Ha estado con nosotros en alguna forma y bajo diferentes nombres desde hace muchos años
A pesar de que ha estado con nosotros en alguna forma y bajo diferentes nombres desde hace muchos años, el Internet de las Cosas (IoT) es de repente «esa cosa» de la que todos hablan. La capacidad de conectarse, comunicarse y gestionar de forma remota un incalculable número de dispositivos conectados en red y automatizadas a través de Internet se está convirtiendo en omnipresente, desde el suelo de la fábrica a la sala de operaciones de un hospital y hasta el sótano residencial.
La transición de redes cerradas a las redes de IT de las empresas y a la Internet pública se está acelerando a un ritmo alarmante y justamente comienzan a surgir alarmas acerca de la seguridad. Mientras que nos hacemos cada vez más dependientes de los dispositivos inteligentes, interconectados en cada aspecto de nuestras vidas, ¿cómo protegemos potencialmente miles de millones de ellos de las intrusiones y las interferencias que puedan comprometer la privacidad personal o amenazar la seguridad pública?
BUSCANDO LA PANACEA
Como todo aquel que tenga algo que ver con la IOT sabe que, la seguridad es lo más importante
para que las operaciones entre dispositivos IOT conectados sean confiables.
Donde hay menos consenso es en decidir cuál es la mejor manera de implementar la seguridad en IOT’S a nivel de dispositivo, de red y de sistemas. Firewalls y protocolos de red pueden gestionar el tráfico de alto nivel que transita a través de Internet, pero ¿Cómo protegemos de raíz los dispositivos finales que por lo general tienen una misión tan específica y definida como limitada y cuáles son los recursos disponibles para lograrlo?.
Dada la novedad de IOT y el ritmo de innovación de hoy día, parece que hay grandes expectativas generales de que surgirá alguna solución de seguridad totalmente nueva y revolucionaria que se adapte de forma específica a la IOT. Como si pudiéramos comprimir de alguna forma 25 años de evolución en seguridad, adaptándolo al marco en el que los dispositivos de nueva generación estarán disponibles en el mercado.
Desafortunadamente, no existe una «panacea» que pueda mitigar con eficacia cada amenaza cibernética posible. La buena noticia sin embargo, es que los controles de seguridad de IT que están más que probados y evolucionados a lo largo de estos últimos 25 años, pueden ser igualmente eficaces para IOT y pueden ser adaptados a las características singulares de los dispositivos embebidos que formarán parte cada vez más las redes del futuro.
LA EVOLUCIÓN DE LA SEGURIDAD DE RED
La protección de datos ha sido un problema desde los primeros equipos conectados entre sí. Con el comienzo comercial de Internet, los problemas de seguridad se extienden hasta cubrir la intimidad personal, las transacciones financieras, y la amenaza de los delitos cibernéticos. En la IOT, la seguridad es inseparable de la protección de datos. Ya sea accidental o mal intencionada. Una interferencia de un marcapasos con los mandos de un coche, o un reactor nuclear es una amenaza para la vida humana.
Los controles de seguridad han evolucionado en paralelo a la red, desde los primeros cortafuegos de filtrado por paquetes a finales de 1980 hasta el protocolo más sofisticado, software cortafuegos, sistemas de prevención de seguridad y gestión de eventos, etc. Todos estos controles intentaron mantener la actividad maliciosa fuera de las redes corporativas y detectar si pretendían obtener acceso. Si el malware lograba romper un cortafuegos, las técnicas de antivirus basadas en firmas junto a las listas negras, entran en juego para identificar y solucionar el problema.
Más tarde, cuando el universo del malware se expandió, comenzaron a aparecer técnicas más avanzadas para evitar la detección, las listas blancas comenzaron a reemplazar las negras. Del mismo modo, a medida que más dispositivos empezaron a llegar a las redes corporativas, se han desarrollado varios sistemas de control de acceso para autenticar tanto los dispositivos como los usuarios que están detrás de ellos y para autorizar a ciertos usuarios y dispositivos para acciones específicas.
Más recientemente, la autenticidad del software y la protección de la propiedad intelectual dieron lugar a diversas técnicas de verificación de licencias y certificación. Por último, la confidencialidad de los datos siempre ha sido y sigue siendo una preocupación primordial. Los controles para redes (VPN) o la encriptación de medios físicos como 802. 11i (WPA2) o 802. 1AE (MACsec), se desarrollaron para garantizar la seguridad del tráfico de datos.
LAS NUEVAS AMENAZAS, LIMITACIONES Y DESAFÍOS
La aplicación de estas mismas variantes al mundo IoT requiere importantes cambios de reingeniería para hacer frente a las limitaciones de los dispositivos. Las listas negras, por ejemplo, requiere demasiado espacio en disco para ser práctico para las aplicaciones de la IOT. Los dispositivos embebidos están diseñados para un bajo consumo de energía, con un factor de forma pequeño y con frecuencia tienen conectividad limitada. Por lo general tienen sólo la cantidad de procesamiento, capacidad y memoria necesarias para realizar sus tareas. Y son a menudo «headless», es decir, no son operados por un humano que facilite credenciales de autenticación o decidir si una aplicación debe ser de confianza; deben hacer sus propios juicios y decisiones sobre si debe aceptar un comando o ejecutar una tarea.
La infinita variedad de aplicaciones de la IOT plantea una variedad igualmente amplia de desafíos de seguridad.
