La clave en la ciberseguridad IoT: los dispositivos

4 de febrero de 2021, by Juan Pérez-Bedmar

El dispositivo IoT es, con mucho, el elemento más vulnerable de toda la cadena de seguridad. Y la principal razón es la falta de actualizaciones de su firmware

La ciberseguridad en IoT

La ciberseguridad en IoT es una de las mayores preocupaciones que las empresas de sectores industriales tienen a la hora de afrontar un proyecto o despliegue IoT. Y no es una preocupación carente de fundamento. 

Las empresas están expuestas a multitud de amenazas de ciberseguridad que pueden causarles daños económicos irreparables (si te interesa profundizar en el tema, te recomendamos que te descargues nuestra Guía sobre la Ciberseguridad en el IoT Industrial en el que te contamos con más detalle, entre otras cosas, cuáles son este tipo de ataques) 👇

Guia de Ciberseguridad en el IoT Industrial - Barbara IoT
Descubre el estado de la ciberseguridad en el IoT Industrial, regulación, estándares y buenas prácticas con nuestra guía
 

Pero hablar de la seguridad en IoT es hablar de la ciberseguridad en cada uno de los elementos de su cadena de valor. Y para ello, lo primero es entender cuál es la cadena de valor en IoT. 

Esta cadena no es ni mucho menos algo estándar y en la que todo el mundo coincida. La propia inmadurez del mercado IoT hace que no haya aún un acuerdo en esto. No obstante, sí que hay cierto consenso en cuanto a los tres niveles en los que la cadena de valor de IoT se debe considerar:

Niveles de Ciberseguridad IoT - Barbara IoT
  • El “edge” o plano local: es el nivel más cercano al mundo físico, la “T” en IoT: los dispositivos  Esto incluye tanto el conjunto de sensores y actuadores que interactúan con el mundo físico, como los gateways, concentradores y otros nodos IoT que se comunican localmente con los primeros. (conviene destacar, sin embargo, que el término “edge” no es siempre igualmente entendido en todas las industrias. Esto es especialmente notorio en la industria de las telecomunicaciones, donde el “edge” suele ser literalmente el “borde” de la red, y no un elemento del plano local).  
  • La red de comunicaciones: Es la autopista que conecta los datos desde el plano local al remoto y viceversa. Une el mundo mundo físico con el mundo digital de Internet
  • La nube o plano remoto:  es lo que hace que la “I” en IoT cobre sentido. Recoge, procesa y explota los datos que recibe (aquí es importante resaltar que es muy habitual que parte del procesado e inteligencia sobre los datos locales se haga en el propio “edge” – lo que se conoce como “edge computing”). La nube IoT engloba el conjunto de servidores, bases de datos y plataformas remotas de analítica y visualización que dan sentido y valor a los datos Suele ser además la principal interfaz de comunicación con el humano consumidor de estos datos.

Hablar, pues, de seguridad en IoT es hablar de seguridad en cada uno de estos 3 niveles y todos son importantes para asegurar la integridad de los datos intercambiados y de los sistemas, remotos y locales, implicados.

Tanto Las redes de comunicaciones como los elementos de la nube están tradicionalmente mucho más y mejor protegidos. Y es precisamente por eso por lo que la gran mayoría de ciberataques y amenazas de seguridad se centran en los dispositivos IoT. 

El dispositivo IoT: el eslabón más débil de la cadena de seguridad

El dispositivo IoT es, con mucho, el elemento más vulnerable de toda la cadena de ciberseguridad. Y la principal razón es la falta de actualizaciones de su firmware.

Como usuarios en sectores tan maduros como el de los ordenadores personales y el de la telefonía móvil, estamos más que acostumbrados a recibir notificaciones de nuevas versiones disponibles, parches de seguridad, etc. Esto hace que nuestros smartphones y portátiles estén siempre actualizados y protegidos frente a las últimas vulnerabilidades que hayan ido apareciendo en el mercado. Sin embargo, en el mundo IoT esto dista mucho de ser la norma. 

La mayoría de dispositivos IoT, una vez desplegados en su entorno físico, rara vez son actualizados, lo que eleva tremendamente el riesgo de ser víctima de un ciberataque

Hay, principalmente, dos realidades que explican por qué no se están actualizando los dispositivos IoT de la misma forma que sí lo hacen nuestros teléfonos y ordenadores:

  • La inmadurez del mercado del IoT industrial: el hecho de que estemos en la “adolescencia” del IoT hace que la ciberseguridad no se perciba como una primera necesidad. Si pusiéramos en una especie de pirámide de Maslow todas las necesidades que motivan que una empresa realice un proyecto IoT, hay otras preocupaciones anteriores a la ciberseguridad y que sostienen esa pirámide. Y precisamente ahí radica el problema: preocuparse de la seguridad en IoT cuando ya has desarrollado el proyecto, en lugar de hacerlo desde el diseño, impide que se haga correctamente. 
  • La complejidad de gestionar un entorno distribuido, remoto y tremendamente heterogéneo: El propio concepto de IoT se apoya en la existencia de multitud de “cosas” (things) distribuidas. Poder asegurar la actualización de todos estos dispositivos de manera eficiente y escalable hace que sea imprescindible contar con un sistema seguro de gestión remota. De lo contrario, el coste de tener que actualizar periódicamente los dispositivos IoT de manera local haría inviable cualquier proyecto de cierta envergadura. A esto se añade que la falta de estándares (de iure o de facto) en el desarrollo de dispositivos IoT complica esta gestión, y deja en manos de cada proveedor dar respuesta (o no) a esta necesidad.

Cómo hacer ciberseguros los dispositivos IoT 

No hay nada que sea eternamente ciberseguro, y los dispositivos IoT no son una excepción; es por ello que las claves para asegurar su integridad son, en nuestra opinión, las siguientes:

  1. Utilizar como base soluciones que incluyan la seguridad desde el diseño. La ciberseguridad debe concebirse desde el origen, no como algo adicional o una funcionalidad opcional que se pueda añadir a posteriori
  2. Tener control sobre el ciclo de vida completo de los dispositivos. Esto permite tener la capacidad de actualizar todos los dispositivos IoT de manera eficiente y ágil, y gestionar el funcionamiento de éstos en todo momento. 
  3. Contar con soporte profesional. Tener a alguien que se preocupe de generar los parches de seguridad con la suficiente constancia como para que los dispositivos IoT están debidamente protegidos en todo momento es clave. Es habitual la utilización de software de uso libre que no lleva detrás un mantenimiento asociado, lo que hace muy costoso o directamente inviable proteger los dispositivos IoT en todo momento.

En Barbara IoT creemos en estos principios, y nuestra propuesta de valor se apoya precisamente en ellos. Nuestro sistema operativo, Barbara OS:

  • está creado con la seguridad desde el propio diseño. Se ha creado incluyendo una serie de funcionalidades de seguridad que protegen la integridad de los dispositivos IoT y de los datos que gestionan
  • te permite realizar la gestión del ciclo de vida completo de los dispositivos IoT. A través de un panel de gestión, tienes en todo momento controlados los equipos, puedes cambiar su configuración, actualizarlos
  • se mantiene con actualizaciones periódicas. Nuestro equipo de desarrollo está continuamente integrando no sólo mejoras funcionales sino también todos los parches de seguridad que en cada momento haya disponibles para solventar vulnerabilidades públicas.

Si quieres conocer más sobre el estado de la Ciberseguridad en el IoT industrial, te recomendamos que te descargues nuestra nueva guía rellenando el siguiente formulario

Si buscas desarrollar un proyecto IoT, contáctanos