Con la industria de IoT pidiendo estándares e infraestructura comunes, es justo decir que la industria está en su infancia; ciertamente no madura aún del todo.
Pero con la incertidumbre viene la fragmentación y con la fragmentación viene la vulnerabilidad que conduce, en la mayoría de los casos, a los titulares negativos sobre la Internet de las cosas.
El Internet de las cosas ha pasado de un concepto a una palabra de moda a dispositivos tangibles que las empresas y los consumidores pueden aprovechar. Ya se trate de cámaras y sensores conectados a la computación de inteligencia artificial para resolver los pasos en los espacios públicos, o una gama de dispositivos IoT de banda estrecha, como cámaras, rastreadores y sensores para consumidores y empresas, la tendencia solo va en aumento.
Ahora que se ha agregado 5G a la combinación de protocolos de conexión que incluyen Wi-Fi, Bluetooth, 4G y Zigbee para activar estos dispositivos, las verticales de ataque para “hackers” también han crecido.
“La seguridad a menudo es una ocurrencia tardía y, a veces, es casi como si nunca se hubiera pensado en absoluto”, dijo Paul Ducklin, Asesor de Seguridad Senior en Sophos, “Si toma los relojes inteligentes de los niños, por ejemplo, cuesta 20 dólares comprarlos, por lo que puedo imaginar cuánto dinero sobra para seguridad.
“Pero una vez que el producto está en el mercado, es demasiado tarde para agregar seguridad como una ocurrencia tardía y eso es un problema grave. Llamamos la atención sobre esto y la gente pregunta qué pueden hacer. Sugerimos que dejen de usarlo, porque hay un error enorme que significa que cualquiera puede averiguar dónde están sus hijos y el dispositivo no tiene forma de actualizarse “.
“Creo que la falta de competencia es peor que la seguridad como una ocurrencia tardía”, agregó Bernard Parsons, CEO y Fundador de Becrypt. “Muchas compañías que fabrican dispositivos IoT simplemente no tienen los niveles necesarios de competencia en lo que respecta a la seguridad.
“No hay razón para creer que, como eres un fabricante de IoT, vas a tener la experiencia interna para hacer un buen trabajo de arquitectura de seguridad dentro de tu sistema. ¿Cuál es el controlador para que un fabricante pase por el costo y el tiempo adicionales necesarios para implementar la seguridad, incluso si así lo desean?
“Creo que aquí es donde tenemos una situación que se describe mejor como una falla del mercado desde una perspectiva de seguridad. Aquí hay dos problemas, uno es la asimetría de la información, donde, como comprador de componentes de IoT, no puedo distinguir la diferencia entre bueno y malo, por lo que es muy difícil para mí diferenciar entre alguien que está invirtiendo en seguridad y alguien que no t. Eso proporciona una ventaja a la empresa que no está invirtiendo, ya que van al mercado más rápido y serán más baratos.
“El segundo problema son las externalidades negativas, donde los verdaderos perdedores en esto no son el fabricante o incluso el consumidor; ambas partes podrían estar felices porque consiguieron cosas más baratas porque nadie invierte en seguridad. Pero si un refrigerador, por ejemplo, se convierte en parte de una gran red de botnets, y vemos un ataque de denegación de servicio, entonces las personas que pierden son terceros, ya sea Netflix, CNN o Twitter.
“Cuando tienes esas características dentro de un mercado, esto conduce a una falla del mercado, y la única forma en que puedes intervenir y cambiar eso es a través de la regulación”.
Estándares de malabarismo
La regulación de seguridad es ciertamente un punto focal para los gobiernos de todo el mundo, pero para los fabricantes de IoT, como señala Bernard, la inversión en seguridad conlleva mayores costos de componentes; apenas una recompensa por hacer lo correcto por sus usuarios finales.
El director sénior de marketing de productos de Silicon Labs para IoT Security, Gregory Guez, dijo que la motivación para agregar seguridad puede encontrarse fuera de la regulación.
