21 Sep 2018




La protección de dispositivos IoT, el reto de la seguridad cibernética

Por: Naresh Persaud, director senior de Seguridad en CA Technologies. Existe una gran probabilidad de que en nuestro día interactuemos con decenas de dispositivos IoT, incluso mucho antes de haber tomado la primera taza de café, la cual pudo

Por: Naresh Persaud, director senior de Seguridad en CA Technologies.

Existe una gran probabilidad de que en nuestro día interactuemos con decenas de dispositivos IoT, incluso mucho antes de haber tomado la primera taza de café, la cual pudo haber sido preparada por un aparato conectado al Internet Of Things, sin embargo, aun cuando esto no signifique que la cafetera haya sido hackeada, en los últimos años se han visto diferentes e importantes violaciones con serias implicaciones.

Por ejemplo, en agosto de 2016, el ataque Mirai botnet atacó a dispositivos de grabación dirigidos a crear uno de los mayores ataques DDoS de la historia y exactamente un año después, llevó a la retirada de 500 mil marcapasos por temor a los alcances que podrían tenerse en el control de éstos a causa de dichas brechas de seguridad.

En ese sentido, es importante considerar que éstos no representan más un nicho de mercado dado que se han convertido en una parte importante de nuestras vidas, dentro y fuera del lugar de trabajo, y se prevé que unos 20,000 millones de dispositivos conectados a IoT estarán online hasta 2020, lo que nos lleva a brechas más grandes e invasivas de las que ya hemos visto. Para ilustrar este fenómeno, y de acuerdo con el Washington Post e Informes del Consumidor 2017 Holiday Tech Gift Guide, 12 de los 17 regalos enlistados son dispositivos IoT.

Considerando que estos dispositivos mejoran nuestras vidas y negocios de diferentes formas, garantizar la seguridad representará uno de nuestros mayores desafíos en 2018. Afortunadamente, la gestión de la identidad puede ayudar porque cada dispositivo posee, una o múltiples, acreditaciones de usuarios para administrar. Por lo tanto, al crear una confianza de tres vías entre el dispositivo, el usuario y la aplicación podemos reducir drásticamente el riesgo de un ataque.

El camino hacia las mejores prácticas

En la medida en que más personas adoptan el IoT como una realidad de la vida moderna, es necesario contar con regulaciones que garanticen la seguridad en las empresas, mismas que deben adoptar un conjunto de directrices para garantizar el desarrollo seguro y la implementación de dispositivos IoT con soluciones de seguridad centradas en la identidad, estimulando la seguridad de IoT y administrando las relaciones entre estos dispositivos, las entidades que los controlan y los datos enviados y recibidos.

Un recurso para ayudar a crear directrices y orientar los requisitos a seguir por parte de las empresas es el Open Web Application Security Project (OWASP, por sus siglas en inglés), un repositorio de información en la seguridad de las aplicaciones web que establece sugerencias de seguridad cibernética en su IoT Attack Surface Areas Project. De igual forma, éste proporciona una lista de superficies propicias al ataque y estándares que deben ser entendidos por los fabricantes, desarrolladores, investigadores de seguridad y aquellos que buscan implementar tecnologías IoT dentro de sus organizaciones.

Por otro lado, las empresas también deben administrar la relación hombre-dispositivo, es decir, proveer diferentes niveles de permiso para los distintos usuarios del dispositivo IoT. Un ejemplo de ello es el reproductor de vídeo, los accesos están permitidos para reproducciones, sin embargo, los permisos para actualizaciones de software están restringidas. Recordemos que este proceso requiere de personas reales que administren los niveles de acceso, ya que los hackers están mejorando la capacidad de engañarnos para entregar las acreditaciones y esto podría significar un desastre para una empresa conectada a través de dispositivos IoT. No obstante, con algunas prácticas de higiene cibernética relativamente sencillas que se extienden del departamento de TI a los empleados locales, las organizaciones pueden permanecer conectadas y aún estar seguras de ataques cibernéticos.

Review overview
NO COMMENTS

Sorry, the comment form is closed at this time.