Repensando la seguridad para el Internet de las cosas

Repensando la seguridad para el Internet de las cosas
Repensando la seguridad para el Internet de las cosas

Los ciberataques, una vez dirigidos principalmente contra redes para robar información confidencial y causar estragos virtuales, han comenzado a expandirse y ahora están afectando directamente al mundo físico. Por ejemplo, el reciente hackear de la cuenta de Twitter de Associated Press del Ejército Electrónico Sirio y el posterior tuit sobre una explosión en la Casa Blanca causaron que el mercado de valores estadounidense disminuya casi un 1% antes de que la noticia fuera revelada como un engaño. En 2010, el gusano informático Stuxnet fue descubierto e implicado en el ataque que causó daños físicos a las centrifugadoras en instalaciones iraníes de enriquecimiento nuclear. En 2012, un hacker construyó y reveló un dispositivo simple que puede abrir cerraduras electrónicas de marca Onity-( que aseguran más de 4 millones de puertas de habitaciones de hotel) sin llave.

La creciente Internet de las cosas — la conexión de dispositivos físicos a Internet — ampliará rápidamente el número de dispositivos conectados integrados en nuestra vida cotidiana. De los coches conectados, cerraduras controladas por el teléfono (versiones de los cuales aquí, aquí, y aquí están en producción o cerca de ella), a la hipotética «nevera inteligente» que algún día ordenará leche para mí cuando me haya agotado, estas tecnologías traen consigo la promesa de eficiencia energética, conveniencia y flexibilidad. También tienen el potencial de permitir que los ciberatacantes entren en el mundo físico en el que vivimos mientras se apoderan de los agujeros de seguridad en estos nuevos sistemas.

A medida que aumenta la demanda de los consumidores de dispositivos conectados (y las proyecciones de Cisco y otros sugieren que habrá 50.000 millones de dispositivos conectados para 2020), los fabricantes tradicionales se convertirán, en masa, en fabricantes de dispositivos conectados. A medida que estos dispositivos estén sujetos a las mismas amenazas cibernéticas con las que los desarrolladores de software han estado familiarizados desde hace tiempo, las empresas tendrán que tomar medidas para integrar consideraciones de seguridad en sus diseños y procesos de diseño desde el principio.

Capacite a ingenieros para que apliquen las herramientas de ingeniería de sistemas existentes a las amenazas de seguridad. Aparte de aquellos que trabajan en aplicaciones específicas de nicho, los ingenieros que escriben software para sistemas de hardware integrados no suelen centrarse en problemas de seguridad. Por ejemplo, aunque los bloqueos de Onity usaban una clave criptográfica «secreta» para evitar el acceso no autorizado, la clave se almacenaba de forma insegura en la memoria del candado, lo que permitía a los hackers eludir la seguridad y abrir la ventana cerradura. Y varios modelos de cámaras de seguridad en red, diseñados para la transmisión remota de imágenes de seguridad en tiempo real a través de Internet, son vulnerables a hackear a través de un defecto de software que expone la transmisión de vídeo a partes no autorizadas y compromete la seguridad y la privacidad. Educar a los ingenieros sobre amenazas cibernéticas comunes y paradigmas de diseño que han evolucionado para mitigar los ataques les permitiría integrar las sólidas protecciones de seguridad existentes en las prácticas de ingeniería de sistemas que ya utilizan para construir sistemas fiables y estables.

Capacite a los ingenieros para que incorporen la seguridad en los productos mediante el uso de diseños modulares de hardware y software, por lo que una brecha en un área no puede tomar el control sobre otras partes del sistema. Tecnologías como micronúcleos e hipervisores (que permiten que los componentes individuales fallen y se reinicien sin afectar a otras partes del sistema) ya se utilizan comúnmente para aumentar la fiabilidad de los sistemas integrados. Estas tecnologías también aíslan diferentes partes del sistema unas de otras en caso de una violación de seguridad. Así, por ejemplo, si los atacantes toman el control remoto del sistema de infotainment de un automóvil a través de una estación de música o una aplicación de correo electrónico no segura, no tendrán acceso a la aplicación de autenticación o navegación para cambiar el destino del automóvil o pedir una recogida remota.

