Llegamos a ustedes gracias a:



Reportajes y análisis

La IoT lleva la seguridad de las TI al límite

IoT, Seguridad

[19/07/2016] La Internet de las cosas (IoT, por sus siglas en inglés) ofrece muchos posibles beneficios para las organizaciones y los consumidores -gracias a la conectividad sin precedentes de numerosos productos, artefactos y activos que pueden compartir todo tipo de información. La IoT también presenta una serie de amenazas a la seguridad de las que las organizaciones deben ocuparse.

"No hay duda de que los niveles de riesgo van a incrementarse junto con el crecimiento y el despliegue de dispositivos IoT, afirma Ruggero Contu, director de investigación en Gartner. La IoT introducirá miles de nuevos vectores de amenaza, simplemente al incrementar el número de puntos de networking, sostiene Contu.

Aunque la IoT ofrece grandes oportunidades, en ambientes interconectados "los riesgos a la seguridad aumentan exponencialmente y el vector de ataque o superficie es -en teoría- potencialmente ilimitado, afirma Laura DiDio, directora de investigación empresarial en Systems Research & Consulting de Strategy Analytics.

"Adicionalmente, la carga ejercida en las áreas de TI es mucho más ardua, afirma DiDio. "Tienen mucho, mucho más que rastrear. La seguridad del perímetro es el punto central de mucha de la atención y por claros motivos, sostiene DiDio, porque es la primera línea de defensa y recibe el impacto del ataque frontal por completo.

"Dicho esto, no es el único punto vulnerable en la infraestructura de IoT, señala DiDio. De hecho, en los ambientes de IoT, donde todo y todos estarán cada vez más interconectados, los usuarios finales despreocupados constituyen la mayor amenaza a la seguridad para las redes IoT de una organización, de acuerdo a los datos de la encuesta de Strategy Analytics 2016.

No es de sorprender, los gastos en seguridad para IoT están en alza. En un reporte de abril del 2016 de Gartner se determinó que el gasto en seguridad de IoT llegará a 348 millones de dólares en el 2016, un incremento de 24% comparado a los 281,5 millones de dólares gastados el 2015. Y se espera que el gasto en seguridad de IoT llegue a 547 millones de dólares en el 2018.

IoT, Seguridad

Gartner pronostica que el gasto en el mercado de seguridad de IoT aumentará a un ritmo mayor después del 2020, cuando las opciones de habilidades mejoradas, cambio organizacional y servicios con más escalas mejoren la ejecución.

El mercado está creciendo debido a que tanto el consumidor como los negocios están empezando a usar dispositivos conectados en mayor cantidad, sostiene la firma. Gartner ha pronosticado que 6,4 mil millones de objetos conectados estarán en uso a nivel mundial este año, un aumento de 30% respecto al 2015, y llegarán a 11,4 mil millones en el 2018.

La firma pronostica que para el 2020 más del 25% de ataques identificados a empresas involucrarán a la IoT, aunque la IoT representará menos del 10% del presupuesto de seguridad de TI.

Los proveedores de seguridad enfrentarán el reto de proporcionar funciones de seguridad para la IoT que sean utilizables, debido a los presupuestos limitados que serán asignados para la IoT y el enfoque descentralizado para implementaciones tempranas de IoT en las organizaciones, señala Gartner. Se espera que las medidas para asegurar la IoT se centren más en la administración, analítica y aprovisionamiento de dispositivos y sus datos. Y para el 2020, Gartner ha pronosticado que más de la mitad de todas las implementaciones de IoT utilizarán alguna forma de servicio de seguridad basado en la nube.

Es muy probable que la IoT esté entre las principales prioridades de seguridad cibernética para las compañías en los años que vienen. El Computer Emergency Readiness Team (CERT), división del Software Engineering Institute en Carnegie Mellon University, produjo un reporte en mayo del 2016 donde se identificaron 10 tecnologías emergentes que se encuentran bajo riesgo, y algunas de estas están relacionadas con la IoT.

En el estudio, 2016 Emerging Technology Domains Risk Survey, el CERT examinó la seguridad de áreas como la de la casa conectada, que involucra la automatización de dispositivos para el hogar, artefactos y computadoras. Otra área es la de los sensores inteligentes, una de las tecnologías que abastecen a la IoT.

