SECURITY / IT NOW 131 / revistaitnow.com

La guerra entre los ciberdelincuentes y los encargados de seguridad empresarial es más fuerte que nunca, donde hay más dispositivos conectados a la red.

EL INFRAMUNDO DE IOT

34

Javier Paniagua

“Todo recae en la unificación del área de seguridad y de infraestructura de red de la compañía, por eso deben estar preparados con herramientas que le sirvan combatir esas amenazas”. Oscar Acosta, Gigamon.

tabletas, reloj inteligente, incluso en smart doors, etc, ahí radica la clave, así los sistemas man-tendrán la capacidad de cómputo para procesar la información.

“No es en el qué si no en el cómo en donde re-side la gran diferencia.

IoT presenta sin duda algunos desafíos particu-lares que son intrínsecos a su propia naturaleza y que debemos considerar a la hora de plasmar esa estrategia en medidas y controles puntuales: he-terogeneidad, actualiza-ciones y volumen/esca-la”, explicó Marcelo Ma-yorga, director y system engineering Caribbean & Latinoamerica para Fortinet.

Al existir heteroge-neidad en la seguridad informática se van a considerar dentro del perímetro de protección y monitoreo todos los dispositivos conectados a la red.

Además es importante pensar en las actualiza-ciones de manera recu-rrente, ya que el ciclo de desarrollo de los disposi-tivos IoT es distinto a los demás y dejarlos de lado sin actualizar permitiría una entrada con la puer-ta abierta a los atacantes.

De acuerdo con Se-bastian Brenner, Security Strategist en Latinoamé-rica y el Caribe de Sy-

mantec, es importante estar protegidos e ir un paso adelante, es auten-ticar el IoT a través de incorporación de certifi-cados. Esto permite ha-bilitar la autenticación y la comunicación segura, así puede estar enterado si pueden fiarse de un sis-

tema remoto. “La protección de

IoT requiere la firma de código fuente, para asegurarse de que todo el código está autorizado para ejecutarse, y evitar que ataques malintencio-nados no sobrescriban el mismo. La firma de códi-go asegura criptográfica-mente que la clave no ha sido manipulada después de haber sido firmado como seguro para el dis-positivo, y puede hacerse en los niveles de aplica-ción y firmware”, com-plementó Brenner.

Según informes de Gartner, por el impac-to de la IoT es cada vez más relevante la pro-tección para todas las industrias, ya que todos los sectores podrían estar expuestos en un futuro y los despliegues de dis-positivos conectados a la red alcanzarían a 6 400 millones.

Para el 2020, más del 25% de los ataques iden-tificados en las empresas provendrían de IoT y más del 50% de las im-plementaciones, requeri-

Marcelo MayorgaFortinet. “Los dispositivos IoT tienen procesadores, memoria, entrada/salida (I/O) y sistema operativo como cualquier PC. Como cualquier PC también son susceptibles a vulnerabilidades que pueden ser aprovechadas para tomar control de él y luego utilizarlo como herramienta de ataque2.

Sebastian Brenner,Symantec “A muchos consumidores les preocupa la seguridad, pero irónicamente la mayoría está dispuesta a permitir el acceso a su información personal”.

rán estar en la nube.

El secreto está en…Como sabemos el

hecho de que un dispo-sitivo esté conectado en la nube ya supone una amenaza y puede ser vulnerado.

“Todo comienza con un inventario de infor-mación y plataformas críticas a proteger, los sistemas que les ayuden a detectar posibles ame-nazas en donde general-mente no existían y los protocolos de actuación preventivos, de recu-peración y mitigación en casos de brechas o compromisos”, externó Rafael Cisneros, director de Telefónica Business Solutions para Centroa-mérica.

Para Oscar Acosta, Telco and service provi-der SE de Gigamon, todo recae en la unifica-ción del área de seguri-dad y de infraestructura de red de la compañía, por eso deben estar pre-parados con herramien-tas que le sirvan comba-tir esas amenazas.

Todos los dispositivos conectados a la red, se hacen muy atractivos, ya que son generadores y repositorios de datos, de ahí la importancia no solo que proteger-los como medios hacia grandes centros de datos, sino de protegerlos. Para proteger la capa del siste-ma, tales como autenti-car, proteger y colocar en cuarentena al dispositivo en caso de que sea vulne-rado.

