El valor de una propuesta de seguridad IoT end to end

Mercedes Núñez    5 agosto, 2019
Seguridad IoT

El pasado mes de abril se creaba, fruto de la colaboración entre ElevenPaths y Telefónica IoT, y aunando las fortalezas de ambas, la unidad de Seguridad IoT de Telefónica. Una idea innovadora y necesaria ante la imparable expansión de IoT en el ámbito empresarial. Su propuesta de valor protege este tipo de arquitectura end to end y además incluye soluciones específicas en este entorno. Carmen Torrano, Product Manager en Seguridad IoT de Telefónica, que está en ella desde su génesis, nos da todos los detalles en esta entrevista.

-Ciudades inteligentes, coches conectados, industria 4.0… Los expertos señalan que la seguridad es el mayor desafío al que se enfrenta IoT…  

La arquitectura IoT consta de tres elementos: los dispositivos IoT, la red de comunicaciones y la plataforma IoT a la que se conectan los dispositivos. Se lleva años ya trabajando en securizar los sistemas de conexión a la plataforma, que es más conocida. Sin embargo, la conexión de los dispositivos IoT es más novedosa y, por ello, presenta varios retos nuevos, en los que las soluciones de seguridad están en un desarrollo más incipiente.

El hecho de que se estén conectando a Internet dispositivos que no estaban pensados inicialmente para ello (como una nevera, por ejemplo) también representa un reto. La variedad de dispositivos es otro aspecto importante, ya que es necesario adaptar cada solución a las características de cada caso particular: no es lo mismo securizar un coche que un medidor inteligente (smart meter).

Algunos estudios mencionan que la seguridad es un reto en la adopción de IoT, pero desde Telefónica lo vemos como una oportunidad. Además, no podemos olvidar que en sistemas críticos o en determinados ámbitos como el médico o el automovilístico, la seguridad resulta imprescindible.

¿Cuáles son los principales desafíos y qué nuevas vulnerabilidades se prevén?

El primero es la escala, es decir, el volumen de dispositivos que hay que conectar. Según predicciones de Gartner, en 2020 habrá más de 20 mil millones de dispositivos conectados. 

Como comentaba, la diversidad de los mismos también es otro aspecto relevante, y a esto hay que añadir que muchos dispositivos IoT están limitados en recursos y algunos incluso carecen de sistema operativo.

Hay que tener en cuenta, además, que los dispositivos están dispersos geográficamente y en muchos casos deben operarse de forma remota. Es más, los dispositivos están expuestos a la manipulación física.

Tampoco puede obviarse el reto que suponen las actualizaciones automáticas en este tipo de dispositivos. El hecho de que los dispositivos IoT tengan largos ciclos de vida (puede rondar entre 15 y 20 años) es otro de los desafíos para mantener intacta su seguridad.

En cuanto a las vulnerabilidades, uno de los problemas es la falta de concienciación en relación con la seguridad. Existen recomendaciones que no son nuevas y deben tenerse muy presentes también en el ámbito IoT, como configurar los dispositivos en pro de la seguridad teniendo en cuenta aspectos como el cambio de contraseñas por defecto. Es fundamental utilizar contraseñas robustas, así como mantener el dispositivo actualizado.

En el “CISO day” Chema Alonso y tú apuntasteis al shadow IoT como un problema igual o mayor que el shadow IT. Háblanos de ello.

El shadow IoT se puede entender como una extensión del shadow IT. Teniendo en cuenta que el número de dispositivos IoT llegará a ser mayor que el de elementos IT, parece lógico que el volumen de shadow IoT también se incremente. Esto es importante porque es difícil tener bajo control lo que no se tiene identificado y aplicar las medidas de seguridad necesarias.

Desde mi punto de vista, con IoT tenemos la oportunidad de aplicar las lecciones aprendidas en el mundo IT. Sin embargo, no siempre ocurre y en el entorno IoT se siguen viendo fallos que se veían en IT y se siguen cometiendo errores conocidos, como la utilización del protocolo Telnet.

La seguridad cien por cien no existe así que el éxito de un CISO es que el día que ocurra algo se detecte lo antes posible y se mitigue rápidamente con la menor incidencia. ¿Cómo se consigue?

Se pueden tomar medidas que reduzcan lo máximo posible los riesgos de ataque e incrementen las capacidades de resiliencia y recuperación en caso de que suceda algún incidente. Es importante adoptar medidas de defensa en profundidad. Solemos decir que estamos tan seguros como el eslabón más débil de la cadena, por tanto, no debe olvidarse ninguno de los elementos que contribuyan a la seguridad de una compañía: se deben proteger los productos y servicios, procesos y personas. Por supuesto, para ello es fundamental la concienciación y la formación, ya que en muchos de los casos el vector de ataque se debe a errores humanos.