En el mundo actual, cada vez más interconectado, la comunidad de la seguridad de la información debe estar preparada para lidiar con las vulnerabilidades que puedan surgir de nuevas tecnologías, sostuvo Christopher King, analista de vulnerabilidad en la división del CERT, en una entrada de blog. "Entender las tendencias de las tecnologías emergentes puede ser de ayuda para los profesionales de la información de seguridad, los líderes de las organizaciones, y otros a quienes les interese la información de seguridad con el fin de identificar áreas donde se pueda extender el estudio, afirmó.

La Universidad Carnegie Mellon ha sido un desarrollador temprano de la IoT, y ha hecho que la seguridad sea una prioridad.

La Universidad está trabajando en una plataforma abierta de IoT llamada Giotto, nombrada así por el pintor innovador del Renacimiento. "Estamos construyendo un stack de extremo a extremo, que va desde el hardware hasta el middleware, pasando por las capas de aplicación, integrando aprendizaje de máquina, privacidad y seguridad, y también enfocándose en la experiencia del usuario, afirma Jason Hong, director del grupo de investigación del Computer Human Interaction: Mobile Privacy Security Lab en la School of Computer Science de Carniegie Mellon.

"Queremos construirla de manera que proporcione a la gente IoT in a box, para que puedan usar rápidamente nuestras plataformas de sensores, demostrar ejemplos de cosas para medir (como la apertura de una ventana o alguien tocando la puerta) y crear aplicaciones que son activadas por esas acciones medidas, sostiene Hong.

La IoT ofrece mucho potencial para mejorar la vida diaria, "pero también posee nuevos tipos de riesgos a la seguridad, indica Hong. "Es útil pensar en la IoT como una pirámide. En la parte superior uno tiene unos cuantos dispositivos que utilizará bastante y tendrán bastante poder computacional, como las laptops, teléfonos inteligentes, relojes y consolas de juego.

En el medio hay docenas de dispositivos que se usan ocasionalmente y que tienen un peso computacional moderado. Esto incluiría termostatos, televisores, refrigeradores, etcétera. En la parte baja están los artefactos de los cuales la gente apenas está consciente, como HVAC, placas, dispositivos médicos implantados, cuadros de fotos digitales, seguros electrónicos y más.

El nivel superior estará protegido, indica Hong, puesto que las compañías que fabrican estos productos tienen bastante experiencia, y los dispositivos pueden ejecutar mucho software de seguridad. "Sin embargo, la parte media y baja de la pirámide es donde veremos muchos problemas, afirma. "Muchos de los fabricantes tienen muy poca o ninguna experiencia en software, y estos dispositivos no pueden hacer mucho para protegerse a sí mismos.

La amenaza más grande a la IoT será la del ransomware, sostiene Hong. "Los ataques actuales de ransomware involucran el cifrado de los datos de una víctima y mantener estos datos como rehenes hasta recibir un pago, afirma. "Mañana, la IoT ofrecerá una nueva dimensión de nuevos ataques ransomware. Se podría molestar a la gente al dejarla fuera de sus casas o de sus autos. Anonymous podría interferir con el HVAC o la iluminación de una compañía, elevando las cuentas de luz o irritando a sus ocupantes, indica, y los atacantes podrían buscar ingresar a múltiples dispositivos autónomos o dispositivos médicos, manteniendo a las personas virtualmente como rehenes.

El laboratorio en Carnegie Mellon está investigando muchas ideas para la seguridad dentro de Giotto. Una se trata de cómo usar la proximidad como una manera de ganar acceso, señala Hong. Por ejemplo, si está en una habitación, podría ser capaz de tener acceso a algunos de los sensores y servicios de la habitación, como la temperatura. Si está fuera de la habitación, puede que no obtenga la información necesaria o que no obtenga información alguna.

"También estamos viendo cómo diferenciar entre datos públicos y privados, señala Hong. "Por ejemplo, en su universidad, podríamos designar sensores en los pasillos como datos públicos a los cuales todos los que estén afiliados a la universidad pueden acceder y usar. Pero los datos y servicios asociados a oficinas privadas podrían ser solo accesibles para el ocupante de la oficina, así como para el administrador del edificio.