Herramientas reco-mendadas

Las herramientas exis-tentes en el mercado ha-cen que pueda ser para

Durante genera-ciones los vam-piros y los li-

cántropos han estado en conflicto por mantener el poder y orden, ambos necesitan de la sangre para sobrevivir, al igual que los ciberatancantes y las empresas necesitan

de los datos. En este uni-verso de Internet de las Cosas (IoT), donde hay cada vez más dispositi-vos conectados tiene más puertas para que los ha-ckers se infiltren, lo que significa más puertas que resguardad en el depar-tamento de IT.

¿Se imagina que en su empresa se infiltre un ciberdelincuente por me-dio de un smart coffee maker? Solo porque la conexión de la máquina de hacer café no estaba contemplada dentro de la estrategia de seguridad y los hackers hasta se sir-vieron una taza de café mientras robaban todos los datos sensibles de su empresa.

Para que esto no le suceda a usted ni a su empresa, le brindamos todos los pasos que debe tener en cuenta al mo-mento de implementar una estrategia de seguri-dad para IoT.

En primer lugar se debe de asegurar que la estrategia se pueda eje-cutar en distintos dispo-sitivos como en laptop,

35

evitar un escenario de posible ataque, para ello se debe hacer una aplicación de acceso o vi-gilancia, todos los dispositivos conectados necesitan medidas adicionales para asegurar que su funcionamiento sea correcto y que el acceso a ellas es el au-torizado.

También se puede hacer una una operación que gene-rará información que enviará al proveedor para programar el manto del equipo, con lo que se debe segregar al resto de la operación o pre-feriblemente usar una red inalámbri-ca (SG/3G) que cuenta con segu-ridad inherente al momento de hacer el monitoreo.

“En el contex-to de empresas es r e s p o n s a b i l i d a d del CIO o de un departamento de seguridad, pero el campo de IoT es muy amplio, los riesgos pueden es-calarse cuando se piensa en aplicacio-nes y equipos para particulares, gobiernos o ciudades inteligen-tes”, dijo Carlos Romero, MKT Business Development &Inno-vation LATAM de Gemalto.

Muchos países, principal-mente en el continente Europeo están introduciendo estándares y normas para asegurar la in-fraestructura y permitir crecer hacia estas soluciones, lo que les permitirá mejorar los servi-cios de salud, comunicaciones y servicios.

Debido a la tendencia de IoT y la fuerza que sobrelleva, la protección es lo importante es por eso que no toda la estrategia se debe basar solo en tecnolo-gía, se debe considerar al factor humano. Asimismo, elaborar una arquitectura que reduce el código malicioso asegurándose de que todo código esté firmado

de forma criptográfica.

¿Cómo se infiltra un hac-ker en IoT?

Las impresoras nunca pue-den faltar en una empresa, aho-ra con oferta de impresoras co-nectadas a la red que permiten el ahorro de papel y se puede imprimir sin necesidad de estar el lugar por medio de la nube, se han convertido un punto fácil para vulnerar según los hackers.

Imagine que esta impresora no está dentro del monitoreo de

red, es por ese medio que el ha-cker se infiltra en la red y logra enviar un archivo al sistema de correo electrónico de un usuario interno. Este lo ve, lo descarga y la compañía ya fue vulnerada.

Por eso hay un sin número de herramientas en seguridad sin embargo recomiendan que no se le debe dar importancia a la va-riedad sino a la calidad de filtros criptográficos para defenderse.

“¡Herramientas hay muchas! Están online, están abiertas y no las cambian, hay muchas herra-mientas cuando uno trabaja en esto se da cuenta de esa gama de opciones; sin embargo lo hay lo que hay que entender son los protocolos, la conectividad y la vulnerabilidad de la gente”, externó Diego Espitia, chief se-curity ambassador de Eleven-Paths.

36

SECURITY / IT NOW 131 / revistaitnow.com

En muchos de los casos no hay necesidad de explotar vulne-rabilidades debido, ya que mu-chos de estos equipos traen una seguridad débil y el mayor de los problemas se encuentra a la hora de configurarlos que se configu-ran con las claves por defecto.

La mayoría de las empresas tienen una infraestructura con seguridad perimetral robusta que siguiendo una serie de me-didas a la hora de incorporar los dispositivos IoT los mantendrán seguros, las medianas y peque-

ñas empresas no cuentan con esa seguridad robusta ideal.

Para Marco Fallas, ethical hacker certificado de XXX, esa seguridad perimetral se debe a que estos equipos IoT por su naturaleza tienen una seguridad débil, y además se debe contar para evitar el acceso a estos dis-positivos desde internet sin auto-rización.

Los que recomiendan los ex-pertos para evitar ser infiltrado es tener conciencia que la tec-nología es la base de cualquier organización y los diseños de la seguridad también lo son. Asi-mismo tener partners que ten-gan la capacidad de asegurarse acordes a las necesidades, se ne-cesitan monitoreo permanente, y las alianzas es lo que le permite detectar dentro de sus medidas de seguridad.

8 sugerencias para protección en IoTUsar conexiones cifradas SSL / TLS para la comunicación entre la nube y el dispositivo.

Comprobar mutuamente el certificado SSL y la lista de revocación de certificados.

Permitir y fomentar el uso de contraseñas seguras.

Requerir que el usuario cambie las contraseñas predeterminadas.

Evitar ataques de fuerza bruta en la fase de inicio de sesión mediante medidas de bloqueo de cuentas.

Proteger cualquier interfaz web y API de los errores enumerados en la lista OWASP de vulnerabilidades.

Quitar las herramientas no utilizadas en los servicios en la nube y utilizar listas blancas para permitir que se ejecuten solamente aplicaciones y servicios confiables.

Incorporar análisis de seguridad y comportamiento a la estrategia de administración de dispositivos.

Fuente: Symantec

“¡Herramientas hay muchas! Están online, están abiertas y no las cambian, hay muchas

herramientas cuando uno trabaja en esto se da cuenta de esa gama de opciones; sin

embargo lo hay lo que hay que entender son los protocolos, la conectividad y la

vulnerabilidad de la gente”, Diego Espitia, ElevenPaths.

38

den medir frecuencia cardiaca, presión sanguínea o cantidad de pasos, por ejemplo, y electro-domésticos inteligentes, como televisores y aspiradoras autó-nomas, son avances que están en el mercado y se incorporan a nuestra cotidianeidad.

Con distintas funcionalida-des, estos dispositivos confor-man una red de cosas, indepen-dientes entre sí, que son capaces de comunicarse entre ellas sin

la interacción humana de por medio, esto mediante conectivi-dad por Internet. Esta es la de-finición que IDC, consultora de inteligencia, consultoría y con-ferencias para los mercados de tecnologías de la información y telecomunicaciones, le da a Internet de las Cosas (cuya sigla en inglés es IoT, en referencia a Internet of Things).

Hay 13 000 millones de cosas conectadas en el mundo, y hasta 2020 la proyección es que sean

P ese a que la ciudad en las alturas y los coches voladores no se volvieron

realidad, mucho de lo que eran sólo fantasías en los dibujos ani-mados, hoy forma parte de nues-tra realidad. Parecía improbable que llegáramos a leer las noticias del día en una pantalla como lo hacía el padre de la familia es-pacial, pero las revisamos desde tablets o notebooks. Las video-llamadas, que pensábamos eran muy innovadoras, son actual-

mente una forma de comuni-cación usual, donde incluso los relojes que permitían ver videos o hacer llamadas, se materiali-zaron en los llamados smartwat-ches, o relojes inteligentes.

Aunque no compartimos nuestros espacios con emplea-dos robóticos, es posible afirmar que el futuro llegó. Wearable Devices, como son llamados los accesorios conectados que lle-vamos junto al cuerpo que pue-

¡Amenazas por todos lados!

Sebastian Brenner, Security Strategist, Latin America and Caribbean, Symantec

Opinión

La rutina de seguridad tiene que ser mucho mejor estableci da para que no dependa de que las personas intervengan todo el tiempo.

La naturaleza de las solucio nes de IoT, la forma como son implementadas y el tipo de da tos que generan y consumen, requieren un nuevo abordaje de seguridad y privacidad.

30 000 millones, según datos de la consultora. Con el crecimien-to de la oferta, la transforma-ción va acelerada.

La naturaleza de las solucio-nes de IoT, la forma como son implementadas y el tipo de da-tos que generan y consumen, requieren un nuevo abordaje de seguridad y privacidad. Los riegos planteados por ambien-te complejo y poco familiar avanzan de forma muy rápida.

Un estudio de Symantec identificó que 20 de 100 apli-caciones de salud - sector en el cual cada vez hay más dispo-sitivos conectados - transmiten información personal de usua-rios, logins y passwords sin cifrar. Más de 50 de ellas no disponía de políticas de priva-cidad y cada una se conectaba, en promedio, a cinco dominios distintos para servicios de ad-vertising y analytics.

La rutina de seguridad tiene que ser mucho mejor estable-cida para que no dependa de que las personas intervengan todo el tiempo. El tema debe estar completamente intrínse-co de la estrategia global de la empresa.

SECURITY / IT NOW 130 / revistaitnow.com