Seguridad del IoT industrial: cómo proteger los dispositivos de borde para minimizar los ciberataques

La seguridad del IoT es una de las mayores preocupaciones para los responsables de la innovación y la transformación digital en las grandes organizaciones. Es especialmente relevante en empresas con activos críticos como la electricidad, los servicios de agua, el transporte, el petróleo y el gas debido a su impacto más allá del negocio.

Ciberseguridad
Escrito por:
Juan Pérez-Bedmar

No se trata de una preocupación infundada, ya que podemos leer en los medios de comunicación, un número creciente de casos de ciberataques sobre plantas industriales inutilizando las infraestructuras o incluso alterando su funcionamiento con el riesgo que ello conlleva.

Fue en 2010, cuando nos familiarizamos por primera vez con la ciberseguridad industrial, cuando Stuxnet un malware descrito por algunos como la primera ciberarma, fue introducido en una central nuclear iraní con el objetivo de retrasar el programa nuclear de Irán. Este malware consiguió controlar las válvulas y los sensores de presión de las centrifugadoras de uranio enriquecido.

En el último año han crecido considerablemente los ciberataques industriales sobre infraestructuras críticas, atacando centrales térmicas, subestaciones eléctricas, plantas de tratamiento de agua o oleoductos como el orquestado recientemente contra Colonial Pipeline o contra una planta de tratamiento de agua en Florida, que suministra agua a una gran población.

Los riesgos de seguridad residen en los dispositivos IoT

El Internet de las Cosas (Io T) es un conjunto de tecnologías que permite vincular el mundo físico con el mundo digital. A través de sensores, actuadores y otros dispositivos denominados IoT , se recoge información de lo que ocurre en el mundo físico y se procesa digitalmente después. Haciendo una analogía con el cuerpo humano, IoT es los sentidos del mundo digital y el primer paso hacia la transformación digital para muchas empresas industriales, que buscan transformar su modelo de negocio mediante la digitalización de los procesos y la explotación de los datos.

El primer paso es recopilar datos. Gracias a los despliegues de IoT, ahora las empresas pueden conectarse a sus equipos industriales y recopilar datos para tomar decisiones informadas. Muchos de estos dispositivos IoT tienen capacidades informáticas avanzadas y pueden operar equipos industriales de forma remota; precisamente por eso es tan importante asegurar adecuadamente estos dispositivos.

Los dispositivos IoT son, sin embargo, el elemento más vulnerable de toda la cadena de ciberseguridad y la razón detrás de ello, es la falta de actualizaciones de firmware.

En sectores maduros como los ordenadores personales y los teléfonos móviles, es muy habitual que los dispositivos reciban notificaciones de nuevas versiones y parches de seguridad, que una vez descargados e instalados, protegen a los smartphones y portátiles contra las últimas vulnerabilidades.

Sin embargo, en el Mundo Industrial esto dista mucho de ser la norma, y es muy común que, una vez desplegados los dispositivos IoT en su entorno físico no se actualicen nunca, lo que aumenta enormemente el riesgo de caer en un ciberataque.

Hay principalmente dos razones por las que los dispositivos IoT no se actualizan de la misma manera que nuestros teléfonos u ordenadores:

1. La inmadurez del mercado del IoT industrial hace que la ciberseguridad no se perciba como una necesidad primaria

Si pusiéramos todas las necesidades que motivan a una empresa a emprender un proyecto de IoT en una especie de pirámide de Maslow, hay otras preocupaciones que vienen antes que la ciberseguridad, y ese es precisamente el gran error. Preocuparse por la seguridad del IoT una vez desarrollado el proyecto, en lugar de hacerlo desde el principio, desde la fase de diseño.

2. La complejidad de gestionar un entorno distribuido, remoto y tremendamente heterogéneo

El propio concepto de IoT se basa en la existencia de una multitud de "cosas" distribuidas. Poder garantizar que todos estos dispositivos puedan ser actualizados de forma eficiente y escalable, hace imprescindible contar con un sistema de gestión remota seguro. De lo contrario, el coste de tener que actualizar periódicamente los dispositivos IoT de forma local haría inviable cualquier proyecto de cierta envergadura.

Además, la falta de estándares en el desarrollo de dispositivos IoT complica esta gestión, y deja en manos de cada proveedor la respuesta (o no) a esta necesidad.

Seguridad del IoT industrial: recomendaciones para proteger los dispositivos de borde del IoT

Las vulnerabilidades más comunes en IoT giran en torno a los siguientes aspectos:

1. El uso de contraseñas débiles o incrustadas

2. Servicios de red inseguros

3.. Uso de interfaces inseguras

4. Falta de mecanismos de actualización

5. Falta de seguridad en el almacenamiento y transferencia de datos

6. Gestión inadecuada de los dispositivos

A la luz de estas vulnerabilidades, organizaciones como OWASP ha publicado en su web las directrices sobre los aspectos a tener en cuenta a la hora de desarrollar soluciones IoT y qué medidas de protección se deben tomar.

En este sentido, Barbara IoT ha elaborado una guía de ciberseguridad en la que se recogen las normas, estándares y recomendaciones que deben seguirse para garantizar la integridad de cualquier solución IoT que una empresa decida adoptar. Si te interesa este artículo y quieres saber más sobre cómo asegurar tu despliegue de IoT, ¡contacta con nosotros!