[22/09/2023] A medida que el volumen de dispositivos IoT que se conectan a las redes de las empresas sigue aumentando, el número de amenazas a la seguridad también lo hace. Las amenazas a la ciberseguridad, junto con los problemas de la cadena de suministro, la escasez de chips y la inestabilidad geopolítica, son una de las principales razones por las que el crecimiento de la IoT ha sido más lento de lo que muchos analistas habían previsto.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Aun así, la magnitud del problema de la seguridad de la IoT es lo suficientemente grande como para que 52 empresas emergentes de IoT hayan recaudado un total de 840 millones de dólares en el último trimestre, e incluso los analistas más prudentes creen que el mercado de la IoT crecerá de forma constante en los próximos años. De hecho, la empresa de investigación IDC predice que el mercado de IoT se expandirá hasta 55.700 millones de dispositivos IoT conectados en el 2025, y que esos dispositivos generarán 80 mil millones de zettabytes (ZB) de datos.
En respuesta a las amenazas a la seguridad basadas en IoT, las empresas están recurriendo a las startups para colmar las lagunas de su infraestructura de seguridad actual. Aquí hay cinco desafíos clave de seguridad de IoT que enfrentan las organizaciones, y que las startups pueden ayudar a resolver.
1. La superficie de ataque está creciendo
Las recientes brechas de seguridad de IoT bastan para quitar el sueño a cualquier CISO. Estos son solo algunos de los incidentes de seguridad de IoT conocidos de los últimos años:
- En mayo, una madre que dirige una gran cuenta de TikTok descubrió que un atacante había vulnerado el monitor de bebés conectado de la familia, y había hablado con sus hijos a altas horas de la noche.
- Como parte de su actual invasión de Ucrania, los servicios especiales rusos han pirateado las cámaras IoT de complejos residenciales y cafeterías para vigilar las calles adyacentes, recabar información sobre los ciudadanos ucranianos y controlar los convoyes de ayuda.
- Los hackers que apoyan a Ucrania han pirateado las cadenas de televisión rusas para reproducir videos de apoyo a las fuerzas armadas ucranianas; otros hackers penetraron en las redes de CCTV de varias ciudades rusas para difundir un discurso del presidente ucraniano Zelensky.
- En el 2019, el sistema doméstico inteligente de una pareja de Milwaukee fue atacado; los hackers elevaron el ajuste de temperatura del termostato inteligente a 90°, hablaron con ellos a través de la cámara web de su cocina y reprodujeron canciones vulgares.
- En el 2016, el malware Mirai botnet infectó dispositivos IoT mal protegidos y otros dispositivos conectados en red, y lanzó un ataque DDoS que dejó sin Internet a gran parte del este de Estados Unidos y partes de Europa.
- En el 2015, los hackers tomaron el control remoto de un Jeep Cherokee, lo que llevó a la retirada de 1,4 millones de vehículos de Fiat Chrysler.
Por preocupantes que sean estos incidentes, los riesgos de seguridad del IoT podrían agravarse aún más a medida que la computación de borde se generalice y las redes 5G avanzadas desplieguen funciones, como el 5G de capacidad reducida (RedCap), que pretenden impulsar la adopción acelerada de la IoT empresarial.
Con RedCap 5G, los dispositivos móviles con conexiones celulares, como los teléfonos inteligentes y los relojes, podrán servir de concentradores que proporcionen conectividad ad hoc a dispositivos cercanos con limitaciones. Si bien esto podría ayudar a agilizar los flujos de trabajo y ofrecer eficiencias empresariales, los dispositivos móviles mal protegidos que se conectan automáticamente a, por ejemplo, equipos industriales para diagnósticos, también podrían exponer esos dispositivos a amenazas como el malware estilo Stuxnet, que podría provocar la autodestrucción de la máquina.
