Академический Документы
Профессиональный Документы
Культура Документы
riesgo sin
precedentes:
Asegurar el Internet
de las cosas_
Asegurar el Internet de las cosas
Foreword Telefónica
Prólogo
de Telefónica_
Aunque el Internet de las cosas (IoT) puede verse como una
novedad, no es más que la evolución natural de algo que ha
recibido finalmente un nombre con gancho, una marca que
integra las consecuencias en un término único y atractivo.
Desde su nacimiento, los dispositivos se han conectado a
Internet. Solo que ahora los dispositivos son más pequeños, más
atractivos, más móviles y están mejor conectados. El Internet de
las cosas ofrece ventajas casi infinitas, pero la sociedad necesita
reaccionar con rapidez.
3
Asegurar el Internet de las cosas Asegurar el Internet de las cosas
Foreword Telefónica Contenido del informe
“
empresa filial de Telefónica
5
Asegurar el Internet de las cosas Asegurar el Internet de las cosas
Biografías de los colaboradores Biografías de los colaboradores
Biografías de los
colaboradores_
Chema Alonso, CEO de ElevenPaths, empresa filial de Telefónica Luis Muñoz, Director del Grupo de planificación de redes y
Chema está centrado en la innovación en productos de seguridad mediante desarrollos comunicaciones móviles de la Universidad de Cantabria
patentados y alianzas con los principales fabricantes y organizaciones del sector. La investigación del catedrático Luis Muñoz se centra en las técnicas avanzadas de
Anteriormente dirigió durante 14 años Informática 64, empresa dedicada a la seguridad transmisión de datos, redes multisalto inalámbricas heterogéneas, Internet de las
informática y la formación. Es doctor en Seguridad Informática por la Universidad Rey cosas, ciudades inteligentes y métodos matemáticos aplicados a las
Juan Carlos de Madrid. telecomunicaciones. Ha participado en diversos proyectos nacionales y europeos de
investigación en los que fue, entre otros, director técnico de SmartSantander.
Antonio Guzmán, Director científico de ElevenPaths, Andrey Nikishin, Director de proyectos especiales y
empresa filial de Telefónica futuras tecnologías de Kaspersky Lab
Antonio ha registrado casi una decena de patentes relacionadas con la seguridad, En Kaspersky Lab, Andrey trabajó como director de ingeniería y arquitectura de
identidad y privacidad. Autor de numerosos artículos, ahora está centrado en la software antes de incorporarse al departamento de marketing estratégico como director
investigación financiada con fondos privados. En 2005 fue cofundador y director de de estrategia de productos. Antes de su puesto actual, dirigió el departamento de
un grupo de investigación sobre seguridad y privacidad. También cuenta con un investigación y desarrollo de tecnologías de contenidos y de la nube. Andrey tiene
doctorado en Ingeniería Informática por la Universidad Rey Juan Carlos. experiencia desarrollando sus propios programas antivirus.
Belisario Contreras, Gerente del Programa de Seguridad Bertrand Ramé, Director de redes y operadores de SIGFOX
Cibernética de la Secretaría del CICTE Bertrand desarrolla alianzas de SIGFOX en Europa y Latinoamérica. Cuenta con
Belisario presta apoyo a la Secretaría del Comité Interamericano contra el Terrorismo 25 años de experiencia en el sector de las telecomunicaciones, principalmente en
(CICTE) en la Organización de los Estados Americanos (OEA). Participa en iniciativas el desarrollo de negocio y la dirección general. Desarrolló la mitad de su trayectoria
de seguridad cibernética como la creación y el desarrollo de Equipos de Respuesta profesional en EE.UU. y en el Reino Unido, trabajando para empresas como AT&T
para Emergencias Informáticas (CERT). Asimismo, coordina la participación y y Telecom Italia.
colaboración con otras organizaciones internacionales y regionales dedicadas a
cuestiones cibernéticas.
Jaime Sanz, Gestor técnico de cuentas de
John Moor, Vicepresidente de Desarrollo de Segmentos de NMI
telecomunicaciones en Intel Corporation Iberia
John cuenta con más de 30 años de experiencia en los sectores de la electrónica y la Jaime presta apoyo a las cuentas de telecomunicaciones en Europa centrándose
microelectrónica. En 1997 fue uno de los fundadores de ClearSpeed Technology y se
especialmente en Telefónica para NFV, centros de datos, seguridad e IoT. En Intel
incorporó a NMI en 2004, donde lidera el desarrollo de numerosas iniciativas como
ha desempeñado distintas funciones de apoyo técnico para ventas y marketing, y
establecer las redes técnicas de NMI y la UK Electronics Skills Foundation. Asimismo,
está licenciado en Ingeniería Informática por la Universidad Pontificia de Salamanca.
