Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué significa la IoC para la seguridad?

[08/11/2013] Es probable que haya estado escuchando mucho últimamente sobre la Internet de las cosas (IoT, por sus siglas en inglés). La IoT (ver: "La IoT: Primero" al final de esta nota) todavía está en las primeras etapas de desarrollo, pero poco a poco está abriéndose camino hacia la popularidad a medida que más objetos se conectan a través de tecnologías como la identificación por radiofrecuencia (RFID) y la ubicuidad de Internet.
Independientemente del papel que juega el desarrollo de IoT en los meses y años que están por venir, o qué planes específicos tienen las organizaciones para la implementación de proyectos relacionados, es claro que habrá implicaciones de seguridad. Los ejecutivos de TI y de seguridad puede que deseen empezar a pensar en los aspectos de seguridad de la IoT hoy, incluso si no tienen planes inmediatos para vincular objetos a través de Internet.
Entre las preguntas claves de seguridad están qué nuevos retos -si hubieran- presenta IoT, y cómo las empresas pueden prepararse para hacerles frente.
Los expertos señalan que las amenazas de seguridad de la Internet de las cosas son amplias y potencialmente paralizarían los sistemas. Dado que la IoT tendrá componentes críticos de la infraestructura, es un buen objetivo para el espionaje nacional e industrial, así como la denegación de servicio y otros ataques. Otra área de preocupación es la información personal que potencialmente reside en las redes, que también es un posible objetivo para los delincuentes cibernéticos.
Una cosa a tener en cuenta en la evaluación de las necesidades de seguridad es que la IoT sigue siendo en gran medida un trabajo en progreso.
"No es un paso difícil, es más bien un declive gradual", señala Andrew Rose, analista principal de Forrester Research, quien cubre temas de seguridad y riesgo, y es autor de un informe del 2012 titulado, "Prepare a su organización de seguridad para la Internet de las cosas".
"Hay muchas cosas que están conectadas a la Internet ahora, y vamos a ver un aumento en esto y el advenimiento del intercambio de datos contextuales y las acciones autónomas de la máquina sobre la base de esa información", agrega Rose.
Entre las consideraciones de seguridad clave con la IoT está la que indica que un objeto, ya sea un camión, una máquina expendedora o un frasco de medicina, pasará a formar parte de un entorno de red.
"La IoT es la asignación de una presencia virtual a un objeto físico", comenta Rose. "A medida que se desarrolle, estas presencias virtuales comenzarán a interactuar e intercambiar información contextual, y los dispositivos tomarán decisiones sobre la base de este dispositivo contextual. Esto dará lugar a amenazas muy físicas, en torno a la infraestructura nacional, las posesiones (por ejemplo, automóviles y casas), medio ambiente, energía, agua y suministro de alimentos, etc.".
A medida que una gran variedad de objetos pasan a formar parte de un entorno interconectado, "hay que tener en cuenta que estos dispositivos han perdido su seguridad física, ya que se ubicarán en ambientes inhóspitos, con acceso al instante para la persona que está más motivada a manipular los controles ", agrega Rose.
Los atacantes podrían potencialmente interceptar, leer o cambiar los datos, añade Rose. "Ellos podrían interferir con los sistemas de control y cambiar la funcionalidad, lo que aumenta los escenarios de riesgo", añade.
Un ejemplo sencillo de cómo los dispositivos habilitados con red pueden convertirse en una amenaza para la seguridad son las impresoras en red, señala Randy Marchany, CISO en la Universidad Virginia Tech y director del laboratorio de seguridad TI de Virginia Tech.
"Cada impresora viene con un servidor web incorporado. Vaya al navegador de su dispositivo y obtendrá una pantalla/página de control para el dispositivo", indica Marchany. "De forma predeterminada, la mayoría de las impresoras tienen una contraseña en blanco". Puede ver el problema con eso de inmediato. Sí, puede cambiar la contraseña, pero esa información no suele estar en la página leer primero.
