El nuevo mundo “Internet de las cosas” se caracteriza por millones de dispositivos conectados. Con más dispositivos inseguros y puntos de acceso a la red que nunca, los principios de “Seguro por diseño” son esenciales para proteger contra las crecientes amenazas de ciberseguridad.
En los últimos años, las tecnologías digitales han transformado el mundo, afectando a todos los sectores de la actividad comercial y la vida diaria. El resultado es un mundo de Internet de las cosas (IoT), donde todo está instrumentado e interconectado.
Para fines de 2018, había aproximadamente 22 mil millones de dispositivos conectados a IoT en uso en todo el mundo. Los pronósticos sugieren que esta cifra aumentará a 50 mil millones para 2030, creando una red masiva de dispositivos interconectados. [1]
Para respaldar este futuro altamente conectado, miles de dispositivos de Internet de las cosas (IoT) se conectan a redes todos los días. Además, el apetito por nuevas funciones y funcionalidades ha creado una “necesidad de velocidad” en términos del desarrollo y la implementación de nuevos tipos de dispositivos.
El rápido crecimiento de dispositivos complejos y conectados
Muchos dispositivos conectados a IoT ahora son altamente complejos, ya que incorporan algoritmos de IA avanzados y otras funciones de próxima generación.
Las cámaras de seguridad de video basadas en IP son un buen ejemplo de esto. Durante los últimos 15 años, han evolucionado de simples cámaras de video analógicas a complejos dispositivos de IoT totalmente digitalizados impulsados por el aprendizaje automático (ML) y la inteligencia artificial.
Al igual que otros tipos de dispositivos, la evolución ha sido impulsada por las demandas de los clientes de una funcionalidad y conectividad mejoradas. Esta demanda también creó urgencia en el proceso de desarrollo, con proveedores que compiten para ofrecer las características más avanzadas lo más rápido posible para ganar clientes y participación en el mercado.
Equilibrar la velocidad de desarrollo con las consideraciones de seguridad
La carrera para desarrollar dispositivos de IoT más conectados y ricos en funciones ha satisfecho las necesidades operativas de los clientes, pero a menudo ha habido compromisos en términos de seguridad.
Después de todo, construir seguridad en todos los aspectos del proceso de producción lleva tiempo, un recurso valioso que no siempre está disponible. Debido a las presiones de tiempo, varios fabricantes de dispositivos han optado por la velocidad de desarrollo y producción sobre la seguridad.
Las consecuencias: un pico global en los incidentes de ciberseguridad
Las consecuencias de la velocidad sobre la seguridad han sido un enorme aumento en los incidentes graves de ciberseguridad del IoT. Los delincuentes cibernéticos han podido acceder a millones de dispositivos de IoT relativamente fácilmente, simplemente porque estos dispositivos no se desarrollaron y produjeron con la seguridad en mente.
Para fines de 2016, por ejemplo, el Mirai Botnet se había convertido en noticias mundiales y la seguridad de IoT comenzó a recibir atención seria. Este es un claro ejemplo de lo que puede salir mal cuando dispositivos de IoT inseguros como monitores de bebé, enrutadores de red, dispositivos agrícolas, dispositivos médicos, electrodomésticos, DVR, cámaras o detectores de humo están conectados a Internet sin una disposición de seguridad adecuada.
En el caso de Mirai, los atacantes pudieron piratear millones de dispositivos de IoT inseguros, en este caso, cámaras. Luego utilizaron la potencia de computadora combinada de los dispositivos para lanzar ataques de Internet DDoS (denegación de servicio distribuido) dirigidos.
Y la lección aún no ha sido aprendida
Desafortunadamente, han ocurrido muchos más incidentes cibernéticos con dispositivos de IoT desde 2016, y continúan sucediendo todos los días. Los investigadores de seguridad de F-Secure emitieron una advertencia en 2019 de que los ciberataques en dispositivos de IoT están creciendo a una velocidad sin precedentes. Medieron “un aumento de tres veces en el tráfico de ataque a más de 2900 millones de eventos”.
En la investigación, esta creciente amenaza se atribuyó, en parte, a “una falta básica de defensas en el envejecimiento del firmware o las arquitecturas, y en parte a una falta de limpieza de la seguridad de la información. A menudo, los departamentos de TI ni siquiera conocen todos estos dispositivos en sus redes”. [2]
La importancia crítica de la producción “seguro por diseño”
Una forma clave de evitar ataques perjudiciales en los dispositivos de IoT es mejorar las defensas de estos dispositivos. Desafortunadamente, es extremadamente difícil agregar seguridad efectiva después de que se produce y/o instala el dispositivo IoT. En cambio, la forma más efectiva de prevenir las violaciones es implementar la seguridad durante la producción de dispositivos, a menudo conocida como producción “segura por diseño”.
Secure-by-Design se trata de crear seguridad en cada etapa del proceso de producción, desde la fase conceptual hasta la fase de entrega final, como se muestra en el gráfico a continuación: