Hace algún tiempo alertábamos sobre el problema de la seguridad en el ecosistema de la Internet de las Cosas (IoT) y como esta podría ser todavía más importante con la llegada de la 5G. Pero antes de llevar nuestra mirada hacia la futura red móvil, vemos que ya hoy la inseguridad en IoT está dando dolores de cabeza a quienes velan por la seguridad de las comunicaciones.
El reciente episodio de un ataque de denegación de servicio (DDoS) al proveedor de sitios web Dyn, que dejó a gran parte de las principales páginas y servicios web inactivos —Reddit, Twitter, Spotify, por solo nombrar algunos—, utilizó cámaras web hogareñas como principal vía de ataque, hecho que puso sobre la mira del mundo la seguridad de todo el sistema IoT. Y no se trata de un hecho aislado, ya hemos visto también cómo se ha logrado tomar control de automóviles y otros dispositivos IoT.
Todo parece indicar que el eslabón más débil en la cadena es el terminal, ya que podemos suponer que todas las brechas de seguridad en la red pueden ser controladas por el operador que administra esa infraestructura.
Para las empresas que se embarquen en la implementación de IoT, contar con un ambiente seguro será crucial. AT&T afirmaba recientemente que toda compañía debería poner como prioridad la creación de un equipo de seguridad que no solo se ocupe de resolver riesgos, sino que pueda ser capaz de generar métricas e informes de rendición de cuentas para los altos directivos de la compañía. En general, las empresas no dan crédito a los riesgos a los que están expuestos y confían en que es más económico —y quizás lo es— hacerse cargo del problema una vez que éste sucede, en vez de destinar una suma importante de dinero en medidas de seguridad para prevenirse de incidentes que quizás nunca ocurran. Y en el análisis de una estrategia IoT, las compañías parecen hoy priorizar la innovación y la “prueba y error” que la seguridad.
Aún así, vemos que todos los actores de la industria están analizando cómo aportar desde su lado a la seguridad en IoT. Telefónica viene trabajando hace algún tiempo en este asunto, y esta semana reforzó esta posición con una alianza de colaboración con la compañía de seguridad Symantec. Está claro que segurizar IoT no es una tarea en solitario y, en este sentido, la creación de alianzas con otros actores de la industria —el operador español ya tiene una alianza con otro proveedor de seguridad, Fortinet— será más que importante en un futuro donde todo estará conectado.
El convenio se sustenta en cuatro pilares, de acuerdo con el propio comunicado de Telefónica: protección del as comunicaciones, asegurar la identidad y la autenticación de los dispositivos IoT, protección de los propios dispositivos, gestión de los dispositivos —incluyendo la gestión OTA— y la monitorización del entorno IoT del cliente a través de análisis de seguridad que ayuden a revelar cualquier anomalía. Sin embargo, comenzarán la colaboración por el eslabón más débil: el dispositivo IoT.
Telefónica anunció que incorporará la tecnología Managed PKI Services de Symantec en la protección de entornos IoT frente a ciberataques. Esto le permitirá al operador ofrecer a sus clientes la capacidad de gestionar todo el ciclo de vida de los certificados de sus dispositivos con el objetivo de asegurar las comunicaciones IoT de extremo a extremo.
La tecnología de Symantec se incorporará a las opciones que ya ofrece Telefónica a través de Eleven Paths para seguridad IoT: CyberThreats, que permite detectar e identificar el modus operandi de los delincuentes y los métodos utilizados en los ataques contra infraestructura IoT, y Faast IoT, tecnología de detección y análisis de vulnerabilidades en los ecosistemas de IoT.