"Obviamente, un mayor número de puntos finales significa que los atacantes tienen una mayor superficie de ataque que explotar, y los equipos de seguridad deben gestionar muchos más riesgos", afirma Jason Leigh, analista de IDC. Sin embargo, hay una gracia salvadora que puede limitar inadvertidamente los riesgos de la IoT. "Con dispositivos limitados, es difícil introducir malware complejo a través de ellos", anota Leigh. "Además, las nuevas especificaciones de red [como 5,5G] incluyen detalles sobre los componentes de seguridad que se pueden implementar a nivel de red para reducir los riesgos", sostiene Leigh.
Las nuevas especificaciones ayudarán, pero los atacantes ya están apuntando a las redes IoT, lo que significa que las organizaciones deben actuar ahora para mitigar los riesgos. Muchas organizaciones descubren que necesitan contratar nuevos proveedores para resolver este problema.
2. Un mercado fracturado significa que la visibilidad de la IoT está empeorando
Uno de los credos más comunes en ciberseguridad es que no se puede proteger lo que no se puede ver. La naturaleza fracturada del mercado de IoT agrava el problema. Ningún proveedor supera el 3% de cuota de mercado, según IoT Analytics, por lo que la interoperabilidad y la visibilidad son dos de los principales retos para mejorar la seguridad de la IoT.
En el Hospital Infantil de Dayton -una red pediátrica de 600 millones de dólares con un hospital universitario de cuidados intensivos, dos campus primarios y otros 20 centros de atención ambulatoria- la IoT, el Internet de las Cosas Médicas (IoMT, por sus siglas en inglés) y el Bring Your Own Device (BYOD) proliferaron en la última década a medida que la organización crecía.
El personal informático del hospital calcula que ahora hay aproximadamente 25 mil dispositivos conectados a las redes del hospital, incluidos televisores inteligentes, cámaras de seguridad y dispositivos médicos críticos como máquinas de rayos X, máquinas de resonancia magnética y robots que ayudan en la neurocirugía.
Esta situación no es exclusiva del Hospital Infantil de Dayton. El crecimiento de la IoT es rápido en todo el sector sanitario, y los equipos informáticos deben averiguar cómo proporcionar una conectividad coherente a los cuidadores, sin socavar la seguridad ni infringir las diversas normativas del sector que dan prioridad a la privacidad.
Mount Sinai Health System, con sede en la ciudad de Nueva York, también se enfrentó a importantes retos al tratar de impulsar la seguridad de su vasta red de equipos médicos y dispositivos IoT. La falta de visibilidad de los dispositivos que se conectaban a la red era un quebradero de cabeza importante. Además, Mount Sinai había operado con equipos separados responsables de las operaciones biomédicas y de TI, por lo que la falta de coordinación entre estos equipos condujo a una visibilidad y conocimiento limitados de la naturaleza y el propósito de muchos dispositivos.
A medida que la organización intentaba racionalizar y modernizar sus sistemas informáticos, el Dr. Tom Mustac, director senior de ciberseguridad, se sentía frustrado por la incapacidad de identificar con precisión los activos utilizando los recursos existentes del sistema. Esta falta de visibilidad planteaba retos importantes, ya que el departamento de TI era incapaz de evaluar el impacto de un dispositivo en la atención al paciente y las posibles vulnerabilidades de la red.
Además, el equipo biomédico se veía muy limitado por los parches de los proveedores, los sistemas operativos obsoletos y los dispositivos no actualizables a distancia. Mount Sinai también se enfrentaba a retos únicos más allá de los dispositivos médicos. Su variado entorno de red abarcaba una amplia gama de dispositivos conectados, como automóviles, sistemas de juego y equipos de ejercicio. Sin un contexto adecuado, la identificación y gestión de estos dispositivos era una pesadilla que no hacía más que empeorar.
Para ganar visibilidad, estas organizaciones sanitarias tuvieron que enfrentarse primero al siguiente reto de nuestra lista: las limitaciones heredadas.
