seguridad-iot-internet-cosas

Se prevé que para 2015 la inversión en  Internet de las Cosas (IoT) en América Latina llegue a los $8.8 billones de dólares. ID. Un enfoque para conocer los niveles de riesgo relacionados a la seguridad del IoT es considerar las varias categorías de dispositivos conectados y sus respectivos tipos de riesgo cibernético. Cuando piensa sobre los niveles de riesgo relacionados a la seguridad del IoT (Internet de las Cosas, por sus siglas en inglés), es útil saber de dónde pueden surgir los problemas mayores una vez que los hackers consigan llegar al objetivo por medio de la “kill chain” cibernética.

Una forma de pensar sobre eso es considerar las varias categorías de dispositivos del IoT y los tipos respectivos de riesgo cibernético. Mientras los dispositivos del IoT se vuelven más controlables o más autónomos, la intensidad de la amenaza aumenta ya que los criminales son capaces de robar datos sensibles, insertar malware y, últimamente, realizar sabotaje del tipo “comando y control”.

Una de las situaciones principales que genera este tipo de problemas radica en que la seguridad se deja frecuentemente al último, fijándose en las soluciones una vez que aparecen los problemas. Los especialistas en seguridad y líderes de TI han estado pidiendo por décadas que la seguridad sea integrada por diseño.

La clasificación de Gartner de dispositivos IoT segmenta desde cosas identificables (etiquetas RFID pasivas), a cosas de comunicación/detección (sensores de presión), de detección controlables (sistemas HVAC), inteligentes autónomas (carros auto-conducibles).

Mientras pensamos sobre el mundo futuro con más de 25 mil millones de “cosas” en uso hasta el 2020, los escenarios de riesgo cibernético crecen exponencialmente. A continuación algunos casos que se han materializado en los meses recientes:

  • Un hogar conectado fue hackeado para abrir la puerta principal a los ladrones, abrir la puerta del garaje para robar un carro, elevar la calefacción a niveles máximos para dañar el sistema de aire acondicionado y/o enseres de la casa, apagar el refrigerador, apagar el sistema de riego, acceder a computadoras personales etc.
  • Un carro conectado, autónomo o vehículo de entrega fue saboteado para chocarse por medio de una aceleración o frenado inapropiado, o enviado a destinos incorrectos; los vehículos como trenes, aeronaves, drones, barcos etc., dirigidos erróneamente o saboteados de forma similar.
  • Un hospital conectado fue hackeado para cambiar la ruta de robots de entrega; funciones de dispositivos médicos como marcadores de paso y bombas de insulina.
  • Fabricante conectado hackeado para interrumpir funciones de los robots de “selección” del depósito, monitoreo de equipos y sensores de mantenimiento, sistemas de control de la planta y actividades de la cadena de producción.
  • Sistemas SCADA y PLC saboteados de forma similar al gusano Stuxnet que hizo girar las centrífugas nucleares de Irán.

La solución

Afortunadamente, cuando se trata de crear seguridad anticipada y por diseño para el IoT, hay algunas señales prometedoras. Un ejemplo es la reciente arquitectura de referencia publicada por el Industrial Internet Consortium (Consorcio Industrial de Internet) o IIC.

Este amplio documento señala características clave de sistemas Industriales de Internet, varios puntos de vista que deben considerarse antes de implantar una solución de Internet Industrial, y un análisis de preocupaciones clave para el Internet Industrial, incluyendo seguridad y privacidad, interoperabilidad y conectividad.

Para las organizaciones que diseñan e implementan soluciones del IoT, las lecciones son claras:

  • Primero, tener un sentido claro de amplio espectro de escenarios de amenazas que puedan encontrar — nada debe ser descartado.
  • Segundo, se debe entender la intensidad de las amenazas dadas las categorías específicas de dispositivos del IoT. Cuanto más controlables o autónomos sean los dispositivos del IoT, más alto será el nivel de riesgo, y también se debe prestar mucha atención a las enormes cantidades de datos recolectados por estos sistemas.
  • Tercero, ya que los cibercriminales entrarán al ecosistema del IoT a través de un link débil en sus defensas, incluyendo hardware falsificado en su cadena de distribución, se debe tomar un enfoque holístico para la estrategia cibernética; así mismo, se debe revisar la orientación y recomendación de varios organizaciones que trabajan en el mismo campo.

“Actualmente existen empresas especializadas que desarrollan estrategias de seguridad y brindan el soporte necesario para crear un ambiente seguro en la organización”, comentó Vicente Salazar, Vicepresidente y Gerente General de Unisys México.