Tue. Oct 4th, 2022

Cuando los bomberos llegan a edificios en llamas, deben contener las llamas, rescatar a los habitantes y mantener la calma bajo presión. A medida que los dispositivos IoT se implementan cada vez más en las ciudades, los bomberos podrían tener acceso a más información que podría salvar más vidas y conducir a menos pérdidas de propiedad mediante el uso de datos en tiempo real sobre los alrededores que afectan a las personas necesitadas. En una emergencia en la que hay dispositivos IoT disponibles, los socorristas pueden usar los datos recopilados para tener una respuesta más eficiente y, a menudo, más exitosa. Los socorristas pueden obtener información sobre la ocupación de un edificio a través de sensores de ocupación, la infraestructura circundante de sensores de servicios públicos y semáforos, y el estado de los signos vitales de salud de las víctimas a través de dispositivos portátiles de actividad. Estos conocimientos en tiempo real que antes no estaban disponibles pueden ayudar a los socorristas a prepararse mejor para las situaciones y salvar más vidas. Las aplicaciones que salvan vidas como estas pueden transformar la forma en que se manejan los desastres, especialmente si se implementan a gran escala, pero la protección de la seguridad pública no debe ser a expensas de comprometer la seguridad y la privacidad de las empresas, las agencias gubernamentales y los ciudadanos. Los dispositivos de IoT se están implementando a un ritmo exponencial, y se esperan 27 mil millones de conexiones de IoT para 2025. Sin embargo, la seguridad de IoT no ha seguido el ritmo torrencial de la innovación. A medida que los dispositivos IoT con beneficios que facilitan la vida y potencialmente salvan vidas ven más uso, la escala en la que ocurren los ataques de ciberseguridad drásticos también crece. Para adelantarse a las infracciones de seguridad, las empresas que fabrican estos dispositivos tienen la responsabilidad de abordar rápidamente las vulnerabilidades de sus productos. Los riesgos de la adopción generalizada de IoT no deberían superar los beneficios sociales.

Los hackers tienen fácil acceso

Al implementar nuevos dispositivos inteligentes en ciudades y hogares, a menudo se supone que esos dispositivos tienen al menos un nivel básico de ciberseguridad. Si bien las alianzas de la industria y las agencias gubernamentales han publicado varias pautas y estándares de seguridad cibernética que establecen un nivel mínimo de seguridad, muchos fabricantes y proveedores de dispositivos IoT no han adoptado ni implementado ninguno de ellos. Numerosos dispositivos que antes estaban aislados, como refrigeradores, medidores de gas, automóviles y dispositivos médicos, ahora están conectados, pero a menudo sin una consideración rigurosa de los marcos de seguridad. Estos dispositivos nunca tuvieron la intención de interactuar con usuarios remotos no autorizados, por lo que los controles de acceso y la gestión adecuada de credenciales pueden ser débiles o inexistentes. Los piratas informáticos pueden explotar estas vulnerabilidades de seguridad simples sin mucho esfuerzo. Es fácil de acceder y hacerlo viola la confidencialidad e integridad de los datos privados del usuario y afecta la disponibilidad del dispositivo. Por ejemplo, los bomberos pueden usar dispositivos y sensores IoT para obtener datos sobre el estado y los habitantes de un edificio, pero si los dispositivos fueran pirateados, los datos recopilados podrían ser inexactos o potencialmente engañosos. Los bomberos podrían gastar tiempo y energía valiosos para ubicar a una persona, con datos incorrectos que los señalen en el área equivocada. Los dispositivos diseñados para ser útiles podrían convertirse en un perjuicio y obstaculizar los esfuerzos de los bomberos para rescatar a los residentes del edificio.