“Estamos en un momento en que habrá un gran cambio con las nuevas reglas de seguridad (SB327), donde el Estado de California exigirá que todos los dispositivos conectados a IoT tengan que venir con características de seguridad razonables. Cosas como asegurarse de que los dispositivos no tengan contraseñas universales, ejecutar un firmware confiable, entraron en acción a principios de año.
“Creo que eso va a cambiar el juego. Vamos a ver que ocurren algunas demandas importantes y las empresas que sienten que pueden hacer un producto sin pensar en la seguridad tendrán que comenzar a tomarlo más en serio desde el comienzo del diseño. Ya no puede ser una ocurrencia tardía.
“El gobierno del Reino Unido está buscando introducir pautas que quieran que los fabricantes suscriban voluntariamente. El Centro Nacional de Ciberseguridad trabajó con el DCMS para desarrollar estos principios de diseño seguro que, de ser adoptados por los fabricantes, harían avanzar bastante las cosas ”, agregó Parsons.
“Hasta la fecha, no ha pasado nada voluntariamente, por lo que ahora pasaremos a una era de regulación y eso es lo que finalmente creará el impulso para que el fabricante invierta en seguridad”.
Asegurando las cosas
Los expertos coinciden en que la mejor ruta de seguridad es instalarlo a nivel físico, pero reiteran que el costo y la rentabilidad son factores importantes al fabricar dispositivos.
“La mejor manera de mantener la integridad de un sistema es tener una ruta de confianza de hardware”, agregó Parsons. “Si desea tener un proceso de arranque seguro en una plataforma en la que pueda verificar que el firmware no ha cambiado desde un buen estado conocido, la única práctica que realmente puede soportar cualquier ataque razonable es donde tiene una ruta de confianza basada en hardware .
“Dentro de las plataformas basadas en ARM, estás hablando de TrustZone, mientras que dentro de las plataformas basadas en Intel, su TPM (Trusted Platform Module). En última instancia, se trata de algunas buenas prácticas bastante sencillas y básicas, y un buen punto de partida es esa ruta de hardware confiable “.
“Si se miran los dispositivos domésticos conectados, por ejemplo, ha crecido tan rápido y muchas personas se han centrado en el tiempo de comercialización y en el lanzamiento de productos en lugar de preocuparse por la seguridad”, dijo Guez.
“La falta de estándares les ha permitido proceder sin tener realmente en cuenta la seguridad, y esa ha sido una batalla difícil para nosotros. “Iríamos a un cliente y comenzaríamos a hablar sobre seguridad, pero primero hay un costo, porque integramos una gran cantidad de hardware que aumenta el precio a nivel de SOC, pero además de eso, también hay una capa de complejidad.
“Si está pensando en el mercado de consumo, donde todo se maneja por tiempo de comercialización, creo que la seguridad podría retrasar su producto, tal vez por unos meses o incluso más. Creo que algunas empresas han estado preocupadas de perder a sus competidores, solo porque su producto tarda más en ser producido y lanzado ”.
Sin embargo, con un agujero de seguridad aún en el hardware de los dispositivos, también se pueden hacer preguntas sobre los sistemas que permiten la gran mayoría de los dispositivos. Como señala Duckin, hay más de un área donde los dispositivos se pueden “obtener”.
“A veces, los errores o los problemas están en el dispositivo, a veces están en el servicio en la nube en el que el dispositivo carga sus datos, y a veces están en ambos.
“Si los datos que se están cargando se almacenan en un servidor en la nube que está completamente desprotegido, una vez que haya descubierto dónde buscar, a qué URL ir, a qué punto final, puede ver los datos cambiando un número en la URL.
“Eso se puede arreglar, pero ¿quieres seguir confiando en ese proveedor de la nube cuando han cometido un error tan grande? El otro problema es que puede haber algo fundamental sobre el dispositivo que significa que, incluso si endurecen el lado del servicio en la nube, el dispositivo en sí sigue siendo inseguro ”.
Autor