Se calcula que los ataques a dispositivos IoT se han multiplicado por 9 entre el primer semestre de 2018 y el primer semestre de 2019, pasando de 12 millones a 105 millones, según Juniper Research. Para comprender mejor los retos y riesgos de los ciberataques para las empresas que utilizan objetos conectados, fuimos a reunirnos conHatem Oueslati, cofundador de la empresa IoTeropuna empresa especializada en la ciberseguridad de los objetos conectados. Con él, analizamos los retos, las mejores prácticas y los avances tecnológicos asociados a la ciberseguridad en el IoT.
ELA INNOVACIÓN: Sr. OUESLATI, ¿puede hablarnos más de IoTerop? ? ¿Qué pasa con OMA?
Hatem Oueslati: “IoTerop, con sede en Montpellier, fue fundada en 2016 por tres antiguos empleados de Intel. Su software está revolucionando el Internet de las Cosas al proporcionar una gestión remota potente, segura y fiable incluso para los dispositivos más baratos. De este modo, IoTerop garantiza el despliegue a largo plazo de millones de objetos conectados con muy pocos recursos de hardware y energía. Este software se basa en la norma mundial Lightweight M2M 1.1, en la que IoTerop es un actor principal, tanto en la definición de las especificaciones como en su aplicación.
IoTerop se ha unido recientemente al comité directivo del organismo internacional de normalización OMA SpecWorks(https://omaspecworks.org), que define normas de seguridad y gestión remota para el Internet de las Cosas. El Comité Directivo de OMA SpecWorks está formado por IoTerop, AT&T, Ericsson, T-Mobile, ARM, Itron y Qualcomm. La OMA está presionando especialmente para que se adopten en el sector normas abiertas como la OMA Lightweight M2M, diseñada específicamente para frustrar la piratería de los objetos conectados y ofrecer la posibilidad de gestionar a distancia el despliegue masivo de dispositivos conectados”.
ELA: ¿Cuáles son los impactos/riesgos para las empresas que utilizan objetos conectados?
Hatem Oueslati: “La seguridad de los objetos conectados es un reto monumental. Un fallo de seguridad en un dispositivo conectado puede tener graves consecuencias. Además de filtrar datos personales, un ataque a un objeto conectado puede utilizarse para piratear a una escala mucho mayor por el simple hecho de ser una puerta de acceso que da acceso a una red de varios millones de otros objetos. En 2016, se lanzó el mayor ataque DDoS (Denegación de Servicio) contra los proveedores de servicios OVH y Dyn utilizando una red de bots IoT. Se interrumpió el acceso a gran parte de Internet, como Twitter, The Guardian, Netflix, Reddit y CNN. Esta botnet IoT fue posible gracias al uso de un programa malicioso llamado Mirai. Una vez infectados por Mirai, los ordenadores buscaban en Internet dispositivos IoT vulnerables (principalmente cámaras y reproductores DVR), los infectaban a su vez y los utilizaban para atacar los sitios objetivo.
Lamentamos decir que la seguridad de las soluciones de objetos conectados que se utilizan actualmente es escasa, por no decir nula. En algunos casos, los datos se envían sin cifrar y, por tanto, pueden ser interceptados, falsificados o apropiados indebidamente con gran facilidad por un tercero. Los sistemas conectados y sus datos deben estar protegidos de extremo a extremo mediante mecanismos sólidos, fiables y actualizados periódicamente.”
ELA: ¿Cuáles son las mejores prácticas para protegerte y prevenir los problemas de ciberseguridad?
Hatem Oueslati: “La seguridad y la recopilación y análisis de datos se están convirtiendo en cuestiones fundamentales a medida que despega el IIoT (Internet de las Cosas Industriales). Los fabricantes tienen que añadir funciones de seguridad a sus objetos conectados en la fase de diseño. Es vital que estas funciones de seguridad se basen en normas internacionales para mantener la apertura y la interoperabilidad de toda la solución y su cadena de valor. También es importante utilizar un mecanismo de seguridad adaptado a la naturaleza del objeto conectado y al entorno en el que opera. Un objeto conectado no puede asegurarse del mismo modo que un PC, y hay que tener en cuenta sus limitaciones en cuanto a potencia de cálculo, memoria, disponibilidad de energía y ocupación del ancho de banda de la red. Estos elementos de seguridad deben poder evolucionar a lo largo del ciclo de vida del dispositivo. Evidentemente, se encontrarán nuevas vulnerabilidades después de su despliegue, por lo que los fabricantes deben incorporar mecanismos de actualización del software en el diseño de sus objetos, de modo que puedan aplicarse parches de seguridad a lo largo del tiempo.
En segundo lugar, hay que pensar desde el principio en una seguridad dinámica y no estática del objeto conectado, basada en una lógica que nos permita, por ejemplo, cambiar las claves de seguridad de un dispositivo si se han visto comprometidas, revocar un dispositivo si ha sido robado, etc. Dado que el despliegue masivo de objetos industriales conectados es relativamente reciente, pocos fabricantes aplican aún estos métodos e implantan las soluciones adecuadas, que son esenciales para el despliegue masivo de objetos conectados. No obstante, éste es uno de los ámbitos de investigación y desarrollo para muchos de ellos.
ELA: ¿Cuáles crees que son las tecnologías de seguridad más recomendables para los objetos conectados?
Hatem Oueslati: “Las normas de seguridad son un tema importante, y todavía hay un desconocimiento de las mismas. Sin embargo, su adopción es una condición sine qua non para la aparición de objetos conectados de gran volumen. Los fabricantes tienen que adoptar normas de seguridad abiertas que les permitan garantizar la seguridad de extremo a extremo de los objetos conectados, sobre todo en cuanto a autenticación y cifrado de las comunicaciones.
La ambición de IoTerop es asegurar y gestionar a distancia miles de millones de objetos conectados utilizando normas establecidas por consorcios internacionales de normalización, principalmente la OMA (Open Mobile Alliance), que está detrás del protocolo LightWeight M2M, y la IETF (Internet Engineering Task Force), que desarrolla y promueve las normas de Internet, en particular las que componen el conjunto de protocolos de Internet (TCP/IP). Se trata de los organismos internacionales de normalización más exitosos del sector. Formamos parte de estos organismos de normalización y, como tales, somos una fuerza impulsora en la definición de estas normas.
Las normas del IETF, DTLS, TLS y, más recientemente, OSCORE, permiten gestionar eficaz y adecuadamente la autenticación y el cifrado de las comunicaciones en los objetos conectados. El inconveniente es que TLS (sobre TCP) es engorroso, sobre todo en redes limitadas como NBIoT. En este último caso, debe preferirse DTLS (sobre UDP), u OSCORE, que puede ser una alternativa muy interesante, sobre todo para redes no IP, y se adapta perfectamente a LPWAN. Esta seguridad debe diseñarse para ser dinámica, es decir, debe ser posible actualizar o cambiar las claves de cifrado a distancia. Éste es el interés de las capas normalizadas COAP y LwM2M, que permitirán que los objetos conectados incorporen funciones de gestión normalizadas, como el bootstrapping o aprovisionamiento de parámetros, configuraciones y otras claves de seguridad (autoconfiguración automática y/o reconfiguración de determinados parámetros, configuraciones y claves de seguridad de forma dinámica al poner en marcha el dispositivo por primera vez).
A medida que se descubran más y más vulnerabilidades de seguridad, el software de los dispositivos tendrá que adaptarse para erradicar la piratería informática. Esto es precisamente lo que permite LwM2M, con una gestión integral muy eficaz de las actualizaciones de software en los objetos conectados. Se trata de un punto esencial que garantiza la viabilidad económica y a largo plazo de las soluciones implantadas.
LwM2M de OMA y OSCORE de IETF representan el estado del arte en la gestión remota de objetos conectados, y estas tecnologías están en proceso de ser adoptadas masivamente por los principales actores de la industria.
ELA: ¿Qué depara el futuro para la seguridad de los objetos conectados?
Hatem Oueslati: “Los grandes operadores de telecomunicaciones, los fabricantes y los gobiernos impondrán naturalmente a los fabricantes de objetos conectados normativas y, en particular, el uso de normas internacionales de seguridad y telegestión. Son estos mismos actores -los principales operadores mundiales, los principales fabricantes de chips de conectividad y los principales proveedores de contadores conectados- los que están trabajando actualmente en las tecnologías más adecuadas para el despliegue masivo y la seguridad de los objetos conectados. Todavía hay demasiada fragmentación en este campo, con demasiadas soluciones propietarias o insuficientemente seguras en el mercado.
La interoperabilidad, la gestión remota y la seguridad de nuestros smartphones y aplicaciones de Internet parecen hoy obvias. Sin embargo, sólo son posibles gracias a la adopción de normas abiertas, y el origen de estas iniciativas a menudo procede de estos mismos consorcios.
Además de la criptografía de los datos de los objetos conectados, el mercado de la Internet de los objetos evolucionará hacia una gestión más remota y una seguridad de extremo a extremo más dinámica.
Desde 2020, ELA Innovation trabaja con Mapon para ofrecer a las empresas de transporte y logística una solución completa de IoT y seguimiento de la cadena de frío. Descubre cómo Tracksys AS gestiona más de 30.000 unidades gracias a esta combinación tecnológica.
ELA Innovation – Todos los derechos reservados
Ponte en contacto con nosotros directamente mediante el formulario o haz clic en el botón de abajo para solicitar un presupuesto:
