La responsabilidad de encontrar soluciones ante las vulnerabilidades de este tipo de dispositivos recae directamente en los fabricantes y desarrolladores de productos.
PC World en Español
Gartner estima que más de 4 mil millones de dispositivos IoT se instalarán a finales de 2016 y aumentará a 20 mil millones en 2020.
En un mercado donde los dispositivos conectados impulsarán el gasto a más de 868 mil millones dólares en este año, el impacto y los riesgos de la adopción del IoT ya se hacen evidentes.
IoT ya ha desarrollado una reputación de mala seguridad. Antes del reciente ataque DDoS al proveedor de DNS Dyn, los expertos en seguridad ya tenían grandes preocupaciones acerca de la mejor manera de lidiar con una creciente afluencia de dispositivos mal conectados.
Ataques como estos son un síntoma de compañías que se apresuran a satisfacer la demanda sin las garantías de seguridad con tal de ser los primeros en el mercado. Aunque los consumidores están entusiasmados con los productos IoT, en gran parte desconocen los riesgos de seguridad asociados.
La responsabilidad de asegurar los dispositivos conectados -y la responsabilidad de encontrar soluciones cuando se explota una vulnerabilidad- recaerán directamente en los fabricantes de productos y en los desarrolladores de software. Es fundamental para las organizaciones que desarrollan tecnologías IoT asegurar que sus productos no suponen ningún riesgo para la seguridad o la privacidad de los usuarios finales.
Estas son las áreas donde las empresas deben concentrarse para minimizar el riesgo del usuario y mejorar la seguridad.
- Seguridad física de los dispositivos: Es primordial que los desarrolladores tengan en mente la integración de medidas de protección contra falsificaciones en los componentes. Esto garantiza que no se puedan decodificar. Además, se debe asegurar que los datos relacionados con la autenticación, los códigos de identificación y la información de la cuenta se borren si un dispositivo se ve comprometido evitando que los datos privados se utilicen maliciosamente. La posibilidad de “limpieza remota” debe ser implementada si la PII está almacenada en el dispositivo.
- No a las puertas traseras: Hoy en día es bastante fácil de construir un dispositivo con una puerta trasera para ser utilizado para fines de vigilancia o aplicación de la ley en momentos de necesidad. Sin embargo, esto no debería ser una práctica ya que compromete la integridad y la seguridad del usuario final. Los fabricantes deben asegurarse de que no se introduce ningún código malicioso o puerta trasera y que el UDID del dispositivo no se copia, supervisa ni captura. Esto ayudará a garantizar que cuando el dispositivo se registra online, el proceso no es capturado, interceptado, vigilado o monitorizado ilegalmente.
- Codificación segura: los desarrolladores de IoT deben implementar codificación segura y aplicarla al dispositivo como parte del proceso de creación de software. Centrarse en el control de calidad y la identificación/resolución de vulnerabilidades como parte del ciclo de vida del desarrollo.
- Autenticación e identidad del dispositivo: una autenticación adecuada y segura con identificación de dispositivo individual permitirá que se establezca una conexión segura entre los propios dispositivos y el sistema de control de ‘backend’ y las consolas de administración. Si cada dispositivo tiene su propia identidad única, las organizaciones sabrán que el dispositivo de comunicación es de hecho el dispositivo que afirma ser. Esto requiere la identificación de dispositivos individuales basados en soluciones como PKI.
- Encriptación: cuando se utilizan soluciones IoT, las organizaciones deben cifrar el flujo de tráfico entre dispositivos y servidores ‘backend’. Asegurar que los comandos están encriptados y ver la integridad del comando mediante la firma o una codificación fuerte es vital. Todos los datos de usuario sensibles recopilados por dispositivos IoT deben ser cifrados también.
- Optimización del proceso de actualización: realice las actualizaciones de dispositivos de forma sencilla para que los errores y las actualizaciones de seguridad se puedan implementar de una manera fácil y manejable. Las actualizaciones de ‘firmware’ pueden ser complicadas si no están configuradas correctamente desde el principio. Desafortunadamente, los fabricantes a veces construyen los dispositivos sin capacidad de actualización de firmware en absoluto, optando por usar la memoria de escritura única.