La seguridad en el Internet de las Cosas (IoT) sigue siendo un tema de gran relevancia para el desarrollo de este sector. Las noticias que llegan no son para nada promisorias, especialmente si durante el Blackberry Security Summit, que se celebra esta semana en la ciudad de Nueva York, uno puede presenciar como Blackberry necesita 14 minutos para hackear una tetera con conexión a Wi-Fi y una aplicación que permite ponerla en marcha desde un dispositivo móvil.
La seguridad en IoT sigue estando en pañales. Los ejemplos de dispositivos hackeados —incluyendo autos— son innumerables. Sólo basta tirar en Google algunos términos para encontrar todo tipo de casos, a cual más estrambótico. Y si esto suena a broma, por lo estrafalario del asunto, la realidad es que puede suponer un freno y millones de dólares en pérdidas.
Para empezar, la percepción de que IoT no es seguro va a prevenir que muchas empresas aceleren la puesta en marcha de sus proyectos. Según un reporte de Strategy Analytics —”IoT 2016 Deployment Trends and Usage Survey”—, existe preocupación por la seguridad en IoT, pero pesar de este temor, el 70 por ciento de las empresas encuestadas utilizan alguna forma de IoT en sus operaciones. Todas ellas reconocen que se enfrentan a importante retos para seguir avanzando en su estrategia IoT, siendo la integración con los sistemas de legado y la seguridad los dos retos principales. Con respecto a la seguridad, el 56 por ciento cree que es su principal reto, mientras que un 13 por ciento cree que el uso de IoT en sí mismo les proporcionará mayores niveles de seguridad a sus operaciones.
Nos tenemos que desviar un poco del asunto de la seguridad, ya que el reporte de Strategy Analytics ofrece conclusiones que tampoco dejan indiferente. Por ejemplo, la mitad de los negocios encuestados por esta consultora dicen no tener certeza sobre el ahorro en costos debido a la utilización de IoT. El reporte concluye que el 56 por ciento de los encuestados creen que Big Data es la principal causa para embarcarse en el desarrollo de IoT, aunque la mayoría de empresas reconocen no saber muy bien qué hacer con la información que recopilan para beneficiar a su empresa. La mayoría asegura tener demasiada información, lo que dificulta encontrar una formula que permita sacarle partido.
La encuesta se basa en 350 empresas a nivel global en 23 mercados verticales que incluyen el sector académico, financiero, sector público, salud, industrial, manufactura, retail y construcción. Y según la consultora, la mitad de las empresas se embarcan en IoT sin haber hecho un análisis de costos —no todos los problemas son necesariamente de IoT, algunos ya son inherentes a las organizaciones—.
Volviendo a la seguridad, en el evento de Blackberry se comentaba, según informaciones de medios norteamericanos que están participando del evento, que la estrategia de ataque a IoT está migrando de estar basados en servidores a atacar directamente los dispositivos, o como lo expresan en la conferencia, los puntos en los extremos de la red. Por ello debemos dar la bienvenida a una nueva iniciativa que se ha anunciado esta misma semana.
Un grupo de empresas, entre ellas ARM y Symantec, acaban de unir fuerzas para crear un protocolo de seguridad para proteger a los dispositivos IoT. Este grupo de empresas han creado el The Open Trust Protocol (OTrP), que cualquier fabricante de dispositivos se puede descargar desde la página web de IETF. El protocolo utiliza una arquitectura de seguridad que hace que la información sensible obtenidas las las aplicaciones en smartphones y tabletas queden separadas del sistema operativo del dispositivo. Esto, además, permite a los operadores de telecomunicaciones asegurarse de que sus redes y sistemas interactúen con dispositivos y servicios de forma segura.
No olvidemos que el mundo IoT no deja de ser una extensión del universo de las telecomunicaciones, el cuál aún no ha llegado si quiera a un estado de madurez cuando se trata de la seguridad. Otra vez es Blackberry quien nos alerta de cómo las empresas aún no tienen sistemas de seguridad adecuados para los dispositivos de sus empleados que operan bajo el esquema BYOD.
Un nuevo estudio de Blackberry concluye que muchos gerentes de TI siguen preocupados con la seguridad a pesar de los esfuerzos que se están destinando a crear un marco de seguridad superior cuando se trata de comunicaciones móviles. Estas conclusiones resultan de una encuesta con más de 1.000 ejecutivos de varios países y en varios verticales, como servicios financieros, públicos y de salud.
La encuesta revela que el 73 por ciento de las organizaciones cuentan con una estrategia de implementación de seguridad móvil, pero sólo un tres por ciento dice haber implementado los máximos niveles de seguridad posibles. Esto se debe a que la seguridad móvil a veces es difícil de implementar porque causa frustración a los empleados de las diferentes empresas. Incluso algunos aseguran que un alto grado de seguridad prevendría a sus empleados poder hacer su trabajo.
En definitiva, la seguridad en IoT es un asunto complejo, no sólo por la cantidad de dispositivos y redes que entrarán en juego, sino porque ni siquiera en ámbitos como el de los smartphones podemos concluir que haya garantías de seguridad maduras, porque el avance de estos sistemas ha sido tan rápido —y la seguridad tan ignorada— que ponerse al día en temas de seguridad es más un problema que una solución. Por si fuera poco tampoco parece que las empresas sepan cuantificar los beneficios de implementar soluciones seguras y ni siquiera saben lo que les cuesta su estrategia IoT.
Roberto
Rafael.
Te felicito por tus excelentes reportajes. Te he seguido desde tu cobertura de TeleSemana Latam Summit 2016 de Barcelona.
Considero que es irreversible y no se podrá detener el avance del IoT en el mundo. Las empresas buscarán a toda costa tomar ventaja de esta evolución y los responsables de las área comerciales de las organizaciones ya tienen la consiga de buscar mercado bajo esta plataforma (IoT). Sin duda es una gran oportunidad para los ingenieros y empresas de seguridad digital.
Roberto Barrera desde México
Saludos
Rafael A. Junquera
Hola Roberto. Muchas gracias y totalmente de acuerdo, es una oportunidad para que expertos en seguridad aparezcan con soluciones que puedan ser adoptadas a nivel industria.
Mariano
Interesantísimo como siempre Rafael. Definitivamente es un problema que vino para quedarse un tiempo más y siempre van surgiendo nuevas debilidades en la seguridad del mundo IoT.
Gracias por el artículo.
Rafael A. Junquera
Hola Mariano. Tu lo sabes bien porque llevas un tiempo investigándolo y divulgándolo en varios foros, como pude ver en el Andean Telecom Forum. Por cierto, tu entrevista sobre el tema se puede ver desde esta nota. Está en el primer link del primer párrafo ;). Saludos.