AT&T: No está claro quién es el responsable último de la seguridad del IoT

Esta entrevista forma parte del Tema de Portada del número de octubre de IT Digital Security. Puedes descargarte la revista en este enlace. 

¿Cree que el mercado está concienciado para aplicar seguridad al IoT? ¿Están las empresas preparadas para abordar estos riesgos con las soluciones de seguridad necesarias?

En la actualidad, AT&T bloquea las tres cuartas partes del tráfico del correo electrónico que pasa por su red debido a su contenido sospechoso. De hecho, en la primera mitad de 2016, hemos observado un aumento del 400% de ataques en busca de puntos débiles en dispositivos IoT[1]. Teniendo en cuenta la escala y regularidad de estas amenazas, las empresas deberían ser conscientes de los riesgos de seguridad. Sin embargo, no todas las organizaciones tienen una estrategia de seguridad definida en constante evolución.  En una encuesta reciente a profesionales de tecnología, más de la mitad afirma que tienen el mismo modelo de gestión de seguridad de la información desde hace tres años o más – una vida entera en el entorno tan dinámico de las amenazas.

¿Cuáles son los mayores retos a la hora de integrar seguridad en el IoT?

A medida que los dispositivos IoT se van haciendo imprescindibles para adaptarse a la rápida evolución de los mercados, los responsables del negocio y de los Sistemas de Información de las empresas deben ser conscientes de las implicaciones de seguridad de esta nueva tecnología. La cantidad de dispositivos conectados aumenta significativamente el volumen de datos y la complejidad de la ciberseguridad.

El reto se acrecienta cuando los dispositivos IoT son además implementados para controlar infraestructuras, como operaciones de fábrica y cadenas de suministro. 

En ausencia de estándares de la industria que hayan sido ampliamente aceptados, muchos fabricantes de dispositivos IoT no incorporan ni siquiera las medidas de seguridad más básicas, y los dispositivos llegan al mercado con fallos de seguridad que los hacen atractivos para los hackers. Incluso existen vulnerabilidades que pueden añadirse cuando una compañía diseña un dispositivo IoT, otro proveedor crea el software, un tercero opera la red y un cuarto implementa el dispositivo. Con frecuencia no queda claro quién es el responsable último de la seguridad e integridad de la plataforma de IoT.

A fin de velar por que la integración y aplicación de la seguridad de IoT  sea lo más fluida posible, las organizaciones necesitan inyectar los requerimientos y consideraciones de seguridad desde la fase inicial del proceso, para que los dispositivos IoT sean diseñados con una arquitectura segura por defecto.

¿Cuál cree que será el mayor uso que los ciberdelincuentes harán del IoT?

Cada vez se está volviendo más difícil detectar amenazas. Los cibercriminales están desarrollando continuamente nuevas formas de abrir brechas en los sistemas de datos. Los dispositivos móviles son algo habitual en las empresas, por lo que los cibercriminales están atacando aquellos dispositivos, aplicaciones y redes inalámbricas no autorizadas que carecen de seguridad, para conseguir acceso a datos confidenciales.

Los empleados pueden descargar involuntariamente aplicaciones móviles que contienen malware de fuentes no autorizadas, abriendo nuevos vectores de ataque.

Además, el crecimiento de IoT ha elevado la escala y sofisticación de los esfuerzos de los cibercriminales a niveles sin precedentes. Utilizar 100,000 dispositivos IoT para lanzar un ataque DDoS ya no es sólo una teoría; esta es la última prueba de que la innovación en el cybercrimen está prosperando.  

La innovación, en este sentido, ha aumentado las oportunidades que los cibercriminales tienen para robar, comprometer, alterar y revender datos confidenciales.

En su opinión, ¿cuáles serían las recomendaciones básicas de seguridad para el IoT?

El IoT está inevitablemente unido a ciertos requerimientos para garantizar la máxima seguridad posible de todos los dispositivos conectados:

Actualización del software/firmware: cada dispositivo conectado a una red debería tener la posibilidad de que operadores autorizados actualicen el software y el firmware del dispositivo (ejemplo: softwareover-the-air/SOTA y firmware-over-theair/FOTA). Lo ideal sería que el proceso estuviera altamente automatizado a la vez que proporciona comprobaciones criptográficas para asegurar que las actualizaciones provengan de fuentes autorizadas.

Restablecimiento del Sistema: cada dispositivo debería incluir una forma de restablecer su estado original.

Sin contraseña predeterminada: en lugar de permitir una contraseña sencilla y fácil de hackear, cada dispositivo debería solicitar al usuario que defina una única y segura para acceder desde un interfaz de red.  

Sin servicios auxiliares: un dispositivo no debería ofrecer ningún servicio a la red que no sea necesario para soportar sus funciones principales.

Sin “puertas traseras”: un dispositivo no debe tener puntos de entrada ocultos o conocidos que puedan ser atacados por el fabricante u otros.

Soporte del dispositivo: los fabricantes deberían proporcionar acceso online a los manuales de los operadores, así como acceso a las instrucciones de actualización. La información de soporte debería incluir una explicación clara de su mantenimiento a lo largo del ciclo de vida del producto.

Información de contacto y punto de soporte: los fabricantes deberían incluir información de contacto o punto de soporte para que las empresas puedan informar de cualquier problema con el dispositivo o su software.

¿Cuál es la propuesta de su compañía para proteger el Internet de las Cosas?

AT&T conecta más dispositivos IoT que cualquier otro proveedor en Norteamérica. Tenemos más de 34 millones de dispositivos conectados en nuestra red en 2017. Creemos que la innovación en seguridad es esencial para un éxito sostenido. Para ayudar a proteger este disperso entorno de datos, AT&T utiliza un enfoque perimetral definido por software de control de acceso que restringe el acceso remoto a usuarios autorizados. Cualquier dispositivo IoT, por ejemplo, necesita comunicarse con un pequeño subconjunto de usuarios o dispositivos predefinidos. Si un dispositivo intenta ir más allá de los parámetros establecidos – un potencial signo de actividad maliciosa-  bloqueará este acceso.

Contamos también con el sistema de gestión de amenazas de AT&T que analiza el tráfico y ayuda a los directores de seguridad de AT&T a identificar problemas emergentes, ver sus fuentes y tomar acciones preventivas. Para ayudar a proteger los servicios y redes de clientes, AT&T utiliza la arquitectura de seguridad “defense in depth”, con funciones de seguridad en cada capa de red y cada proceso asociado. Esta teoría de “defensa en profundidad” se basa en el concepto de que múltiples medidas de seguridad son más eficaces que una única defensa homogénea. Por tanto, si las medidas de seguridad en la primera capa de red tienen una brecha, las medidas de seguridad en la  segunda y tercera capa ayudarán a prevenir un ataque. Esto hace que sea más difícil penetrar en una red porque hay capas de seguridad en todos y cada uno de los sistemas, los procesos y las piezas que componen la arquitectura de red.

 

[1] The CEO’s guide to data security – Protect your data through innovation, vol.5, 2017