BLOG

Seguridad del IoT: No ignores lo básico

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 7 de marzo de 2016
osito de peluche_241113

La Internet de las cosas (IoT) es sin duda un tema de mucho debate, aunque para muchos sigue siendo una moda orientada al consumidor que todavía no ha tenido un impacto real en la empresa.

A menos, por supuesto, que seas una empresa que esté aprovechando las cosas como parte de su estrategia comercial.

A veces olvidamos que más allá de los gadgets de consumo que aparecen en los titulares, hay todo un mundo de sensores, electrodomésticos, sistemas de control e incluso juguetes que ya forman parte de la Internet de las cosas.

Y eso significa que ya hay problemas de seguridad.

Un número reciente involucra un osito de peluche conectado a Internet de Fisher Price. ¿El problema de seguridad? Una aplicação web con la que se comunicaba el osito de peluche aparentemente contenía una vulnerabilidad que dejaba expuesta la identidad de los niños.  Esto viene después del descubrimiento de múltiples fallas que permiten que la muñeca Hello Barbie conectada a Internet se convierta potencialmente en un dispositivo de vigilancia .

¿No tienes hijos? Intente leer las pruebas de seguridad de Princeton del interruptor WeMo de Belkin, el termostato Nest, un altavoz inteligente Ubi, una cámara de seguridad Sharx, un marco de fotos digital PixStar y un concentrador SmartThings. Según el informe, “Ubi utilizó métodos de comunicación no cifrados que revelarían información confidencial, como si el usuario estaba en casa o si había algún movimiento dentro de la casa”. Tanto Sharx como PixStar transfirieron datos no cifrados .

IoT es una maravilla

Ahora bien, quizá nos estemos centrando demasiado en el lado de las "cosas" porque son nuevas y cada cosa nueva que se conecta a una red conlleva una gran cantidad de nuevos riesgos de seguridad que deben abordarse y, bueno, maldita sea, es nuevo y emocionante. Pero la realidad es que, cuando buscamos incorporar "cosas" a nuestro modelo de negocios (ya sea para lograr eficiencia operativa o para abrir nuevos mercados), nos conviene volver a lo básico y asegurarnos de tener cubierto también ese lado de la ecuación.

Cifrar el tráfico es algo sencillo. Internet tiene más de 15 años de lecciones, a veces duramente aprendidas, sobre la importancia de una gestión adecuada de claves y certificados. Y, sin embargo, millones de dispositivos reutilizan certificados y comparten claves . ¿Y proteger las aplicaciones web? Hemos estado insistiendo en ese tema desde que el comercio electrónico adquirió su “e” y se convirtió en algo a explotar.

Las cosas van llegando, de eso no tengas duda. Muchos ya están aquí, y algunos de ellos parecen, como diría Douglas Adams, “en su mayoría inofensivos”. Pero no se trata sólo de las cosas. También se trata de las aplicações y sistemas con los que esas cosas casi siempre se comunican, ya sea para registrarse, activarse, obtener nuevos contenidos, compartir datos o para ser gestionadas.

Incluso si la aplicación que proporciona funciones de backend para su dispositivo no se promociona como de acceso público, debe ser, por definición, de acceso público para que las cosas puedan acceder a ella a través de Internet. Esto significa que debes insistir en realizar pruebas de seguridad para cada aplicación a la que accederá el dispositivo que has creado. Ya sea en la nube o en el centro de datos, es necesario probarlo y protegerlo. 

Internet de las cosas es el negocio de las aplicações . Y eso significa que la seguridad de la Internet de las cosas tiene que ver tanto con proteger las cosas como con proteger el ecosistema de aplicação que las sustenta.