Otra cuestión es asegurarse de que la versión del servidor web en funcionamiento no sea vulnerable a los ataques. "No es fácil actualizar un servidor web que se ejecuta en una impresora", comenta Marchany. "Normalmente tiene que hacer una actualización del firmware y por eso, está a merced del proveedor. Así, los servicios incorporados por defecto, como un servidor web y la incapacidad para reparar/actualizar estos servicios son dos amenazas que creo se necesitan abordar en el entorno actual".
Desafíos únicos
Los incidentes de seguridad relacionados con las implementaciones de IoT ya se están produciendo. "La mayoría de los ejemplos provienen de entornos de prueba", señala Rose. "Aunque se han producido ejemplos reales, pocos están dispuestos a echarle la culpa a los atacantes externos, debido a la preocupación que pueda causar".
Entre los ejemplos recientes, uno involucra a investigadores que hackearon dos vehículos y desactivaron los frenos, apagaron las luces y volvieron a encender los frenos -"todo fuera del control del conductor", señala Rose. En otro caso, un yate de lujo fue desviado de su curso por los investigadores que hackearon la señal de GPS que se utiliza para la navegación.
"Los centros de control para el hogar se han vuelto vulnerables, lo que permite que los atacantes alteren los controles de la calefacción, iluminación, energía y hasta de la puerta", señala Rose. Otros casos se refieren a sistemas de control industrial que son hackeadas a través de su red y sensores inalámbricos, agrega.
"Ya estamos viendo televisores y cámaras de video hackeadas, y monitores para niños que han planteado preocupaciones sobre la privacidad, e incluso medidores de potencia hackeados que se han utilizado para robar energía eléctrica", añade Paul Henry, director de la firma consultora de seguridad VNet Security LLC, e instructor senior en el SANS Institute, un centro de investigación cooperativa y organización educativa en Bethesda, MD.
"Un reciente artículo hablaba de un 'foco de luz hackeado'", señala Henry. "Puedo imaginar un gusano que podría comprometer un gran número de estos dispositivos conectados a Internet y acumularlos en algún tipo de botnet. Recuerde que no es solo el valor o la potencia del dispositivo lo que quiere esa mala persona. Es el ancho de banda al que puede acceder y utilizar en un ataque DDoS (distribuido de denegación de servicio)".
La mayor preocupación, señala Henry, es que los usuarios de dispositivos IoT no consideran a la seguridad de los dispositivos que se conectan como una cosa de gran preocupación. "El problema es que el ancho de banda de un dispositivo comprometido puede ser utilizado para atacar a un tercero", agrega. "Imagine una botnet de 100 millones de dispositivos IoT haciendo peticiones de sitios web legítimos en su sitio web corporativo, al mismo tiempo".
Los expertos dicen que la IoT probablemente creará problemas de seguridad complejos y únicos, en algunos casos, para las organizaciones.
"A medida que las máquinas se vuelven autónomas, son capaces de interactuar con otras máquinas y tomar decisiones que repercuten en el mundo físico", señala Rose. "Hemos visto problemas con el software automático de comercio, que puede quedar atrapado en un bucle causando caídas del mercado. Los sistemas pueden tener mecanismos de seguridad incorporados, pero estos son codificados por los seres humanos, que son falibles, especialmente cuando están escribiendo código que funciona a la velocidad y frecuencia a la que pueden operar los programas informáticos".
Las amenazas de seguridad de la IoT también puede resultar en problemas generalizados que pueden tener un impacto en mucha gente, señala Rose.
"Si la seguridad de un sistema actual falla, podríamos ver que varios centenares de detalles de tarjetas de crédito pueden ser robados, o descubrir a un político -pero estos no son grandes problemas", comenta Rose. "En su lugar, imagínese que se hackee un sistema de energía eléctrica y se apaguen las luces en una zona de la ciudad. La IoT permite que el mundo virtual interaccione con el mundo físico, y eso trae grandes problemas de seguridad".
La IoT traerá consigo tres cuestiones de seguridad "masiva", señala Ted Demopoulos, fundador de la firma de consultoría de seguridad Demopoulos Associates en Durham, NH. Estas incluyen la pérdida de privacidad, un 'comingling' de los datos personales y de la empresa, y el descubrimiento.
