Javier Esteban Zarza
Ingeniero Superior de Telecomunicaciones y Electrónica y Máster de Electrónica
El dato de los más de 20 millones de dispositivos conectados en el año 2020 en el mundo ya se ha convertido en un clásico y hay quien incluso habla de él como un mito pero de lo que no hay duda es de que IoT es una gran promesa/realidad. La humanidad nunca se ha enfrentado a una revolución tecnológica de semejante magnitud e impacto sobre la vida de las personas. Abre, además, una oportunidad de negocio única en todos los ámbitos. Volvamos a las cifras: se estima que este mercado superará los dos billones de dólares.
Las empresas lo tienen claro, lo vimos ya en la última edición del MWC, donde Internet de las cosas acaparó protagonismo. Es el momento de introducirse en un mercado tan prometedor como caótico.
Pero esta explosión de dispositivos supone grandes retos en muchos aspectos. Uno fundamental para que se cumplan los pronósticos pasa por conseguir dotar de seguridad al mundo IoT. Podemos dividir este tipo de dispositivos en dos grandes grupos: sondas y actuadores. Los primeros recogen, generan y transmiten información, mientras que los segundos reciben comandos para realizar aquellas funciones para las que fueron diseñados. Desde el punto de vista de los delincuentes un escenario ideal, ya que pueden robar información y/o tener el control de los dispositivos. Ya hemos sido testigos de esta vulnerabilidad en casos de hackeo de monitores para bebés o el control remoto de coches autónomos, entre otros.
La realidad es que actualmente no existe un estándar de seguridad en ningún ámbito y en el mundo IoT en ocasiones hay otro problema subyacente, tal y como comentaba Gen Tsuchikawa, CSO y SPV de Sony Mobile en la conferencia de AVG: “Primero evaluamos si los servicios van a tener una buena aceptación y después ya nos preocupamos de la seguridad”. Es un mercado tan divergente que incluso las posibilidades de negocio aún se están explorando, lo que complica la estandarización de la seguridad.
Sin embargo, hay cuórum en que la seguridad debe ser independiente delsoftware, dispositivo y fabricante, y debe ir “por defecto”, desde el propio diseño. Para ello, se ha constituido la Internet of Things Security Foundation (IoTSF) que, como primer punto, trata de determinar quién es el responsable de la seguridad en IoT, ya que se trata de un tema que debe ser abordado desde múltiples aristasy actualmente muchos fabricantes de productos domésticos no suelen tener una ética de seguridad adecuada. Por ejemplo, está el caso de las smart tv que pueden grabar conversaciones en nuestras casas para enviarlas a sus servidores.
La empresa Infineon se dedica al diseño y producción de chips de seguridad para proteger la información frente al robo y el abuso. Así, por ejemplo, se consigue seguridad en el almacenamiento de las credenciales y certificados.
Estos dispositivos deben comunicarse para transmitir la información o recibir las indicaciones, por lo que entramos en un segundo escenario: la comunicación con el resto de plataformas. Z-Wave es el protocolo inalámbrico estándar reconocido internacionalmente UIT (G.9959) más extendido y dispone de una alianza que promueve su difusión y asegura la interoperabilidad entre sistemas de los miembros.
Sigma Designs, uno de los principales miembros de la IoTSF se ocupa de dotar de elementos de seguridad a las aplicaciones con el fin de proporcionar protección, detección o reacción frente a los ataques de seguridad en los siguientes planos:
- Prevención: Para evitar la obtención de información en instalaciones y sistemas.
- Detección: Para saber si alguien ha tenido acceso y comprometido información o procesos importantes.
- Reacción: Para identificar a los “malos” y detener su actividad.
A finales del año pasado Sigma Designs hizo públicas las nuevas medidas avanzadas de seguridad para IoT aplicado a las casas inteligentes, dentro del nuevo framework Z-Wave Security 2 (S2). Éste lleva a nuevos niveles de impenetrabilidad y asegura no sólo la comunicación local para los dispositivos del hogar, sino también en el gateway al que se accede desde la nube. Z-Wave elimina por completo la vulnerabilidad de la red durante la instalación, al exigir un código QR o PIN en el propio dispositivo. Con S2, ataques como Man in the middle y la fuerza bruta dejan de ser efectivos, gracias a la implementación del intercambio de claves seguras con la curva elíptica Diffie-Hellman (ECDH), aceptada ampliamente por la industria. Para los clientes que implementen soluciones IoT en la nube con conexión a otros dispositivos IP mediante Z-Wave, el Z/IP Gateway permite tunelizar todo el tráfico Z/IP a través de una pasarela segura.
La existencia de un túnel cifrado para comunicarse con la nube confiere seguridad en la comunicación con las plataformas de gestión, monitorización y presentación de información en cloud, el último punto de la cadena entre el usuario y los dispositivos. Estas plataformas son el interfaz visual del que dispondrán los usuarios para poder interactuar con los dispositivos instalados. En el mercado hay multitud de propuestas alternativas, que incluyen servicios de gestión delegada de los mismos o de mantenimiento.
Como escribía al comienzo, el mercado IoT representa un nuevo reto y abre la puerta a multitud de nuevos mercados y oportunidades de negocio.
Telefónica ya ha dado un paso al frente y ha desarrollado servicios de seguridad orientados a Internet de las cosas. Se trata de una tecnología desarrollada por Eleven Paths: Faast, basada en el pentesting persistente y especializada en la detección y análisis de amenazas de seguridad de las organizaciones, que incluye ahora también la detección de estas vulnerabilidades en IoT.
Tal y como señalaba Chema Alonso, “La evolución de Vamps y Faast hacia el mundo de IoT permitirá controlar el shadow IT y el shadow IoT de forma continua; mostrará los nuevos dispositivos conectados y sus problemas de seguridad, lo que reducirá el tiempo de exposición de los dispositivos a estas amenazas”.
La nueva capacidad de análisis de Faast sobre IoT complementa a las diferentes soluciones de seguridad para IoT que ofrece Telefonica, como Trusted Public Key Infrastructure, que permite identificar y autenticar los dispositivos IoT conectados a la red; Security Monitoring, que detecta comportamientos anómalos de los dispositivos IoT a partir de su tráfico de red; CyberThreats, con capacidad para detectar e identificar el modus operandi de los cibercriminales, y las técnicas usadas en ataques contra las infraestructuras IoT; y Latch, que añade un servicio web que permite al usuario interactuar con los sensores: si ocurre algo, solicita autorización.
En definitiva, el mundo IoT evoluciona descontrolado a pasos agigantados y es fuente tanto de negocio como de nuevos retos y peligros. La seguridad no es una excepción y esperemos que en un futuro cercano se consensúen unos diseños estándares de seguridad de dispositivos, comunicación y entornos de gestión y monitorización que, complementados con medidas de seguridad como las ofrecidas por Telefónica, permitan disfrutar de las ventajas del IoT sin correr riesgos.
Imagen: Karlis Dambrans
Este post ha sido publicado originalmente en el blog Think Big de Telefónica.