Uno de los grandes retos para el Internet de las Cosas en este 2020 será la mejora de la seguridad y la privacidad de los dispositivos conectados. Para afrontar este desafío, la colaboración de todos los agentes del ecosistema IoT se hace más necesaria que nunca como se evidenció en la reciente edición del IOT Solutions World Congress celebrada en Fira de Barcelona.
Shodan afirma ser el primer motor de búsqueda del Internet de las cosas (IoT) y algunos lo han calificado como el motor de búsqueda más aterrador del cibermundo. Es algo exagerado, pero… En 2013, su creador, John Matherly, un bioinformático de Austin (Texas, EE. UU.), advirtió que existían alrededor de 500 millones de dispositivos conectados con la típica contraseña preestablecida «1234» o «admin».
Entre éstos había -y por extraño que parezca sigue habiendo-, cámaras de seguridad, termostatos, puertas de garaje o medidores de glucosa (para diabéticos), pero también controladores de surtidores de estaciones de servicio, lectores automáticos de matrículas, controladores de semáforos, satélites marítimos o cargadores de vehículos eléctricos. Así que, sí, el tema da como mínimo algo de respeto.
La seguridad y la privacidad siguen siendo los puntos débiles del Internet de las cosas. Y cuantos más dispositivos se vuelvan ubicuos dentro de las organizaciones, mayor será el riesgo, puesto que un único agujero de seguridad abre la puerta a múltiples ataques. Y este es un tema clave que los profesionales de IT tendrán que seguir abordando en 2020. De hecho, algunos predicen ya el surgimiento de soluciones alternativas, como SigmaDots, basadas en Blockchain, para bloquear la mayoría de los métodos que los piratas informáticos están utilizando para atacar redes IoT.
Soluciones concretas
Así pues, tomarse más en serio la seguridad de los dispositivos conectados a IoT es crucial para cualquier negocio y el IOTSWC19 dio buena cuenta de ello. El sector se enfrenta a los mismos desafíos de seguridad que cualquier otra área de IT, subrayaba Kevin Gillick, director ejecutivo de Global Platform, en una entrevista con la organización, «pero estos desafíos se abordan de forma muy fragmentada». «Hay mucha gente diciendo que los van a resolver, pero lo que vemos es una falta de resultados concretos reales», agregaba.
Para solucionar este problema, Global Platform lanzó públicamente IoTopia durante IOTSWC19. IoTopia es una nueva iniciativa colaborativa de la industria que propone un marco común para estandarizar el diseño, la certificación, la implementación y la administración de dispositivos IoT.
Dicho así, suena a solución integral o con enfoque holístico y, de hecho, es lo que pretende ser. Desarrolla elementos fundamentales como la seguridad mediante el diseño (Security by Design), la intención del dispositivo (Device Intent) que permite identificar dispositivos conectados y administrar su comportamiento; la conexión segura a la red (Onboarding) y la gestión del ciclo de vida del dispositivo (Device Lifecycle Management).
Estos cuatro pilares no son fáciles de implementar, pero la colaboración es un motor poderoso. «Trabajamos en colaboración con otros organismos y organizaciones de la industria como el Industrial Internet Consortium, GSMA, ENISA y otros para ofrecer la mejor solución e involucrar a todo el ecosistema IoT», afirmaba Gillick.
Es cierto que ya existen numerosas buenas prácticas relacionadas con Security by Design, admitía el director ejecutivo de Global Platform, pero IoTopia quiere justamente partir de esas prácticas, identificar las brechas que existe
Mucho por hacer
Respecto al Device Intent, IoTopia busca una forma coherente de saber qué hace realmente un dispositivo conectado y a quién pertenece. Además, la conexión de elementos heterogéneos IoT es un desafío «ya que el tiempo para conectar muchos dispositivos a la red en una empresa es complicado de gestionar». Por último, aunque no por ello menos importante: la gestión del ciclo de vida del dispositivo es vital para ayudar a los fabricantes, propietarios de dispositivos, proveedores y personal de IT a lidiar con el final de la vida útil del dispositivo.
«La gente tiene derecho a mostrarse escéptica con respecto a esta iniciativa», admitía Gillick, pero en 2020, para la mayoría de los dispositivos, «ya no será suficiente decir que son seguros. Tendrán que demostrarlo”, concluía.
El ecosistema y conocimiento sobre lo que hay que hacer ya existen. Las herramientas de análisis y monitoreo basadas en inteligencia artificial pueden ser igualmente de gran ayuda, aunque a menudo sean complejas de adaptar a todas las circunstancias.
Aun así, queda mucho por hacer ya que los ciberdelincuentes van descubriendo de manera proactiva nuevas técnicas para llevar a cabo amenazas de seguridad. Además, desafortunadamente, la facilidad de instalación y uso sigue siendo un argumento de venta, mientras que la seguridad no lo es. Ahora, el sector tiene el poder de cambiar esta percepción y promover la seguridad y la privacidad. Probablemente, casi todo el mundo lo agradecerá.
Por Anna Solana, colaboradora de IOTSWC