La pérdida de privacidad vendrá de la capacidad de rastrear el paradero de las personas, así como los elementos que están comprando o si están fuera de casa. "La mayoría de nosotros llevamos teléfonos móviles 24/7 que se conectan a las torres de telefonía celular, y los datos existen para rastrear nuestros movimientos de hoy", señala Demopoulos.
"Algo tan simple como los medidores de electricidad inteligentes pueden potencialmente ser utilizados para saber si estamos en casa o si hemos salido por un tiempo, con base en el volumen de consumo de electricidad, si somos amantes de la noche o si madrugamos y más", agrega Demopoulos.
En cuanto al 'comingling' de los datos personales y de la empresa, es el mismo reto que muchas organizaciones ya están enfrentando con el mayor uso de la tecnología móvil en el trabajo y la tendencia BYOD.
"Los teléfonos inteligentes están en todas partes, a veces propiedad de la empresa, a veces propiedad de los empleados, a veces un extraño híbrido donde el empleado adquiere el teléfono y la empresa les da dinero para ello", añade Demopoulos.
Hay soluciones técnicas al problema, por ejemplo, mediante el cifrado de datos y borrado de remoto de información. Pero esto plantea otras cuestiones que se deben abordar. "¿Una empresa puede legalmente borrar los datos?", se pregunta Demopoulos. "En algunos casos no está claro. Las soluciones técnicas no abordan cuestiones legales aquí".
El descubrimiento se refiere a cuestiones tales como atacantes que pueden leer remotamente el pasaporte de una persona u otra tarjeta de identificación a través de RFID y tecnologías similares. "En muchos casos, existen soluciones técnicas posibles o existentes, pero rara vez abordan la ética, incluyendo la privacidad y los asuntos legales", anota Demopoulos.
¿Qué se puede hacer?
Aunque las amenazas siempre existirán para la IoT al igual que con otras tecnologías, es posible reforzar la seguridad de los entornos de la IoT con herramientas de seguridad, como el cifrado de datos, autenticación fuerte de usuarios, codificación resistentes y APIs estandarizadas y probadas que reaccionen de una forma previsible.
Algunas herramientas de seguridad tendrán que ser aplicadas directamente a los dispositivos conectados.
"La Internet de las Cosas y su primo BYOD tienen los mismos problemas de seguridad que las computadoras tradicionales", señala Marchany. "Sin embargo, los dispositivos IoT por lo general no tienen la capacidad de defenderse a sí mismos, y podrían tener que depender de dispositivos independientes tales como firewalls y sistemas de detección/prevención de intrusiones. La creación de un segmento de red independiente es una opción".
De hecho, la falta de herramientas de seguridad en los dispositivos o la falta de actualizaciones de seguridad oportunas en los dispositivos es lo que podría hacer que asegurar la IoT sea algo más difícil que otro tipo de iniciativas de seguridad, señala Marchany.
"La seguridad física es probablemente un gran problema, ya que estos dispositivos suelen estar a la intemperie o en lugares remotos y cualquier persona puede tener acceso físico a ellos", indica Marchany. "Una vez que alguien tiene acceso físico al dispositivo, las preocupaciones de seguridad aumentarán de forma espectacular".
No ayuda que los proveedores que ofrecen las tecnologías de la IoT probablemente no hayan diseñado la seguridad en sus dispositivos, señala Marchany. "A largo plazo, los ejecutivos de TI deben empezar a exigir que los vendedores afirmen que sus productos no son vulnerables a los ataques comunes, tales como los enumerados en el top ten de vulnerabilidades web de la OWASP (Open Web Application Security Project)", anota el ejecutivo. TI y los ejecutivos de seguridad deben "exigir que los vendedores muestren una lista de las vulnerabilidades existentes en sus dispositivos como parte del proceso de compra".
Pero no es solo para que los proveedores protejan los dispositivos, según los expertos. TI y los ejecutivos de seguridad tendrán que tener un buen control sobre qué tipos de dispositivos se conectan a la red corporativa.