Asimismo, el laboratorio está viendo cómo diferentes capas de Giotto pueden respaldar a distintas partes de la seguridad. Por ejemplo, la capa física necesita facilitar que las personas entiendan que los sensores están ahí, que puedan ver qué datos están recolectando los sensores, ver cómo se usa los datos, y entender quién puede ver los datos, sostiene Hong.

"Las capas lógicas y de middleware necesitan ofrecer el control del acceso, como defaults útiles para qué los servicios y datos puedan ser accesibles para las personas, y controles realmente simples que no requieran un doctorado para ser entendidos, afirma Hong. "Las capas de aplicación necesitan hacer que a los desarrolladores promedio les sea fácil usar los datos sin dejar de respetar la privacidad de las personas.

En las TI corporativas, existe un fuerte énfasis en la seguridad del punto final -o poner software de seguridad en laptops, desktops y teléfonos inteligentes, indica Hong. Esto solo funciona para los dispositivos del primer nivel, pero no para los mil de millones de dispositivos que constituyen el nivel medio y bajo, afirma. "Tendrán que ocurrir grandes avances en la seguridad de las redes para proteger a este tipo de dispositivos.

Las organizaciones también necesitarán innovaciones significativas en técnicas de inteligencia artificial y big data para detectar comportamientos inusuales, añade Hong. "Apenas podemos administrar la seguridad de nuestras desktops, laptops y servidores de nube en la actualidad, y añadir miles o decenas de miles de dispositivos a la red de una casa o una corporación implicará la necesidad de nuevas y automatizadas maneras de detectar y responder a los ataques rápidamente.

A nivel general, ninguna tecnología homogénea e individual puede proteger todos los activos de TI, incluyendo al procesamiento de perímetro de la IoT, plataforma de middleware de IoT, sistemas de back-end y datos, señala Contu. "Se requiere de un enfoque de seguridad multifacético para lidiar con los riesgos físicos y digitales ampliados, indica.

En el punto final, pueden utilizarse distintos enfoques, desde incorporar funciones de seguridad dentro de la arquitectura del chip hasta desplegar agentes de software para realizar controles de seguridad diferentes, añade Contu. Las entradas van a proporcionar ayuda valiosa en una arquitectura complicada como en los ecosistemas de IoT, que son difíciles de asegurar como resultado de los dispositivos heterogéneos y perfiles de identidad.

"Las entradas se desplegarán para alinear y administrar dominios de IoT específicos, manejar un conjunto específico de dispositivos con requerimientos de confiabilidad similares, y como resultado se les puede dar forma a los dominios usando principios de un modelo de confiabilidad común, sostiene Contu. "La federación de modelos de confiabilidad permite la interoperabilidad entre distintos dominios y dispositivos que usan diferentes modelos de confiabilidad.

Las tecnologías clave para la seguridad de la IoT probablemente serán el aprendizaje de máquina y la inteligencia artificial, sostiene James Beeson, CISO y líder de riesgo de TI en la firma de servicios financieros GE Capital Americas.

"Debido a que miles de millones de dispositivos adicionales se conectan a Internet, se volverá imposible lidiar manualmente con el número de alertas o activos y eventos desconocidos, indica Beeson. "Las tecnologías necesitan ser capaces de lidiar con cantidades enormes de datos y tomar decisiones rápidamente.

Inclusive antes de considerar tecnología, las organizaciones tienen que implementar políticas y procedimientos de seguridad fuertes, indica DiDio. "Si no tiene una política o un plan listo, tiene verdaderos problemas, afirma ella.

Después, las organizaciones deberían comprar e instalar las herramientas y paquetes de software de seguridad que sean apropiados para sus negocios. "Y deben mantenerse al día con los últimos parches y arreglos, sostiene DiDio. "Muchas compañías experimentan problemas porque fallan en hacer upgrades y aplicar parches, y encuentran a sus dispositivos y aplicaciones completamente abiertos y vulnerables.

La seguridad en los ambientes de IoT no es estática, sino un blanco en movimiento. "Tiene que volver a evaluar y monitorear su seguridad, sus políticas de seguridad, sus procedimientos y reforzarlos para mantenerse informado de las amenazas exteriores que representan los hackers, y las amenazas internas que representan sus propios empleados -deliberadas o no, sostiene DiDio. "Las corporaciones nunca pueden declarar victoria. El exceso de confianza es su peor enemigo.

Bob Violino, CSO (EE.UU.)