La ciberseguridad es responsabilidad de todos

Los ataques a la seguridad de los dispositivos IoT pueden ocurrir en todas las etapas de producción, desde la etapa de especificación y diseño; a la fabricación, embalaje y prueba; a la distribución e integración de productos de usuario final. Los fabricantes de chips, los fabricantes de dispositivos y los consumidores juegan un papel importante en la seguridad de los dispositivos IoT. Muchas de las deficiencias de seguridad que tienen los dispositivos son el resultado de pautas poco claras sobre quién es responsable de las decisiones de seguridad. Durante el desarrollo del dispositivo IoT, una empresa puede diseñar el dispositivo, mientras que otra empresa proporciona el software, opera la red que admite el dispositivo y lo implementa. La confusión ha llevado a la inacción de todas las partes, especialmente porque no hay incentivos suficientes para asegurar adecuadamente los productos. Es importante que los líderes de la industria adopten estándares de seguridad de IoT y trabajen juntos para abordar áreas esenciales de mejora. Durante muchos años, la industria de IoT no ha mostrado entusiasmo por la autorregulación y, como resultado, ahora se están introduciendo políticas federales y estatales para guiar la regulación de seguridad en la industria, incluidas las siguientes: Los dispositivos de IoT solo deben ejecutar código autenticado. Use solo interfaces seguras para la depuración y la comunicación. La capacidad de actualización de software remota y segura es obligatoria. Todos los dispositivos deben tener un identificador único. Incorpore un programa de divulgación de vulnerabilidades y una respuesta a incidentes de productos. Estos requisitos solo cubren las necesidades básicas, pero requieren que los fabricantes de dispositivos y los desarrolladores de aplicaciones aumenten radicalmente el nivel de seguridad en el desarrollo de productos. Los consumidores también deben mantener sus dispositivos y permitir que los dispositivos se actualicen mientras están en uso. También deben estar atentos a los intentos de phishing e ingeniería social para piratear.

Nuevas políticas para abordar la seguridad de IoT

En los EE. UU., la nueva política requerirá una base de protección de seguridad cibernética en los dispositivos vendidos dentro del país. En mayo de 2021, el presidente Joe Biden emitió la “Orden ejecutiva para mejorar la seguridad cibernética de la nación”, que insta a las agencias a mejorar las pautas de seguridad cibernética en toda la cadena de suministro de software y hardware. Los fabricantes ahora pueden comenzar a implementar estándares de seguridad y trabajar con otros para crear un estándar industrial universal, antes de que la legislación dicte todos los requisitos. NIST está trabajando con la industria de IoT para diseñar, estandarizar, probar y fomentar la adopción de métodos generales para proteger los dispositivos de IoT de las infracciones de seguridad cibernética. El Departamento de Seguridad Nacional (DHS) está utilizando el trabajo del NIST para crear mejores prácticas y requisitos para todos los dispositivos que se venden dentro de los EE. UU. El DHS solo puede impulsar la acción de la industria del sector privado hasta cierto punto, y es importante que los líderes de la industria trabajen juntos para crear y adoptar estándares para los dispositivos vendidos en el país. En la Unión Europea, la Agencia de la Unión Europea para la Ciberseguridad define estándares para niveles comunes de capacidades de ciberseguridad en toda Europa. Sus mejores prácticas definidas han estado vigentes desde 2017 y están guiando a la industria europea sobre los fundamentos de seguridad de IoT. Si bien los gobiernos y los organismos reguladores pueden legislar una base de estándares de seguridad, su función principal es crear los incentivos correctos y fomentar el desarrollo de las herramientas y los recursos necesarios para que las empresas y los consumidores puedan tomar decisiones informadas. Una vez que se desarrolla la política, los líderes en la industria de IoT ya deberían tener un estándar de seguridad cibernética que proteja de manera efectiva los datos de los consumidores y permita que la tecnología de IoT prospere.
Sobre el Autor
Sharon Hagi es directora de seguridad de Silicon Labs y es responsable de supervisar las estrategias integrales de ciberseguridad y las mejores prácticas de la empresa para ofrecer tecnologías y soluciones de seguridad avanzadas. Hagi tiene más de 25 años de experiencia en la industria de la ciberseguridad como desarrollador, arquitecto y estratega.