John es el Director de la Fundación para la Seguridad del IoT.
6 7
Asegurar el Internet de las cosas
Introducción
Introducción_
El Internet de las cosas no tiene precedentes en lo que a
ámbito y escala se refiere, cambiando la sociedad y el modo en
que interactúan las personas con su entorno de innumerables
y complejas formas. Es totalmente lícito decir que estamos
muy lejos de comprender las ramificaciones y consecuencias
involuntarias de lo que estamos haciendo a día de hoy, y
mucho menos de lo que llegará mañana y en un futuro más
lejano. Quizá el asunto más acuciante sea el de la seguridad.
«Internet de las cosas podría ser un ser compatibles con otros al aparecer
término relativamente nuevo, pero versiones más recientes».
el concepto no lo es. Muchos de los
problemas de seguridad, los malos Y, según Guzmán, «muchos de los
actores y los ataques perpetrados contra problemas potenciales son simplemente
el mismo, distan mucho de ser nuevos», los mismos problemas de seguridad
afirma Antonio Guzmán de ElevenPaths, superpuestos sobre la infraestructura a
empresa filial de Telefónica. «Lo que escala masiva».
es diferente es la escala de las redes
implicadas, la heterogeneidad de los Todo esto está suponiendo un
dispositivos, la increíble confianza en el reto empresarial, así como un
cloud computing y el nivel de exposición reto tecnológico.
de los dispositivos conectados a estas
redes. Por este motivo, asegurar el «Cada vez es más evidente que la
Internet de las cosas es un verdadero seguridad del IoT es un tema a debate
reto». en la sala de juntas y no solo un coste
operativo o un problema tecnológico»,
«IoT está dejando rápidamente obsoletas afirma John Moor de la Fundación para
las leyes necesarias para regular y la Seguridad del IoT. «Especialmente
normalizar las medidas de seguridad», las grandes empresas tienen mucho
afirma Belisario Contreras, Gerente del que perder, y están comenzando a
Programa para el Comité Interamericano aparecer litigios legales en EE.UU. en
contra el Terrorismo en la Organización de los que la obligación que tienen las
los Estados Americanos. «Esta velocidad organizaciones de cuidar a sus clientes
de desarrollo también está afectando a está siendo objeto de investigación».
las cuestiones de compatibilidad, ya que
las medidas de seguridad para algunos «En mi opinión, ya estamos viendo cómo
dispositivos y plataformas pueden no el Internet de las cosas está cambiando
9
Asegurar el Internet de las cosas Asegurar el Internet de las cosas
Introducción Introducción
nuestra sociedad. Como ejemplo de de los sistemas IoT son un paraíso, si una sola cosa, si bien en realidad son o dispositivos presentes en nuestra vida
ello, la mayoría de las tareas realizadas no para los delincuentes, sí para los muchos los dispositivos IoT que están diaria y que reivindican contar con
por los proveedores de servicios, hooligans. Por supuesto, podemos ahí. La seguridad dependerá del contexto potencia informática», explica. «En IoT,
usuarios y otras personas están siendo desarrollar escenarios de prueba y y será útil pensar en ella dentro de dicho los dispositivos funcionan conjuntamente
supervisados de forma exhaustiva, lo predecir los comportamientos, pero en contexto, pensar por ejemplo en el para facilitarnos las tareas de la vida
que nos permite medir la eficiencia del un mundo conectado no se puede hacer “IoT del consumidor”, el “IoT en casa” cotidiana, haciéndolas más eficientes y
trabajo desempeñado. Está claro que IoT eso. Las personas son, por su propia o el “IoT de asistencia sanitaria”. Esto sostenibles».
cambiará nuestras vidas aún más que naturaleza, impredecibles, creativas e marcará una diferencia enorme».
