Protección de aplicaciones IoT en la nueva era de la industria

El Internet de las Cosas (IoT, por sus siglas en inglés) se ha convertido en una de las tendencias más extendidas y, probablemente la más promocionada, tanto en el mundo de los negocios como de la tecnología. Está transformando el panorama de los negocios tal como lo conocíamos hasta ahora, y se calcula que para el año 2030 habrá unos 50.000 millones de cosas interconectadas. Estas cosas incluyen desde objetos funcionales, como los frigoríficos, hasta coches y hogares conectados, y mucho más. Ni que decir tiene que el IoT tendrá un impacto económico tremendo, transformando las organizaciones en empresas digitales y desarrollando nuevos modelos de negocio que mejorarán la productividad y la experiencia de los clientes.

No obstante, las formas en las que las grandes empresas pueden materializar sus beneficios son muy diversas y, en algunos casos, laboriosas, ya que el Internet de las cosas está introduciendo un amplio espectro de riesgos relacionados con la seguridad y la privacidad en el ecosistema IoT. Para más inri, la seguridad del IoT requiere unas competencias que superan las de los responsables de TI tradicionales, al implicar sobre todo la gestión de dispositivos físicos, más que de activos puramente virtuales. Estudios de Gartner señalan que para 2020, más del 25 % de los ataques identificados afectarán al IoT, mientras que las partidas presupuestarias actuales para la seguridad del IoT son realmente insignificantes.

Con unas previsiones acerca del IoT que proyectan oportunidades por valor de casi 2,25 billones de dólares para 2025⁽¹⁾, todas las organizaciones se preparan para aprovechar las ventajas de ese enorme potencial y, por supuesto, los proveedores de servicios y comunicaciones quieren estar en primera línea. Sin embargo, son muy pocas las organizaciones que está centradas en la implementación de un marco holístico de seguridad que cubra todos los flancos de sus ofertas IoT.

En las primeras etapas, las soluciones IoT consiguieron salir del paso incorporando la seguridad como cuestión complementaria. Este enfoque ya no se sostiene, pues ahora el IoT forma parte de las ofertas habituales y se está introduciendo en sistemas de misión crítica. A modo de ilustración, los incidentes con cámaras SecurView de Trendnet, con los dispositivos cardíacos de St. Jude y el del Jeep Cherokee muestran ataques al IoT realizados con éxito, así como las importantes consecuencias que han tenido tanto a nivel financiero como para la reputación de las empresas, llegando incluso a amenazar en algunas ocasiones la vida de personas.

Desde una perspectiva de seguridad, una estructura IoT distribuida geográficamente requiere la comunicación de datos, lo que ya de por sí tiene riesgos de seguridad asociados: confidencialidad, integridad y disponibilidad, conocidos también como la Triada CIA (por sus siglas en inglés: Confidentiality, Integrity y Availability). La diversidad de tecnologías inmersas en un sistema IoT supone por tanto un potencial para la aparición de nuevas vulnerabilidades. Para asegurar un sistema IoT extremo a extremo, es necesario abordar las vulnerabilidades y brechas de seguridad de forma simultánea con componentes individuales y en todo el sistema, incluidos los elementos humanos. Ello exige una comprensión total de la arquitectura de un sistema IoT, la funcionalidad asumida por los componentes, los datos y el flujo de control a través de los sistemas implicados.

Hacer una solución IoT completamente segura resulta imposible. No obstante, conocer las posibles vulnerabilidades de las distintas capas y sus correspondientes vectores de ataque, junto con la adopción de las mejores prácticas, puede realmente reforzar la posición de seguridad de las soluciones IoT.

Los sistemas IoT tienden a ser sofisticados y heterogéneos, e incluyen múltiples niveles, tecnologías, ubicaciones de implementación, fabricantes de equipos, APIs y mucho más. Desde el punto de vista de la seguridad, los sistemas IoT extremo a extremo tienen numerosas vulnerabilidades en muy diferentes estratos, donde los múltiples componentes son objeto de ataques específicos.

A continuación, se incluye un resumen de posibles vulnerabilidades y los ataques correspondientes que pueden afectar a los distintos componentes.

Existen miles de vectores, así que se pueden realizar ataques con intervención humana y sin ella. Además, en el caso del IoT la escala de la infección se esparce a gran velocidad y sus ramificaciones negativas son aún más pronunciadas. Existen, por ejemplo, varios softwares maliciosos dirigidos y enfocados a explotar las vulnerabilidades a través de los distintos niveles de una solución IoT.

Las amenazas y vulnerabilidades son múltiples y por ahora no existe ningún método infalible de protección del IoT. Sin embargo, las empresas y organizaciones pueden implementar unas cuantas prácticas recomendadas que ayudan a proteger la seguridad de las ofertas IoT, como se indica a continuación.

IoT es ya un punto de inflexión en expansión, que está entrando rápidamente en áreas de misión crítica, en especial con la llegada inminente del 5G. Los aspectos relacionados con la seguridad y privacidad van a obstaculizar la adopción del IoT y su crecimiento, por lo que las empresas deben implementar medidas de seguridad sólidas que alivien tales recelos. Por su parte, los gobiernos deben abordar el desarrollo de normas y reglamentos unificados para la seguridad del IoT, que a día de hoy no existen, y los académicos ocuparse de asegurar el aprendizaje necesario de todas las partes interesadas y de aumentar la investigación centrada en la seguridad del IoT.

En resumen, para reforzar la confianza en el IoT, todas las partes interesadas deben aunar esfuerzos con el objetivo de hacer de la seguridad IoT un imperativo y un punto crucial de integración en sus operaciones.

⁽¹⁾Machina Research 2016; Nokia Corporate Strategy 2016-2025 CAGR