Seguridad y privacidad en IoT: ¿estamos a tiempo?Miguel Martínez Revilla 17 junio, 2015 A medida que la tecnología evoluciona y avanza el proceso evangelizador del Internet de las cosas, empresas de todo tipo y en todas partes del mundo se lanzan a conectar masivamente cualquier dispositivo capaz de generar y transmitir información (relevante en muchas ocasiones y no tanto en muchas otras). El ritmo de despliegue aumenta año tras año, y la fiebre que genera IoT parece estar en lo más alto de su hype. Sin embargo, este crecimiento desmesurado ha hecho que integradores, desarrolladores de software y fabricantes de hardware se olviden de un elemento primordial que puede dar dolor de cabeza a clientes de todo tipo: la seguridad y privacidad. Las cosas claras. El problema de seguridad del mundo IoT no está en las neveras conectadas que actúan como botnets, tampoco en grabadores de vídeo CCTV usados fraudulentamente para minar bitcoins, ni siquiera en semáforos y sistemas de control de tráfico con importantes vulnerabilidades y desastrosas consecuencias. El problema de seguridad se encuentra en conseguir proteger correctamente la información almacenada, en la inteligencia que se pueda obtener de ella y, en definitiva, en el beneficio económico que grupos maliciosos puedan lograr. Porque, en el fondo, el negocio del hacking se rige por las mismas normas que cualquier otro; en este caso se basa en la venta a gran escala, desde bases de clientes con todo lujo de detalle, hasta históricos de consumos energéticos de barrios enteros. Y es que durante años hemos percibido que existían altos niveles de seguridad y privacidad por el hecho de estar desconectados de la Red. Mientras que el acceso a Internet suponía cruzar la línea de riesgo que nos exponía a innumerables peligros, la vida off line, tanto en comunicaciones personales como de máquinas, parecía ser un lugar seguro. Sin embargo, esta situación se vuelve en contra en un mundo hiperconectado con cada vez más objetos con una dirección IP: Televisiones conectadas que obtienen y procesan nuestra voz para suplantar identidades Coches conectados que reportan informes históricos de lugares visitados Termostatos inteligentes que revelan las horas que pasamos en casa Pulseras Fitbit que publican un historial médico de sus usuarios Todos ellos objetos del día a día que acaban conformando un pulcro y detallado perfil sobre usuarios y empresas. Información al instante sobre gustos, consumos, constantes vitales, patrones de movimiento… Los chicos malos. Pero la pregunta es: ¿realmente tiene valor descubrir lo que hay en la nevera de un usuario? O ¿cuál es el precio de conocer un histórico de consumos energéticos? Como en muchos otros aspectos, el dato aislado de un usuario no tiene valor si no es visto de forma agregada. Sólo contemplando la foto completa se entienden los detalles concretos, pero conviene preguntarse quién puede estar detrás de un ataque de este tipo y con qué fin lo realiza: Naif attack, liderado por aquellos defensores de una causa que precisamente busca concienciar a la gente para la adopción de una cultura de la privacidad. Sus objetivos son cualquier dispositivo de electrónica de consumo: desde routers hasta smartTVs, pasando por termostatos conectados o incluso vehículos. Palabras mayores son cuando nos referimos a ciberterrorismo: generadores de malware, expertos en intrusión de sistemas y, en definitiva, equipos organizados con mayor capacidad de actuación cuyos ataques pueden ir dirigidos contra redes de distribución de energía, cuencas hidrográficas e instalaciones gubernamentales. En un tercer bloque estarían los cibercriminales y los equipos de fraude, con el aspecto económico como único fin y con objetivos claros como las transacciones bancarias, las entidades comerciales, los negocios en Internet, utilities, operadores telco… ¿Cómo se mide la seguridad? Entendidos los riesgos y asumidas las potenciales consecuencias de un ataque, conviene cuantificar el coste de la defensa. Para ello, la teoría nos dice que un sistema es seguro cuando se cumplen los tres pilares básicos: autenticación (el emisor debe saber quién es el receptor), confidencialidad (nadie, salvo el receptor elegido, debe ser capaz de interpretar el mensaje) e integridad (el mensaje no debe poder ser manipulado). Por otro lado, el objetivo de una buena defensa consiste en hacer que los esfuerzos necesarios para el ataque superen a la motivación del atacante, y para ello existen las siguientes medidas que cada vez más se implementan en sistemas IoT: Sistemas propietarios de cifrado de los datos almacenados: supone una solución efectiva a corto y medio plazo, pero sobre todo implica un coste mayor (en tiempo, esfuerzos, recursos) para el atacante. Sistemas de autenticación: El proceso de autenticado ayuda a garantizar la integridad y autenticidad de la información transmitida. El uso de SMS seguro mediante tokens, o el empleo de protocolos IPSec para las comunicaciones entre dispositivos, son medidas esenciales para una correcta prevención. Empleo de protocolos seguros: Por último, protocolos como TLS o SSL se antojan necesarios en la capa de transporte. Conviene a su vez prestar atención a los últimos desarrollos en lightweight cryptography, que ofrecen soluciones igual de robustas con cada vez menor capacidad de computación (cifradores Spongent, por no hablar de las futurísticas opciones que brinda la post-quantum cryptography). Sea como fuere, es importante que la seguridad adquiera la relevancia que merece en el entorno tecnológico actual. Para ello, la constante repercusión en los medios sobre ataques a sistemas IoT, así como la creciente preocupación por parte de empresas que sufren pérdidas de información, hace que cada vez más las empresas y particulares entiendan los riesgos que supone exponer arquitecturas IoT sin una protección adecuada. ¿Seremos capaces de conseguir sistemas suficientemente seguros? La tecnología es, sin duda, una ayuda pero el eslabón más delicado no son las cosas, sino las personas. Imagen: elhombredenegro La transformación digital llega a la política: siete clavesMapfre, un ejemplo de excelencia en la experiencia de cliente
Equipo Editorial Un repaso antes de seguir transformándonos El próximo lunes habremos superado el ecuador de septiembre y estaremos ya plenamente inmersos en el nuevo curso escolar corporativo. En el blog de Telefónica Grandes empresas y Administración...
Mercedes Núñez La banda sonora de la transformación digital: ¿orquesta o jam session? El deporte puede verse como una metáfora de la vida y yo creo que también como fuente de aprendizaje para el mundo de los negocios. Recuerdo un post que...
Carmen Ruano Sánchez Innovación en eHealth: un ecosistema propio de startups Es cierto que nuestro Sistema Nacional de Salud es reconocido internacionalmente tanto por sus resultados como por su eficiencia. Pero también lo es que se enfrenta a una serie...
Beatriz Monfort Sanchís Una nueva generación de CDN para las actuales necesidades de negocio Inicialmente las plataformas de CDN (Content Delivery Networks) se limitaban a “cachear” el contenido (almacenarlo para una solicitud futura) en redes más o menos extensas de servidores diseminados por Internet....
Jaime Rodríguez-Ramos Fernández Edge computing: una nube más cercana La nube se prepara para la siguiente fase. Vamos a pasar de los grandes data centers centralizados actuales a una computación y un almacenaje más local. Esto es, ni más...
Andrés Naranjo Ciberseguridad en eSports y games: no se trata de un juego Hace ya algunos años que vengo insistiendo en la necesidad de contar con soluciones específicas de ciberseguridad para los entornos de los videojuegos o, dicho de otra forma, de...