Internet», afirma Luis Muñoz, catedrático ingeniosas. Y está en la naturaleza del «Según la tarea optimizada, se suele
del Departamento de Ingeniería de software que las personas cometan Es una cuestión de enfoque; la seguridad hablar de los denominados lugares
Comunicaciones de la Universidad errores y otros se aprovechen de ello». no es necesariamente una prioridad. inteligentes: redes inteligentes, contadores
de Cantabria y unas de las fuerzas inteligentes, hogares inteligentes,
rectoras de SmartSantander. «Cuando Para John Moor de la Fundación para la «El Internet de las cosas está creciendo ciudades inteligentes y similares», afirma
comenzamos a implantar las redes Seguridad del IoT, los matices y la escala exponencialmente, pero no al ritmo Guzmán. «Sin embargo, esta cooperación
máquina a máquina (M2M) en el año 2000 causan complejidad y agravan el reto. que cabría esperar», afirma Jaime solo es posible si los dispositivos están
para gestionar las flotas de transporte, Sanz, Gestor técnico de cuentas de conectados entre sí y equipados con
nos concentramos en un nicho muy «En la seguridad, limitado y pequeño telecomunicaciones en Intel Corporation mecanismos de identificación que les
concreto. Pero ahora, después de 15 suelen ser aspectos positivos. Si se limita Iberia. «Cosas como las ciudades identifiquen de manera única frente a
años, IoT está presente en todas partes». el espacio y el tamaño de la base de inteligentes o los coches conectados todos los demás dispositivos conectados a
código, entonces se reduce la superficie añaden valor, pero también existe Internet. La necesidad de interconexión e
«IoT trae consigo numerosas ventajas. de ataque. Cuando observamos la la necesidad de observar cómo los identificación, e incluso la necesidad de
Como cliente, estoy muy satisfecho de oportunidad del Internet de las cosas, productos crearán una cadena de procesar la información generada o
contar con IoT, me hace la vida mucho solemos mirar a escala masiva y la valor. Existe una dirección, aunque consumida por estos objetos, se convierte
más fácil», afirma Andrey Nikishin, hiperconectividad. Desde el punto de vista de momento está orientada a la en un problema pendiente de resolver
Director de futuras tecnologías de de la seguridad, se trata de una propuesta conectividad, la funcionalidad, el ahorro cuando nos damos cuenta del número
Kaspersky. «Sin embargo, toda evolución abrumadora», afirma Moor. «Hasta ahora de energía y similares, y no tanto a las estimado de “cosas” que forma parte del
conlleva nuevos riesgos en los que no se ha puesto mucho interés sobre las normas o la seguridad». IoT».
habíamos pensado. Pongamos como oportunidades de innovación en torno
ejemplo la invención del teléfono. Al a IoT, y relativamente poco sobre sus Para Guzmán, director científico de En este informe se analizarán tres temas
principio, nadie se paró a pensar en el puntos débiles. Si no tenemos cuidado ElevenPaths, el problema radica en específicos: la necesidad de normas
fraude telefónico, realmente, nadie lo podríamos caminar como sonámbulos entender las exigencias que plantean un universales de seguridad, acceso y
previó. Todo elemento nuevo conlleva hacia numerosos problemas, algunos de nuevo territorio y la oportunidad respecto control; el choque entre la tecnología de
nuevos riesgos y nuevas vías para la los cuales pueden no haberse presentado a la tecnología. «En el Internet de las la información y una red de cosas más
delincuencia». antes». cosas, suelen definirse barreras para los antigua y consolidada (la tecnología
entornos industriales o la infraestructura operativa); y la necesidad de
«Lo mismo sucede con el Internet de las «Tenemos que clasificar los retos. Se crítica. El tipo y el número de objetos recuperarse de las vulnerabilidades,
cosas. La conectividad e interoperabilidad suele hablar de IoT como si se tratara de aumentará hasta incluir todos los objetos incluyendo su efecto sobre los usuarios.
10 11
Asegurar el Internet de las cosas
Control y acceso: la verdadera lucha para el Internet de las cosas
Control y acceso: la
verdadera lucha para el
Internet de las cosas_
Una innovación tecnológica de la que todo el mundo habla
crece de forma imparable. Fabricantes, viejos y nuevos, se
lanzan al mercado. Se aportan nuevas ideas, se crean nuevos
mercados y si existen nuevos estándares, se destruyen.