3. Las limitaciones heredadas son frecuentes
Como muchos grandes sistemas sanitarios, tanto Mount Sinai como Dayton Children's dependían de la infraestructura y el software de Cisco. Cualquier herramienta de seguridad específica de IoT que incorporaran tendría que integrarse en los sistemas existentes basados en Cisco.
"Tenemos una gran variedad de productos de Cisco, y lo que me encanta es que están diseñados para funcionar entre sí de manera que se pueda correlacionar si algo está sucediendo", comenta Nicholas Schopperth, jefe de Seguridad de la Información de Dayton Children.
El equipo de Schopperth ya había desplegado Cisco Secure Network Analytics, una herramienta de supervisión de redes basada en la nube, y Cisco Umbrella, un servicio SASE. Pero para proteger y gestionar IoT, IoMT y BYOD , el equipo de seguridad de Dayton Children necesitaba ayuda para encontrar y clasificar dispositivos, gestionar flujos IoT/IoMT y descifrar patrones de comunicación para identificar anomalías.
El equipo de ciberseguridad de Mount Sinai se enfrentó a un reto similar, confiando en Cisco ISE (Identity Services Engine) para gestionar el control de acceso a la red. Sin embargo, Mount Sinai necesitaba otra herramienta que le ayudara a identificar, clasificar y supervisar los dispositivos que entraban y salían de su red.
Ambas organizaciones sabían que tendrían que incorporar nuevas tecnologías, pero dieron prioridad a la búsqueda de aquellas que pudieran interoperar con los sistemas de red y seguridad existentes.
4. Controlar el acceso a la IoT sin obstaculizar los objetivos empresariales
Tanto Dayton Children como Mount Sinai recurrieron a distintas startups que ofrecen integración de seguridad IoT con la infraestructura de Cisco. Dayton Children eligió la plataforma de seguridad IoT de Ordr, una startup con sede en Santa Clara que se fundó en el 2015, mientras que Mount Sinai eligió la plataforma de seguridad de Claroty, una startup con sede en Nueva York que también se fundó en el 2015.
Dayton Children utilizó el software Connected Device Security de Ordr para identificar los contextos de los dispositivos, establecer una línea de base de los flujos de comunicación normales de los dispositivos, y realizar análisis de comportamiento tanto de los dispositivos como de los usuarios. A continuación, el equipo de ciberseguridad de Dayton Children utilizó esta herramienta para generar políticas y controles de acceso que pudieran automatizarse y aplicarse mediante Cisco ISE en controladores inalámbricos y firewalls de Cisco.
Al pasar a una arquitectura de confianza cero, Dayton Children es ahora capaz de segmentar sus dispositivos y sólo permitirles conectarse a VLAN específicas, limitando el acceso entre dispositivos, así como el acceso de los dispositivos a la red.
Mount Sinai siguió una estrategia similar, desplegando Medigate, una plataforma de seguridad IoT sanitaria adquirida recientemente por Claroty, e integrándola con Cisco ISE.
Con Medigate, Mount Sinai obtiene información sobre el comportamiento de los dispositivos, los patrones de comunicación y las posibles infracciones de las políticas. La supervisión continua y la detección de infracciones de Medigate ayudan a Mount Sinai a supervisar activamente las dependencias y la propiedad de las aplicaciones, mejorando su capacidad para evaluar los riesgos potenciales e implementar medidas proactivas.
Las herramientas de visibilidad IoT permiten a Mount Sinai supervisar el tráfico, identificar puertos y protocolos, y saber qué aplicaciones están instaladas en los dispositivos IoT. Esto permite a Mount Sinai conocer la situación y aplicar políticas a cualquier dispositivo nuevo. El equipo de TI también puede segmentar la red de dispositivos no gestionados recién descubiertos.
A continuación, Medigate automatiza la creación y aplicación de políticas mediante la definición de comportamientos típicos de los dispositivos, la supervisión del tráfico y la identificación de patrones de comunicación. Estos patrones se utilizan para crear políticas y buenas prácticas y, una vez aprobadas, se transfieren a Cisco ISE para su aplicación.
