El “Internet de las Cosas” (IoT por sus siglas en inglés) es una red de dispositivos físicos (o un “nodo final”, como una cámara IP) accedida desde Internet con el objetivo de interactuar con sus estados internos (ej. otros dispositivos) o ambiente externo (ej. la nube).
Estos dispositivos pueden interconectarse, conocer su ubicación o estatus, y comunicarse con otros nodos, sistemas o personas. Se habla mucho acerca del IoT, sin embargo, también existe la preocupación de si esta nueva tendencia tecnológica está preparada para hacerle frente a los últimos retos de seguridad.
Un punto clave es que los dispositivos con conexión a Internet son relativamente nuevos y la seguridad no ha sido el enfoque en el diseño de productos. El principal problema no es la seguridad en la nube, sino la falta de seguridad en los dipositivos mismos (ej. cámaras IP).
De hecho, muchos dispositivos IoT salen a la venta con software y/o sistemas operativos embebidos antiguos o sin actualizar. Sin mencionar, que en muchos casos los usuarios no modifican las contraseñas usadas por omisión en estos dipositivos, o si las contraseñas son actualizadas, pueden no ser contraseñas seguras.
¿Qué podemos hacer para incrementar la seguridad en nuestros sistemas de seguridad conectados a la red?
A continuación algunas recomendaciones:
Ciclo de vida y actualizaciones: Asegúrese de que sus dispositivos tengan el último firmware disponible, el cual puede contener correcciones a vulnerabilidades de seguridad críticas. Tome en cuenta que algunos fabricantes liberan muy pocas actualizaciones. En estos casos, incluso podría considerar reemplazar el dispositivo por uno que ofrezca actualizaciones y un firmware más seguro.
Control del acceso y autenticación del dispositivo: Implementar un control del acceso seguro y autenticar dispositivos suena obvio, sin embargo muchos dispositivos no cuentan con una contraseña o la contraseña por omisión nunca fue modificada. Considere una contraseña con un cierto nivel de complejidad. Si desea ir un paso más allá, utilice dispositivos con la capacidad de utilizar certificados digitales, y así confirmar que sean entidades de “confianza” en la red. Lo anterior, requerirá que su infraestructura de red soporte protocolos de red tales como IEEE 802.1x.
Encripción de los datos: Si la privacidad de los datos es una preocupación, encríptelos. Un método a utilizar es la tecnología de encriptación basada en persistencia, la cual encripta los datos almacenados en los dispositivos (ej. memoria flash). El almacenamiento encriptado no podrá ser leido por nadie que no tenga la(s) llave(s) correcta(s). Encripte todos los datos enviados por cualquier medio. Un método muy común es usar SSL para encriptar el tráfico en la red y así prevenir ataques como “man in the middle” y “sniffing del tráfico de red”.
Seguridad en la red: Asegure que la red misma sea segura. Un firewall configurado correctamente es indispensable. De ser posible, cierre todos los puertos. Muchos dispositivos IoT generan conexiones de salida a la nube, lo cual no solo es “plug and play” , sino también más seguro ya que el firewall no tiene que aceptar conexiones de entrada y después rutearlas internamente en la red. Es importante instalar el dispositivo detrás de firewalls. Otra consideración es contar con VPNs distintas dentro de su red para controlar el acceso en la LAN.
La LAN depende de su eslabón más debil. Además, asegure contar con protección anti-virus en dispositivos conectados así como en la red. Asegúrese de auditar sus políticas de TI regularmente y revisar que refuerzen la seguridad informática. Realice pruebas de penetración a dispositivos que deben aceptar conexiones de entrada provenientes de fuentes que no son de confianza.
Veremos más inversión conforme el mercado de IoT vaya evolucionando. Mejor seguridad estará disponible a la par que el hardware vaya madurando. Hasta entonces, utilice los pasos descritos en este artículo para reducir los riesgos de quedar expuesto.
*Información suministrada por Aimetis Corp.
**Ver video con información relacionada AQUÍ
Deje su comentario