Internet de las cosas, una tecnología en riesgo sistémico. Aquí porque

02/08/21

Por Internet de las Cosas (IoT) significa todas aquellas tecnologías que permiten el uso de objetos inteligentes, es decir, sensores y actuadores que, conectados a Internet, se pueden programar o utilizar de forma remota a través de, por ejemplo, una aplicación desde un teléfono móvil o un programa desde la computadora de un centro de operaciones. Es el caso de los sensores que, por ejemplo, sirven a las cámaras con las que se monitorizan las mascotas cuando están fuera de casa, o la cámara de velocidad municipal que transmite automáticamente fotos de matrículas de coches a la policía local, en lugar del contador. un reactor nuclear que envía una alarma al centro de control; y este es el caso, por así decirlo, del relé inteligente que enciende el sistema de riego del jardín de la casa, o los servo-medios para abrir las puertas de un metro automático, o el sistema de control de la válvula de desbordamiento de un presa con vistas a un pueblo de montaña.

Estos objetos inteligentes mejorarán cada vez más la calidad de vida de las personas, la eficacia y rentabilidad de los procesos industriales, la seguridad de las naciones. Pero es un hecho que hoy en día introducen nuevos riesgos, cuya probabilidad de ocurrencia es generalmente superior a los correspondientes riesgos de seguridad a los que están sometidos los ordenadores, tablets y smartphones.

Y la razón de esto es simple: mientras que los gobiernos, el mundo académico y la industria de la informática y el software tienen muchas décadas de investigación y desarrollo de ciberseguridad en tecnología de la información detrás de ellos, los fabricantes de objetos inteligentes y los desarrolladores de sistemas de control industrial, ya sean dispositivos de reciente desarrollo en lugar de versiones adaptadas de modelos tradicionales - no tienen experiencia con la gran cantidad de conocimientos sobre protección cibernética adquiridos y desarrollados en el mundo de las tecnologías de la información.

Además, el impulso para insertar "inteligencia" de bajo costo, que da como resultado el uso de sistemas con capacidad computacional reducida y consumo de energía limitado para evitar el uso de baterías de alta capacidad, hace que las soluciones desarrolladas para servidores sean inutilizables en muchos casos. PC y smartphones, objetos para los que no existe barrera de costes.

El resultado es que los dispositivos IoT de hoy, a diferencia de lo que ocurre de manera sistemática para los cadena de suministro Dispositivos y software de TI: generalmente no se producen incorporando las funciones de ciberseguridad necesarias para ayudar a mitigar los riesgos relacionados, ni existen capacidades similares en general capaces de ayudar a los usuarios en la fase de instalación y operación.

Y como factor de riesgo predisponente, considerar también que estos sensores y actuadores, que están concebidos listo para internet, a menudo también tienen funcionalidad plug & Play, es decir, se conectan a la red y comienzan a trabajar sin necesidad de actividades preliminares de instalación y configuración, ni por su naturaleza tienen la funcionalidad - típica en el mundo de las TI - de bloquear la sesión después de un período de inactividad. Un estudio muy reciente ha demostrado cómo, durante la lockdown, en el silencio de las oficinas cerradas al público, los IoTs continuaron operando sin control, exponiendo las redes corporativas y instalaciones.

Esta brecha debe ser superada lo antes posible y el mundo científico está desarrollando, junto con la industria y las agencias de control y regulación, una serie de requisitos y recomendaciones que, siguiendo el ejemplo de lo que ya existe en el sector de las TI, impulsan considerar supuestos de riesgo específicos y apuntar a supervisar distintas áreas de mitigación.

