ElevenPaths: Hay una gran incertidumbre y confusión acerca de los riesgos de seguridad del IoT

Esta entrevista forma parte del Tema de Portada del número de octubre de IT Digital Security. Puedes descargarte la revista en este enlace. 

¿Cree que el mercado está concienciado para aplicar seguridad al IoT?

La seguridad es considerada como la principal barrera para la adopción de soluciones IoT, según algunas encuestas (Business Intelligent Report, Diciembre 2014 - Eclipse Foundation IoT Developer Trends Survey, 2017). El mercado está concienciado sobre su importancia, pero hay una gran incertidumbre y confusión acerca de los riesgos de seguridad que rodean al mundo IoT.

En consecuencia, la seguridad o, mejor dicho, su ausencia, debe verse como una barrera, como un inhibidor de la adopción del IoT y, en consecuencia, de la implantación de soluciones que se aprovechen de los enormes beneficios que esta tecnología puede traer. Por todo ello, la seguridad es ya una preocupación de primer orden para el negocio y debe formar parte de cualquier solución IoT

¿Cuáles son los mayores retos a la hora de integrar seguridad en el IoT?

Hay varios retos que afectan fundamentalmente a los dispositivos y que podemos agrupar en los siguientes aspectos:

Heterogeneidad de dispositivos, redes, protocolos, métodos de autenticación y plataformas en la nube. Las soluciones de seguridad no pueden generalizarse y hay que ofrecer la propuesta adecuada en cada caso

Las limitaciones técnicas de algunos dispositivos, especialmente en despliegues masivos, donde el coste y las condiciones de la ubicación obligan a utilizarlos

La gestión de la identidad y el acceso de los propios dispositivos, así como de los vínculos con sus propietarios y otros dispositivos

La operación de los propios dispositivos, incluyendo su gestión remota y la actualización del software y su monitorización continua para la detección de incidentes

¿Cuál cree que será el mayor uso que los ciberdelincuentes harán del IoT?

Podemos clasificar los ataques al IoT en función del objetivo que persiguen: utilizar el IoT como medio para atacar otro objetivo o atacar al sistema IoT en sí mismo. En el primer grupo podemos incluir a aquellos ataques que se aprovechan de vulnerabilidades en los dispositivos para tomar el control, muy comunes en dispositivos de uso residencial por las escasas medidas de seguridad de los que vienen previstos. Los ataques del segundo tipo seguramente serán menos frecuentes, pues es de esperar que se hayan concebido con la seguridad como propiedad fundamental, pero su impacto puede ser mayor, ya que uno de los objetivos puede ser las infraestructuras críticas de un país.

¿Por qué se espera que el IoT sea menos inseguro que un dispositivo móvil?

En realidad, se está demostrando que los dispositivos IoT son más inseguros que los dispositivos móviles. Hay varias razones que contribuyen a ello. Además de las anteriormente mencionadas en la segunda pregunta, hay que tener en cuenta que la diversidad de dispositivos personales, de fabricantes y su falta de estandarización en cuestiones de seguridad, hacen que muchos de ellos vengan de fábrica con vulnerabilidades fácilmente explotables. Por otro lado, la vida esperada de estos dispositivos es mayor que la de los móviles y no hay mecanismos estandarizados para actualizar el software que los controla, lo que contribuye aún más a su inseguridad.

En su opinión, ¿cuáles serían las recomendaciones básicas de seguridad para el IoT?

Desde Telefónica, hemos contribuido activamente a la elaboración de las guías de seguridad en IoT de la GSMA (http://www.gsma.com/connectedliving/iot-security-guidelines-for-network-operators/) . En este conjunto de documentos se analizan los principios de seguridad en red, así como las principales consideraciones en materia de privacidad y seguridad de los servicios proporcionados por las operadoras de red.

Además de esta referencia, hay otras de organizaciones e iniciativas en las que estamos participando también, como OWASP IoT y IoT Security Foundation.

¿Cuál es la propuesta de su compañía para proteger el Internet de las Cosas?

Nuestra propuesta se basa en ofrecer soluciones que cubren el ciclo completo de protección (i.e. prevención, detección, respuesta y mejora) adaptadas a las necesidades particulares de cada caso de uso y construidas sobre las capacidades diferenciales de las operadoras de comunicaciones (como son la gestión de las redes y las comunicaciones, el control del ciclo de vida de las tarjetas SIM y los centros de operación de seguridad - SOCs).

En este sentido, podemos ofrecer funcionalidades básicas de filtrado del tráfico y para el aislamiento de internet de los dispositivos del cliente, funcionalidades más avanzadas de perfilado de dispositivos para detectar patrones anómalos o de análisis periódico programado de la seguridad de los dispositivos (conocido como “pentesting persistente”) u otros servicios más personalizados como el soporte de un equipo de respuesta a incidentes.