12
Asegurar el Internet de las cosas Asegurar el Internet de las cosas
Control y acceso: la verdadera lucha para el Internet de las cosas Control y acceso: la verdadera lucha para el Internet de las cosass
modelo histórico, pero cabe destacar buscarán la forma de conectarse a dicha en cambio se encuentra en una posición vida de los ciudadanos, la mayor parte
que en el futuro cada una de las infraestructura. intermedia, es probable que exista de los servicios en la ciudad deben ser
empresas añadirá sus propias capas de menos riesgo para su reputación. Debe supervisados, con el objetivo de mejorar
IoT sobre dichas instalaciones. Así pues, la pregunta a realizarse es la establecerse la confianza en IoT, y las su eficiencia. Los ciudadanos desean
Asimismo, a un nivel más pequeño, las siguiente: ¿Qué entidad controla qué y empresas que sean flexibles y mantengan participar activamente en esta nueva era».
personas (y cada vez más dispositivos cómo se transmite la información entre una posición firme ante las amenazas de
y aplicaciones individuales) redes? seguridad serán las que tengan éxito». Para Jaime Sanz de Intel, es necesaria
una estrategia con un planteamiento
«Actualmente existe una evolución del arquitectónico que englobe tanto la
tipo de productos conectados y de tecnología como los datos.
Ritmo frente a control productos novedosos como por ejemplo
los cepillos de dientes conectados. El «Estamos implicados en todas las partes
sector consumo es particularmente de la cadena de valor del IoT, desde el
vulnerable, ya que existen numerosos centro de datos hasta el circuito integrado
Con el Internet de las cosas, la aplicación proveedores de software, podría decirse productos de bajo coste en el mercado auxiliar de los dispositivos periféricos,
de las normas vigentes, y la creación que el riesgo es igualmente aparente en lo de origen y fabricación dudosa». salvo microprocesadores y sensores.
de normas nuevas ha tropezado con un relativo a la creación de seguridad Creemos que una arquitectura integral
ritmo frenético de innovación. Aquí, las desde cero. Es importante recordar también las raíces segura es fundamental», afirma Sanz. «La
empresas necesitan salvaguardar su del IoT y las bases sobre las que gran protección de los datos, desde el extremo
propiedad intelectual a medida que La colaboración entre dispositivos parte del mismo se ha construido. hasta la nube, así como en el nivel del
fabrican y venden cosas que nadie más conectados en el Internet de las cosas dispositivo, es una necesidad. En tercer
puede hacer. requiere, por su propia naturaleza, «Cuando comenzamos a integrar M2M lugar, tenemos en cuenta la protección del
transparencia y confianza mutua entre en las flotas de transporte, se trataba centro de datos».
Lo irónico es que con el fin de aprovechar los dispositivos, y eso se basa en de un trabajo pionero», afirma el
las ventajas de los dispositivos y servicios mecanismos universales de identificación catedrático Luis Muñoz. «Años más tarde, «Hay dos ámbitos en lo que se refiere a la
de IoT, el hardware y software deben ser y control. Es absolutamente necesario la normativa europea obligó a integrar protección de las puertas de enlace. En
abiertos e interoperables. La seguridad en combinar la transparencia con un control esta tecnología en todos los camiones primer lugar, proteger el dispositivo antes
el dispositivo, la aplicación y las capas de de la precisión. Debe haber un modo que superaran un peso determinado. Lo de que se ponga en funcionamiento con
red es fundamental. Pero a medida que se de hacerlo entre todos los dispositivos, mismo está sucediendo con nuestras una combinación del Intel SoC Hardware
incrementa el ritmo de aprobación, más allá de los protocolos existentes, ciudades. Hace una década, pocos Root of Trust y especificaciones de UEFI.
también lo hacen la complejidad, y también debe haber un modo de servicios urbanos integraban la tecnología Y en segundo lugar asegurar los datos
la variedad de implementación y la recopilar y gestionar a una escala hasta el M2M. A día de hoy, debido al crecimiento mediante la codificación de datos, la
oportunidad de los ataques maliciosos o momento desconocida. de la población previsto, así como a protección de la integridad y las
“
errores involuntarios. la necesidad de mejorar la calidad de listas blancas».