Básicamente, hay que tener en cuenta tres supuestos de riesgo. En primer lugar, los objetos inteligentes serán cada vez más explotados para realizar ataques coordinados con efectos tangibles, así como la participación en ataques DDoS (Denegación de servicio distribuida: para el profano, es un ataque a un servidor destinado a "inundarlo" para evitar la prestación del servicio) contra otras organizaciones, la interceptación del tráfico de red o el compromiso de otros dispositivos en el mismo segmento de red. El evento del 21 de octubre de 2016 se aplica como ejemplo a todos cuando, tras la creación de uno de los mayores botnet Formado por IoT, es decir, una red clandestina de objetos inteligentes controlados en secreto sin el conocimiento de sus legítimos propietarios, los DDoS se crearon en el servicio DNS (Sistema de nombres de dominio: para los novatos, es un poco como la guía telefónica o el directorio de calles que usa Internet asociar la dirección numérica con los nombres de sitios web o dominios de correo electrónico). Este ataque impidió a los usuarios acceder a los recursos web más grandes de los Estados Unidos, incluidos Twitter, Spotify y PayPal.

Las otras dos evaluaciones se refieren al hecho de que: los dispositivos de IoT que contienen datos serán el blanco de ataques de la CIA (confidencialidad, integridad, disponibilidad) para robar, comprometer o hacer que la información almacenada o transmitida para ellos no esté disponible; y que se pueden lanzar ataques a la Internet de las cosas para comprometer la privacidad de las personas.

De ahí la necesidad de garantizar la protección física de los dispositivos, la seguridad lógica de los datos y, en los casos en que se procesen datos personales, la protección del derecho a la privacidad.

Desde este punto de vista, los fabricantes deberán asegurar el control tecnológico en cinco áreas de mitigación que consisten en: mantener un inventario actualizado y oportuno de todos los dispositivos IoT y sus características relevantes (Asset Management); identificar y mitigar las vulnerabilidades conocidas en el software del dispositivo, por ejemplo, mediante la instalación de parches y la modificación y configuración de los ajustes (gestión de vulnerabilidades); evitar el acceso físico y lógico no autorizado e inadecuado (Gestión de acceso); evitar el acceso y la manipulación de los datos guardados en el dispositivo o en tránsito que podrían exponer información sensible o permitir la manipulación o interrupción de las operaciones del dispositivo (Protección de datos); y finalmente las actividades de Detección de Incidentes con las que monitorear y analizar la actividad del dispositivo IoT para resaltar indicadores de compromiso de los dispositivos y datos. 

La pregunta es muy seria y no secundaria. Tanto es así que el presidente de Estados Unidos firmó hace unos días el "Memorando sobre la mejora de la ciberseguridad para los sistemas de control de infraestructura crítica" con el que lanza elIniciativa presidencial para la ciberseguridad de los sistemas de control industrial (ANTIGUO TESTAMENTO). E invierte sistemáticamente todos los cadena de suministro de las tecnologías IoT: los fabricantes e instaladores deberán afrontarlo durante todo el ciclo de vida de la tecnología, partiendo de la fase de investigación, desarrollo y producción preventa, con las actividades técnicas correctas encaminadas a asegurar las características y funcionalidades de la ciberseguridad. También será necesario que continúen con las actividades de información y soporte postventa para garantizar la asistencia técnica necesaria a los usuarios finales, también en referencia al uso de plataformas en la nube ya propuestas hoy por cadena de suministro Informática para el cifrado de comunicaciones entre objetos inteligentes.

Por último, no se debe pasar por alto que todo esto conducirá inevitablemente a un aumento tanto de los costos de producción como de los recursos necesarios para garantizar el funcionamiento, el mantenimiento y la calidad del servicio: estos costos recurrentes podrían hacer que los dispositivos IoT dejen de ser atractivos en muchos contextos.

Orazio Danilo Russo, Giorgio Giacinto, Alessandro Rugolo

Para obtener más información:

https://blog.osservatori.net/it_it/iot-sicurezza-privacy

https://www.akamai.com/it/it/multimedia/documents/white-paper/akamai-mirai-botnet-and-attacks-against-dns-servers-white-paper.pdf

https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8228.pdf

https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259.pdf

https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259B-draft.pdf

https://www.securityweek.com/life-lockdown-offices-are-empty-people-full-risky-iot-devices

https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/28/national-security-memorandum-on-improving-cybersecurity-for-critical-infrastructure-control-systems/