente cuando intenta comprar de manera inteligente. Sin embargo, puede reducir su alcance preguntándose estas cosas y aplicando los siguientes criterios a su búsqueda:
-
¿Dónde usará el dispositivo?
-
¿Qué características estás buscando?
-
¿Cual es tu presupuesto?
-
¿Es una marca o producto conocido y confiable, recomendado por amigos y familiares?
-
Finalmente, asegúrese de que sea seguro por diseño y cierre cualquier puerta que pueda estar abierta a ataques cibernéticos.