«Es poco probable que la solución venga
A esto cabe añadir el hecho de que de los fabricantes contratados, es más
numerosos fabricantes de IoT son probable que venga de las grandes
relativamente nuevos en el mundo del empresas que tienen más que perder»,
software³. Hasta ahora, los productos se
centraban en el valor del hardware en
afirma Moor, Director de la Fundación
para la Seguridad del IoT. «Si usted no es
Elsector consumo es particularmente
lugar de evaluar el valor total del hardware un fabricante de electrónica de renombre,
combinado con las capas de software. le preocupará menos perder la reputación vulnerable, ya que existen numerosos
Aunque la investigación de Gartner hace
referencia a la administración de licencias
o la marca que si fuera un proveedor
importante con grandes inversiones que
productos de bajo coste en el mercado de
y derechos para esta nueva clase de supongan millones de nodos finales. Si origen y fabricación dudosa
14 15
Asegurar el Internet de las cosas
Dos mundos chocan: IT y OT en el Internet de
las cosas
Los relojes inteligentes de hoy en día son controles necesarios para automatizar los
maravillas de la informática y representan servicios públicos, como la generación de
una capacidad de procesamiento energía eléctrica, el suministro de gas o
muy superior a la de los primitivos agua, así como la industria, del modo
ordenadores electrónicos utilizados más fiable y seguro posible. Mientras que
para que el hombre aterrizara en la la IT (tanto en términos de software como
luna. El ordenador que controlaba las de hardware) se ha caracterizado
barras de combustible en Chernobyl normalmente por su rápida iteración e
tenía capacidades equivalentes a un innovación a costa, algunas veces, de la
microordenador modelo B de la BBC, fiabilidad y de otros factores, la OT se ha
un dispositivo educativo introducido diseñado desde cero para ofrecer un
por primera vez en 1981. Estos dos control y una medición predecibles.
hechos suelen sacarse a colación, pero
sorprendentemente se suele olvidar IT, por su propia naturaleza, se ha
un aspecto tanto del Apolo Guidance diseñado para interconectarse, mientras
Computer⁴ como del SKALA⁵: no que OT es casi exactamente lo contrario.
se necesita una gran capacidad de Sin embargo, la conexión de ambas
procesamiento para alcanzar resultados genera importantes beneficios. Solo en
extraordinarios, especialmente en estos últimos años la combinación de IT y
aplicaciones muy específicas. OT ha resultado ser práctica y atractiva.
16 17
Asegurar el Internet de las cosas Asegurar el Internet de las cosas
Dos mundos chocan: IT y OT en el Internet de Dos mundos chocan: IT y OT en el Internet de
las cosas las cosas
ElevenPaths, empresa filial de Telefónica. de servicios públicos, ciudades y grandes El problema principal es mantener la De otro modo, asegurarlos es casi
«La combinación de IT y OT muestra compañías, se incrementa también el integridad de los datos. El principal activo imposible».
algunas lecciones muy importantes sobre valor de dichos premios. en la red de la oficina son los datos y, de
cómo se puede asegurar el futuro Internet nuevo, esto sesga el desarrollo». «Este dispositivo deberá diseñarse desde
de las cosas». Sin embargo, OT ha tardado décadas el principio para que sea seguro. Nuestra
en desarrollarse, y ha dado a los «Cuando ambos converjan, se observarán idea es obligar a todos los fabricantes de
«El legado de la OT ha supuesto que programadores tiempo, ámbito y algunos problemas. Los informáticos dispositivos industriales – SCADA, PLC y
la mayoría de las implementaciones presupuesto para realizar un cuidadoso desean mantener la seguridad de los PLM – a rediseñar todos sus sistemas de
de IoT tengan un protocolo patentado trabajo de planificación y enfoque de la datos, lo que significa poner parches a los forma segura y obligar a los clientes a
que utiliza la seguridad mediante la integración de sistemas como la ERP problemas lo antes posible. No obstante, sustituir su estructura de control existente
oscuridad como mecanismo de defensa. (planificación de recursos empresariales), la aplicación de parches para OT implica por una nueva. Un sistema deberá ser
No obstante, la explosión en la cantidad así como la conectividad a la intranet detener el proceso tecnológico y esto se seguro desde su diseño. Si se fija en lo
de dispositivos y negocios verticales e internet. Los creadores de IoT no contradice con los objetivos del ingeniero que hizo Siemens después de Stuxnet,
está ayudando a impulsar las iniciativas cuentan con el mismo plazo de ejecución de OT. Dar con un terreno común verá a lo que me refiero. Trabajaron
que pretenden crear estándares abiertos sobre el que considerar la integración representa un verdadero reto». mucho para mejorar considerablemente
para la comunicación; algunos ejemplos y la seguridad. Francamente, su la seguridad de su OT. Aunque conseguir
son MQTT, Zwave y ZigBee. Es probable situación es diferente, en un momento «Añadir IoT aporta multitud de beneficios que los clientes cambiaran sus sistemas,
que estos contribuyan a crear normas de en el que se llevan a cabo numerosas y productividad. Por cierto, este proceso que podrían haber funcionado
seguridad más abiertas y útiles». implementaciones de IoT en Internet, es imparable e inevitable. El problema perfectamente en los mismos PLC y PLM
donde deben abrirse a la integración o principal del Internet de las cosas es que durante 10 o 15 años, resultó más
Una de las lecciones más recientes que quedar expuestas a posibles escenarios se basa en la idea de la conectividad. problemático. Dicho de otro modo, los
hemos aprendido es que un espacio vacío de ataque. Desde el momento en que entran usuarios vieron el coste, creyeron que
equivale a la inexistencia de una defensa. en el mundo conectado, surgen los sus sistemas no estaban rotos y se
Unos ingenieros de las instalaciones «IT y OT tienen filosofías diferentes. problemas». negaron a arreglarlos».