"Para asegurar las cosas en Internet, tenemos que saber qué cosas tenemos, como primer paso", señala Demopoulos. Hay muchas maneras de encontrar lo que se encuentra potencialmente en cualquier red, agrega, incluyendo la escucha pasiva en los puntos de concentración de la red, y la digitalización de las redes con las herramientas automatizadas que se ejecutan periódicamente.
"Esto funciona bien hoy, pero no en el futuro", añade Demopoulos. "Vamos a estar viviendo en un aumento de IPv6 e IPv4. No se puede escanear una subred IPv6, por lo que esta técnica no funciona. Una subred IPv6 es demasiado grande. Las organizaciones necesitan comenzar a planificar desde ahora cómo van a hacer la detección de dispositivos en el futuro. El primer paso para asegurar estos dispositivos es saber que están ahí.
Las necesidades de seguridad tienen que ser construidas como la base fundamental de los sistemas de la IoT, "y eso evidentemente no está ocurriendo", señala Rose. "Tenemos que poner la seguridad en el punto más capaz de la cadena de tecnología y luego someterla a rigurosos controles de validez, autenticación, verificación de datos, etc. Además, todos los datos deben estar cifrados".
A nivel de la aplicación, las organizaciones de desarrollo de software tienen que mejorar en la escritura de código que sea estable, resistente y confiable, señala Rose. "Se puede lograr algo de esto a través de un mejor desarrollo de normas de código, capacitación, análisis y pruebas de amenazas", agrega. "Por desgracia, siempre van a depender de las capas lógicas debajo de ellas, por ejemplo, el hardware, la capa de virtualización y el sistema operativo".
Estas capas tienen que ser revisadas y reforzadas para asegurar que la plataforma es segura, anota Rose. "Además, ya que los sistemas interactúan entre sí, es fundamental contar con un estándar de interoperabilidad acordado, que sea sólido como una roca, agrega. "Estos son los cimientos sobre los que se construirá la IoT".
La IoT: Lo primero
La Internet de las Cosas (IoT) es todavía un concepto vago y lleva una serie de definiciones. La Internet de las Cosas en general se refiere a una estructura similar a la Internet que conecta objetos singularmente identificables; básicamente, cualquier cosa que pueda ser etiquetada con un chip de identificación.
Las "cosas" de la red obtienen representaciones virtuales, y pueden interactuar unas con otras, así como recoger datos tales como cuándo y cómo están siendo utilizados los objetos, su condición de funcionamiento, etc.
La IoT surgió primero a través del trabajo del Auto-ID Center, una colaboración sin ánimo de lucro entre empresas privadas e instituciones académicas, que inició la creación de una infraestructura parecida a la Internet que pueda ser utilizada para rastrear los bienes de todo el mundo a través de la identificación por radiofrecuencia (RFID) de etiquetas que contienen códigos de productos electrónicos.
Cuando el centro se cerró en el 2003, EPCGlobal fue creado para continuar el esfuerzo de comercializar la tecnología EPC y la investigación del centro continúa hasta hoy en Auto-ID Labs, operado por universidades de todo el mundo.
Además de la utilización de la tecnología, como RFID, la IoT implica habilitar para la web muchos tipos de productos, equipos, vehículos y edificios de manera que los usuarios puedan capturar y compartir los datos acerca de los objetos. Cualquier "cosa" en la red puede convertirse en un "objeto inteligente" para que sea parte de la Internet y desempeñe un papel activo en los procesos del negocio.
Estos objetos inteligentes potencialmente pueden incluir cualquier número de dispositivos, productos y activos de la empresa, tales como automóviles y camiones, máquinas expendedoras, productos farmacéuticos, dispositivos médicos, equipos de construcción y otra maquinaria pesada, medidores de gas y electricidad, semáforos, electrodomésticos y muchos otros.
La idea de una IoT es cada vez más popular con la llegada de la conectividad ubicua, sensores de menor costo y la microelectrónica, que permiten que casi cualquier cosa esté conectada a Internet.
Bob Violino, CSO (EE.UU.)