"Nuestra integración con Medigate y Cisco nos ha permitido aplicar estrictas políticas de seguridad en toda nuestra red, impidiendo el acceso no autorizado y garantizando la integridad de nuestros sistemas clínicos críticos", afirma el Dr. Mustac. Estas protecciones garantizan que sólo se producen comunicaciones autorizadas entre los dispositivos y los sistemas clínicos, por lo que Mount Sinai puede dar prioridad a la seguridad del paciente, sin impedir la comunicación clínica crítica necesaria para la prestación de una atención eficaz".
5. Socios de confianza/no de confianza
Los riesgos internos han sido durante mucho tiempo una de las amenazas a la ciberseguridad más difíciles de mitigar. No solo los usuarios poderosos, como los ejecutivos de nivel C, pueden anular las políticas de TI, sino que los socios y contratistas a menudo obtienen acceso simplificado a los recursos corporativos, y pueden introducir riesgos involuntariamente en nombre de la conveniencia.
A medida que la IoT sigue abarcando dispositivos como equipos médicos vitales y vehículos autoconducidos, incluso los pequeños riesgos pueden convertirse en graves incidentes de seguridad.
Para Cruise, una empresa emergente de carros autónomos con sede en San Francisco, una forma de mitigar los numerosos riesgos asociados a los carros conectados es realizar evaluaciones de riesgo exhaustivas de socios y proveedores. El problema es que las evaluaciones de terceros eran una tarea tan lenta y engorrosa que el proceso existente no podía ampliarse a medida que la empresa crecía.
"El auge de la nube pone un enorme énfasis en comprender la postura de riesgo de nuestros socios. Es algo complejo y no trivial. Las asociaciones están siempre bajo presión", afirma Alexander Hughes, director de Seguridad de la Información, Confianza y Garantía de Cruise.
Cruise cuenta con una financiación de 10 mil millones de dólares de General Motors, Honda, Microsoft, SoftBank, T. Rowe Price y Walmart, entre otros, pero incluso con cantidades ingentes de financiación, a medida que Cruise ampliaba su producción, la empresa se esforzaba por gestionar un creciente ecosistema de proveedores. Con un personal limitado, el equipo de ciberseguridad estaba sometido a una presión constante para revisar a los nuevos proveedores. Los plazos de entrega eran cada vez más largos, lo que acabó ralentizando también otras revisiones de seguridad.
Cruise eligió la plataforma de seguridad IoT de VISO TRUST, una startup fundada en el 2016, con sede en San Gerónimo, CA. La plataforma de gestión de riesgos VISO TRUST automatiza las tareas manuales de gestión de riesgos.
Mediante el uso de IA y aprendizaje automático, la plataforma VISO TRUST ha ayudado a Cruise a reducir las evaluaciones manuales, reducir los tiempos de evaluación general a la mitad y acortar el tiempo de respuesta para incorporar nuevos proveedores. "VISO Trust ha automatizado por completo el proceso [de revisión de seguridad], lo que nos ha permitido reducir los gastos de personal en un 90% y mejorar el tiempo de finalización en un 50%, a la vez que nos ha permitido realizar un 117% más de evaluaciones de proveedores", afirma Hughes.
En el futuro inmediato, la seguridad del IoT, como el mercado de la IoT en general, será un problema complicado sin una solución sencilla de un único proveedor. Las organizaciones harían bien en reforzar las protecciones con los proveedores existentes, y luego aprovechar los ecosistemas de socios de esos proveedores.
Los socios de las startups suelen centrarse en problemas de seguridad de la IoT específicos del sector, y las soluciones que interoperan con lo que ya se tiene suelen ofrecer el mayor y más rápido retorno de la inversión.
Basado en el artículo de Jeff Vance (Network World) y editado por CIO Perú