Utilice los estándares de seguridad abiertos existentes siempre que sea posible. Los estándares de seguridad abiertos, cuyos detalles e implementación han sido investigados y examinados por muchos expertos, son más seguros que las soluciones propietarias. Es difícil lograr una seguridad sólida, y los errores en los enfoques propietarios a menudo se manifiestan sólo cuando un tercero ha logrado descubrir una debilidad en la seguridad. Internet se basa en estándares abiertos. Tecnologías como TLS (que proporciona identificación segura, cifrado y evita el espionaje) y OAuth (un estándar abierto para la autenticación) proporcionan protocolos seguros y probados. Si bien elegir una plataforma establecida elimina el control directo sobre algunas decisiones de diseño de seguridad, es preferible aplicar la propia solución personalizada, que habrá sido objeto de menos escrutinio y la aportación de menos expertos.

Fomentar una cultura escéptica. Además de incorporar consideraciones de seguridad en los procesos formales de diseño, las empresas deben fomentar una cultura escéptica en la que grupos intelectualmente diversos de diferentes equipos de productos revisen los diseños de los demás y den retroalimentación acerca de los defectos, incluidos los que afectan a la seguridad. Un enfoque particularmente útil es designar especialistas internos o expertos externos como defensores del diablo y hacer que sea su trabajo para revisar, probar e intentar romper sistemas existentes de forma independiente. Los productos producidos a partir de una cultura en la que no sólo se fomenta el escepticismo sino que se garantiza formalmente no sólo son más seguros, sino que en general son también más fiables.

La nevera inteligente, conectada que sabrá cuando me he quedado sin leche y automáticamente hago un pedido parece una encantadora, benigna adición a mi casa. Pero cuando esa nevera también tiene acceso a mi tarjeta de crédito y puede abrir de forma inalámbrica una puerta para una repartidor, se vuelve menos benigna, especialmente si depende de un modelo de seguridad diseñado para una nevera que solo se conecta a la toma de corriente. A medida que los coches, las cerraduras, las cámaras y otros productos tradicionalmente no conectados se unen al Internet de las cosas, las amenazas cibernéticas dirigidas al hardware afectarán a una creciente gama de empresas. Para estas empresas, invertir en una solución de seguridad robusta y abierta será menos costoso que implementar un sistema propietario, si sus defectos ocultos causan daños a los clientes, provocan costosas retiradas de productos y dañan su marca.

 


Chris Clearfield via HBR.org

Total
0
Shares
Post Anterior
Reimaginando la sala de juntas para una era de realidad virtual y IA

Reimaginando la sala de juntas para una era de realidad virtual y IA

Siguiente Post
Resolver una pelea con un colega remoto

Resolver una pelea con un colega remoto

Posts Relacionados
¿Su empresa realmente necesita un Chatbot?

¿Su empresa realmente necesita un Chatbot?

Los chatbots — sistemas de conversación automatizados — se han vuelto cada vez más sofisticados. Chatbots son una amplia categoría que incluye desde altavoces inteligentes de Amazon Alexa hasta chat de texto automatizado en la página de servicio al cliente de una empresa. Los chatbots más potentes, y los que realmente pueden influir en la experiencia de los clientes y en los resultados de la empresa, son agentes virtuales. Estos son chatbots impulsados por una inteligencia artificial que puede entender y responder a una amplia variedad de preguntas de los clientes. Al igual que todos los esfuerzos exitosos de automatización, los chatbots de servicio a los clientes pueden reducir costos, pero su verdadero valor radica en la mejora que aportan a la experiencia del cliente. Los bots están disponibles las 24 horas del día, los 7 días de la semana, y a menudo responden a las preguntas de los clientes más rápidamente que los agentes humanos. Al considerar la implementación de un agente virtual, los líderes empresariales deben considerar qué tipo de empresas son mejor atendidas por chatbots, cómo integrarlas en su sistema de servicio al cliente existente y qué canales de distribución son más fructíferos.

Leer Más
Encontrar el dinero en el Internet de las cosas

Encontrando el negocio en IoT

Los ejecutivos han oído hablar del Internet de las cosas (IoT), pero comprensiblemente sospechan de todo el bombo. La única pregunta que tienen en mente es: ¿dónde está el dinero? ¿Dónde y cómo generará esta nueva tecnología un valor económico significativo para la empresa?
Leer Más

¿Podemos confiar en máquinas que suenan demasiado como nosotros?

Asistentes inteligentes con voz humana como Siri, Alexa, Google Assistant, Cortana y similares están proliferando. Dentro de poco estaremos hablando con casi cualquier cosa que tenga un interruptor eléctrico, y todas estas cosas nos responderán con una voz humana. Estos sistemas se construyen cada vez más para sonar como nosotros, con nuestros um y ah. Y eso no es bueno, explica el tecnólogo David Weinberger.

Leer Más