de Natanz (Irán) descubrieron, muy a Biológicamente, no son completamente
su pesar, que las personas introducen diferentes, pero las prioridades de sus OT sigue siendo una preocupación Según Contreras de la OEA, la llegada
y seguirán introduciendo lápices USB⁶ creadores sí que lo son. Los ingenieros para el futuro, entre otras razones del IoT y la creciente interconexión de los
en los PC que controlan la tecnología de OT quieren mantener procesos que porque las implementaciones de OT son entornos de IT y OT ayudaron a impulsar
operativa. Los proveedores también funcionen las 24 horas del día, los 7 días increíblemente longevas. el cambio en el sector de OT y también
son vectores de ataque⁷. Es más, las de la semana, sin interrupción. Cualquier atribuyeron nuevas responsabilidades al
partes interesadas tienen la intención interrupción del proceso tecnológico «La seguridad de los datos, así como la personal técnico.
de utilizar ingeniería inversa y diseñar supone un problema, por lo que el fiabilidad del funcionamiento, son muy
ataques personalizados para entrar en los desarrollo se inclina hacia el objetivo de importantes», afirma Nikishin. «Ni que «No hace tanto tiempo que el espacio
sistemas si el valor que aporta hacerlo es evitar la interrupción», afirma Nikishin decir tiene que IoT influye en nuestra vacío se consideraba seguridad suficiente
significativo para ellas. A medida que se de Kaspersky. «Sin embargo, para los vida diaria. El objetivo principal del IoT es para OT. El crecimiento de IoT difumina
incrementa el tamaño y el alcance de las ingenieros de IT, la disponibilidad del diseñar todos los dispositivos teniendo considerablemente los límites y las OT
redes IoT operadas por suministradores sistema no es la prioridad principal. en cuenta la seguridad desde el principio. están apareciendo ahora en el
18 19
Asegurar el Internet de las cosas
Dos mundos chocan: IT y OT en el
Internet de las cosas
mundo de la IT con mayor conectividad y única en ella. Tuvo que transcurrir algo
vectores de amenaza. Se prevé que los más de tiempo para que los ciudadanos
ingenieros y otros miembros del personal vieran los beneficios que dicha
técnico hagan frente a las necesidades de tecnología podría aportarles y, por tanto,
IT y OT. Lo mismo ocurrirá con los técnicos trasladarles de una postura reacia a una
de ciberseguridad», afirma Contreras. «El más entusiasta. Como ya he comentado,
papel de IoT como recopilador, distribuidor IoT está promoviendo implícitamente un
y receptor de datos hará que la IT y la OT cambio de comportamiento», afirma Luis
respondan mejor a los problemas o a los Muñoz.
cambios ambientales, y les permitirá
trabajar con mayor flexibilidad y eficiencia. «Los santanderinos están cada vez más
También requerirá que los CIO estudien el capacitados para utilizar e interpretar
flujo de información y se cuestionen cómo la información que les proporciona
se almacenan los datos de la empresa. IoT y sus servicios compatibles. Esto
Esto también supondrá una oportunidad de demuestra claramente que estamos
negocio, ya que con esta correlación de superando una de las amenazas siempre
datos ahora muchas empresas pueden mencionadas, es decir, la brecha digital.
proyectar el desarrollo basándose en una En este sentido, diría que más que el
información mejor». reto tecnológico al que nos enfrentamos
cuando iniciamos el proyecto
SmartSantander, nos encontramos ante
«Tambi`én debemos considerar las un nuevo modo de manejarnos y vivir
necesidades y las limitaciones de la en la ciudad. En resumen, estábamos
sociedad. Al principio fueron las empresas, remodelando el ecosistema de la ciudad
centros de investigación y similares los que avanzando hacia un nuevo paradigma
impulsaron la tecnología de IoT porque basado en los conocimientos y el uso
veían una oportunidad intensivo de las TIC».
20
Asegurar el Internet de las cosas Asegurar el Internet de las cosas
Asegurar el Internet de las cosas: antes y después Asegurar el Internet de las cosas: antes y después
Asegurar el Internet
de las cosas: antes y
después_
Las redes creadas por IoT serán algunas de las más grandes que
en el mundo se hayan visto jamás, haciéndolas enormemente
atractivas para los piratas informáticos.
Según lo establecido en la ley de niveles: capa de red, capa de aplicación y significativos, el ritmo de desarrollo, la un consumo inferior y eso supone una
Metcalfe⁸, el valor de las redes IoT es dispositivos IT». escala y el crecimiento de IoT siguen pérdida de ingresos. Algunos contadores
enorme, convirtiéndolas en objetivos permitiendo resultados potenciales utilizaban 3G para transmitir las lecturas y
significativos para los piratas informáticos Gestionar las vulnerabilidades y mucho más perjudiciales que los nunca hubo quien encontró el modo de utilizarlo
motivados por la codicia o por razones responder a los ataques o a las vistos en los entornos informáticos para obtener acceso gratuito a Internet.
políticas. Sin embargo, si IoT representa infracciones es ahora posible gracias a más tradicionales. Estamos hablando de un país en el que
ahora una difícil tarea para la seguridad, la cantidad y el alcance relativamente hay instalados entre 30 y 40 millones de
a medida que aumenta la cantidad de reducidos de los dispositivos IoT. Lograr «Equilibrar la creatividad de la invención contadores inteligentes».
redes, operadores, consumidores y que se implementen los procesos de frente a la necesidad de garantizar la
dispositivos, también lo es el riesgo de seguridad, generación de informes seguridad es complejo, pero también «La cuestión es que esto no supone una
que se produzca una vulneración eficaz. y resolución para los dispositivos necesario», afirma Guzmán. «Y mientras negligencia; se trata de las consecuencias
conectados a Internet antes de que se que, a simple vista, puede parecer que imprevistas de las que he hablado antes,
Parte del problema es la escala. La produzca el primer ataque catastrófico, frena la innovación, es todo lo contrario. junto con un cambio fundamental en el
gran cantidad de dispositivos, redes, será absolutamente vital. He mencionado la seguridad mediante el enfoque que deben adoptar los
aplicaciones, plataformas y actores crea diseño, y no es algo que necesariamente fabricantes. Esta clase de empresa
un intrincado problema⁹ cuya complejidad Recientes pruebas de concepto, como frene la innovación», afirma Nikishin de diseña para la seguridad, y no existe
solo aumentará a medida que lo haga la infracción de la seguridad en 1,4 Kaspersky. norma de certificación ni de seguridad
la infraestructura para apoyar, atender y millones de Jeeps Chrysler¹⁰ que podían para los dispositivos IoT a la que hacer
extraer valor del IoT. actualizarse mediante una transmisión «Asimismo, la innovación lanza al referencia. Se trata de un problema con
aérea y controlarse de forma remota por mercado a empresas nuevas, pero no es los fabricantes e ingenieros consolidados,
Las intenciones de los diseñadores (que un pirata informático, demuestran los justo tachar a los nuevos competidores que piensan principalmente en la
priorizan la protección por encima de problemas potenciales que existen al como más peligrosos que los demás. protección en lugar de pensar en la
la seguridad, como hemos observado conectar dispositivos IoT a las redes. Numerosos fabricantes actuales seguridad».
anteriormente) también pueden suponer intentan adaptar sus diseños existentes
un problema. También cabe destacar que un ataque con consecuencias inesperadas. Por «Y después nos encontramos con las
no tiene por qué forzar necesariamente ejemplo, existen numerosas ventajas empresas nuevas. Una empresa a la que
«Tenemos que sacrificar la el cambio. Un accidente, un resbalón para los consumidores que tienen hemos ayudado fabrica dispositivos
heterogeneidad de los dispositivos por la accidental o un simple error también contadores inteligentes de los servicios domésticos inteligentes: detectores de
capacidad de controlarlos y asegurarlos», podrían ser catastróficos; retrocedamos, públicos. Pero en España, en concreto, movimiento, contadores de electricidad,
afirma Guzmán de ElevenPaths. «La capa por ejemplo, al caso del Gusano Morris¹¹ la introducción de estos contadores ha controladores de temperatura y sensores
de seguridad de IoT debe contemplar en 1988. Aunque la escala y la variedad sacado a la luz algunos problemas. Los de todo tipo. Almacenan y procesan gran
los sistemas de protección a todos los bien podrían ayudar a evitar daños usuarios pueden piratearlos para registrar cantidad de datos en la nube y las
22 23
Asegurar el Internet de las cosas
Asegurar el Internet de las cosas: antes y después
25
Asegurar el Internet de las cosas Asegurar el Internet de las cosas
Asegurar el Internet de las cosas: antes y después Conclusión
“
base de usuarios informados mucho «Estamos todavía en el inicio del Internet
más amplia) que su mayor predecesor: de las cosas», afirma Moor. «Creo que
el propio Internet. Esto es fuente de gran sabremos que lo hemos conseguido
26 27
Asegurar el Internet de las cosas
Conclusión
«El Internet de las cosas permitirá que las «Con el fin de aprovechar las ventajas
personas, empresas y países tengan más del IoT de forma segura, necesitaremos
control sobre su tecnología, así como un triple enfoque de seguridad. En primer
un acceso a la información mayor que lugar, deben establecerse normas y
nunca. El principal problema de seguridad reglamentos para el desarrollo y la
asociado a IoT es el riesgo generalizado implementación del software de IoT. En
de que una vulnerabilidad pueda derribar segundo lugar, debe haber confianza y
todo un sistema. No obstante, esto no un diálogo constante entre los
debería disuadirnos de aprovechar estas programadores y los operadores; y, por
innovaciones», afirma Contreras de la último, debe haber una mayor
OEA. comprensión holística de la
ciberseguridad, teniendo en cuenta el IoT
«A medida que implementemos IoT en y el modo en que conecta los sistemas IT
nuestra red, querremos formular las y OT».
siguiente preguntas: “¿Los beneficios
potenciales de IoT serán superiores a los Los esfuerzos de normalización están
riesgos potenciales en esta circunstancia en marcha y están demostrando
concreta?”, “¿Está protegida mi red con ser satisfactorios. Sin embargo, es
medidas de seguridad actualizadas, y fundamental encontrar el modo de
el programador de IoT guarda un buen garantizar cómo la multiplicidad de
registro de la seguridad?” y “¿Sé cómo y actores puede interoperar y comunicar
dónde se almacenan los datos recogidos, los requisitos, necesidades y riesgos
y es seguro el lugar de almacenamiento de seguridad a escalas que eclipsan
y está protegido con medidas como los problemas actuales. No es
contraseñas y códigos?”. Si tenemos necesariamente algo que tengamos
en cuenta estas cuestiones, podemos o que vayamos a tener pronto. No
dar la bienvenida a la innovación de obstante, necesitamos trabajar para
IoT al mismo tiempo que mantenemos conseguirlo. De hecho, debemos
nuestra capacidad de responder con hacerlo.
29 29
Asegurar el Internet de las cosas
Anexo
Anexo_
Gartner – Gartner’s 2015 Hype Cycle for Emerging Technologies Identifies the Computing Innovations That
1,2 Organizations Should Monitor
http://www.gartner.com/newsroom/id/3114217
Gartner – Gartner’s 2015 Hype Cycle for Emerging Technologies Identifies the Computing Innovations That
3 Organizations Should Monitor
http://www.gartner.com/document/3143217
4 Computer Weekly – Apollo 11: The computers that put man on the moon
http://www.computerweekly.com/feature/Apollo-11-The-computers-that-put-man-on-the-moon
7 Engadget – Stuxnet worm entered Iran’s nuclear facilities through hacked suppliers
http://www.engadget.com/2014/11/13/stuxnet-worm-targeted-companies-first
30
Para más información:
visita elevenpaths.com o síguenos
en Twitter @ElevenPaths y LinkedIn.