Toc, Toc, ¿quién llama? – En el internet de las cosas, la identificación de dispositivos y la integridad de datos no son ninguna broma

Toc, Toc, ¿quién llama? – En el internet de las cosas, la identificación de dispositivos y la integridad de datos no son ninguna broma

Blogger invitado: Juan C. Asenjo | Thales eSecurity Global Partner Marketing

El internet de las cosas (Internet of Things, IoT) está abarrotado de dispositivos.

El número de dispositivos conectados supera al de personas. Mientras las Naciones Unidas estiman la población mundial en 7.6 billones de personas,[1]  Gartner predice más de 20.8 billones de dispositivos conectados a Internet para 2020[2]. La Iot se compone de cosas conectadas: sensores, cámaras, wearables, dispositivos médicos, controles automáticos. Todas necesitan identificadores únicos para obtener y transferir por la red datos con los que monitorizar, vigilar y tomar decisiones, con poca o ninguna intervención humana. El uso de tecnologías IoT posee un enorme potencial en prácticamente cada sector: gobierno, banca y finanza, salud, retail, agricultura, comercio electrónico, por nombrar sólo unos pocos. Pero poner en marcha la IoT requiere confiar tanto en los dispositivos como en los datos que obtienen.

Con mi colega Julie Lassabliere de Safelayer Secure Communications exploraremos la necesidad de asegurar tanto la identificación de los dispositivos como la integridad de datos. Nos centraremos en las maneras de garantizar que los dispositivos conectados a la red son legítimos y son quienes dicen ser. También discutiremos el framework para una IoT de confianza. En el post de Julie “Roadmap for the Data Gold Rush: Maintaining Qualitative Data in the IoT Environment” encontrará una visión general de esta cuestión y aprenderá más sobre la Infraestructura de Clave Pública (Public Key Infrastructure, PKI) necesaria para cifrar datos y asignar credenciales a dispositivos.

Para la mayoría de industrias, preservar la privacidad de datos sensibles es un imperativo. Como suelo resaltar en mis blogs, las violaciones de seguridad son demasiado habituales y perjudican la reputación corporativa, la imagen de marca, el valor de mercado y los ingresos. Además, regulaciones cada vez más estrictas como la GDPR (General Data Protection de la Unión Europea) y la HIPAA (Health Insurance Portability and Accountability Act de los Estados Unidos) añaden un riesgo de fuertes multas. Por ello, la privacidad y la seguridad son una prioridad para muchos negocios.

La IoT complica la tarea de hacer más seguras las redes. Al añadir puntos distribuidos de acceso a redes privadas, ofrecen potenciales vectores de ataque para los hackers.

 

Amenazas y vulnerabilidades

Para garantizar la confianza en la IoT y facilitar su aceptación, deben afrontarse tres cuestiones cruciales:

1. Establecer una fuerte autenticación mutua entre los dispositivos y aplicaciones conectados. De este modo se garantiza que en los ecosistemas empresariales sólo accedan dispositivos legítimos y autorizados. La infiltración de dispositivos maliciosos y no autorizados puede crear graves daños.

2. Proteger la integridad y confidencialidad de los datos obtenidos por los dispositivos conectados. Tras asegurar que todos los dispositivos conectados son legítimos y están autorizados, debe garantizarse también la integridad y confidencialidad de los datos obtenidos. En algunos sectores, la confidencialidad es indispensable para cumplir los requisitos de privacidad. Y aunque los datos obtenidos no estén vinculados a una persona, su integridad sigue siendo crítica porque el sistema los utilizará para tomar decisiones. Cuando no se confía en la integridad de los datos, no tiene sentido utilizarlos para tomar decisiones.

3. Preservar la legitimidad e integridad del código descargado en dispositivos y aplicaciones. Este tercer componente que se suele pasar por alto garantiza la legitimidad e integridad del código que los dispositivos y aplicaciones descargan como parte de su ciclo de vida. Dispositivos y aplicaciones se actualizan de forma regular, a menudo automáticamente. Cabe por tanto la posibilidad de que dichas actualizaciones sean utilizadas para introducir virus o código malicioso. 

 

Hacia una IoT más segura

Las PKI incluyen hardware, software, políticas, procedimientos y procesos para gestionar identidades digitales de forma segura. Las PKI desplegadas por las empresas gestionan identidades de personas y dispositivos, y controlan el acceso a los recursos de red. La constante expansión de la IoT alimenta la necesidad de nuevos despliegues PKI.

Mediante criptografía asimétrica, las PKI gestionan pares de claves para firmar y cifrar datos. Las soluciones PKI aportan la tecnología necesaria para garantizar la seguridad de despliegues IoT cada vez más numerosos. Las PKI correctamente configuradas aseguran la identidad, integridad y protección del dispositivo IoT y el código descargado. No obstante, necesitan soporte para protegerse de ataques avanzados. Por ejemplo, una raíz de confianza con una política que proteja las claves utilizadas.

Para preservar la fiabilidad de la PKI y el sistema que soporta, deben protegerse constantemente tanto las claves de firma (utilizadas para garantizar la integridad de los certificados y el código) como las claves privadas utilizadas para descifrar datos. Si dichas claves quedan comprometidas, las claves y los certificados corren peligro.

Por estas razones, muchas regulaciones oficiales y privadas requieren que la raíz de confianza utilice Módulos de Seguridad Hardware (Hardware Security Modules, HSM). Las claves criptográficas gestionadas al margen de un HSM son significativamente más propensas a ataques. El uso de HSM se considera el único modo probado  y auditable para proteger material criptográfico. Las empresas despliegan HSM en sus PKI para proteger sus claves, en un entorno dedicado y segregado del resto de la red. El uso de HSM certificados garantiza la seguridad y facilita el cumplimiento de auditorías y regulaciones.

Las soluciones de seguridad de Thales incluyen HSM, firma de código  y cifrado transparente. Dichas soluciones refuerzan los despliegues PKI para garantizar la operación, la seguridad y el cumplimiento de normas. Consulte en Thales y Safelayer cómo emprender su camino por la IoT con confianza gracias a la identificación e integridad robusta de dispositivos. Acepte nuestra evaluación gratuita para asegurarse de que su empresa está realmente #FITforGDPR.

No se pierda el siguiente post de Julie, ¡la bloguera invitada de este mes en Thales!  Y para ponerse en contacto conmigo, puede encontrarme en Twitter @asenjoJuan.

 

Juan C. Asenjo | Thales eSecurity Senior Manager, Solutions and Partner Marketing
Juan has worked in the information security field for over 25 years – in government, military, and private sector. He is currently responsible for cryptographic integrations with partner solutions, focusing on identity management, authentication, and encryption. Juan is a Certified Information Systems Security Professional (CISSP) holding a Bachelor’s degrees in Engineering, a Master’s in Business, and a Ph.D. in Information Science. In his current position, he helps technology companies reach more customers with integrated solutions that reduce risk and enhance security.

 

[1] https://esa.un.org/unpd/wpp/Publications/Files/WPP2017_DataBooklet.pdf

[2] https://www.gartner.com/newsroom/id/3165317

Utilizamos cookies para mejorar nuestro sitio web y su experiencia al usarlo. Las cookies utilizadas para el funcionamiento esencial de este sitio ya se han establecido. Para obtener más información sobre las cookies que utilizamos y cómo eliminarlas, ver nuestra Política de Privacidad.Acepto las cookies de este sitio