¿Cuánto le complica la vida al CISO IoT?

La expansión cada vez mayor de IoT en el ámbito empresarial implica que es necesario proteger estos dispositivos, así como evitar que se conviertan en fuente de ataques y reforzar la seguridad con sistemas específicos de seguridad para el ámbito IoT. Es importante autenticar los dispositivos, así como asegurarse de que no están infectados o se están utilizando para lanzar algún ataque.

Hay que tener en cuenta que la conexión a Internet conlleva ciertos riesgos. Los ataques pueden suceder y, por tanto, hay que estar preparados para ello, adoptando medidas de prevención que permitan minimizar un posible ataque.

La contrainteligencia es importante. Hay que cuidar la información que se revela de una empresa para que no pueda utilizarse en su contra. Esto está relacionado también con las técnicas de engaño (deception), que tienden una trampa al ciberatacante para aprender sobre sus técnicas y así poder protegerse de ellas. Estas técnicas son una de las últimas tendencias en ciberseguridad y Telefónica está trabajando en ellas activamente.

Pedro Pablo Pérez, VP security de Telefónica y CEO de ElevenPaths, nos contaba a principios de año que Telefónica, que es líder en IoT, también lo es en seguridad en este entorno con la IoT Security Initiative. En abril se daba un paso más con la creación de esta nueva unidad de ciberseguridad IoT en la que trabajas. Cuéntanos quién la conforma, el objetivo con el que nace y sus fortalezas.

Desde hace un tiempo se venía trabajando en temas de IoT desde ElevenPaths, a la vez que cada vez se tomaba más conciencia de la importancia de la seguridad en el vertical de IoT. Aunque ambas unidades colaboraban, dada la importancia de esta temática se vio la necesidad de que ambas áreas trabajaran codo con codo. Por ello se tomó la decisión de la creación de una unidad que depende de las dos áreas y aúna las fortalezas de ambas.

Cuando hemos comentado la creación de esta unidad a otras telcos o partners han aplaudido la idea y nos han comentado que les parece muy acertada e innovadora. Es la mejor forma de atender de manera especializada un tema tan primordial.  

– ¿Cuál es su propuesta de valor en seguridad IoT end to end? ¿Se están desarrollando soluciones específicas?

La unidad de Seguridad IoT tiene una propuesta de valor que protege este tipo de arquitectura end to end: los dispositivos, la red y la plataforma.

También estamos trabajando en diversas soluciones de seguridad específicas para el mundo IoT. En concreto, en cuatro líneas principales:

  • El servicio Secure credentials permite afrontar el reto de la autenticación de los dispositivos IoT: gestionar las credenciales y certificados de los dispositivos IoT para que el proceso se efectúe de una manera ágil y sencilla.
  • IoT threat detection, cuyo objetivo es asegurar que los dispositivos se comporten del modo esperado y realicen únicamente las tareas para las que han sido diseñados. Mediante la aplicación de técnicas de machine learning y fuentes de ciberinteligencia, esta solución es capaz de detectar y alertar sobre los incidentes de seguridad que se produzcan en el ecosistema IoT, como malas configuraciones de los dispositivos, infecciones de malware o usos inadecuados de la tarifa de datos.
  • Secured by DNS actúa como una primera barrera de protección, que asegura que los dispositivos conectados a Internet no acceden a servidores maliciosos.
  • Servicios profesionales, que proporcionan servicios de consultoría y auditoría relacionados con el mundo IoT.

Además, trabajamos en ampliar las capacidades de los servicios de ElevenPaths para que ayuden a proteger los elementos del mundo IoT.

Comentarios

  1. Excelentes soluciones.
    ¿Se prevé el uso de blockchain para el control de actualizaciones firmware de los dispositivos?, el caso del usuario final doméstico, ¿deberá asumir parte de los costes en seguridad?, ¿cual es su visión de futuro en este punto?
    Un saludo

  2. Hola, gracias por el comentario. Hay varios usos de Blockchain dentro de IoT y efectivamente, entre ellos hay propuestas que apuntan a su utilización para asegurar que los dispositivos tienen instalada la última versión de cierto software. Para ello los dispositivos se conectan a la cadena de bloques y descargan la última versión disponible.
    En cuanto a los costes, aunque es complicado hablar de un modelo genérico dentro de la diversidad del IoT (como se ha comentado, no es lo mismo proteger un Smart meter que un coche conectado), creo que la tendencia en España, dado el estadío de desarrollo en el que nos encontramos en este momento, es que los costes de seguridad que se trasladen al usuario final sean los mínimos posibles. Al igual que ha sucedido con otras áreas como en los ordenadores personales, creo que cada vez de entenderá más la importancia de la seguridad en el mundo IoT. Gracias por el interés y saludos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *