The necessity of ‘Secure-by-Design’ in today’s fast-changing world

Global

Global - English

Asia

Europa

Oceanía

ANZ - English

América Latina

North America

Middle East and Africa

Cancel

Reiniciar

ENVIAR

El nuevo mundo del “Internet de las cosas” se caracteriza por millones y millones de dispositivos conectados. Con dispositivos y puntos de acceso a la red más inseguros que nunca antes, los principios de “Seguridad por diseño” son esenciales para protegerse contra las crecientes amenazas contra la ciberseguridad.

En los últimos años, las tecnologías digitales han transformado el mundo, afectando a todos los sectores de la actividad empresarial y la vida cotidiana. El resultado es un mundo del Internet de las cosas (IoT), donde todo está instrumentado e interconectado.

Se calcula que a finales de 2018 había 22 mil millones de dispositivos en uso conectados al IoT en todo el mundo. Las previsiones sugieren que esta cifra llegará a los 50 mil millones en 2030, creándose una red masiva de dispositivos interconectados. ^{[ 1]}

Para soportar este futuro altamente conectado, miles de dispositivos con Internet de las cosas (IoT) se conectan a las redes todos los días. Además, el apetito por nuevas características y funcionalidades ha creado una “necesidad de velocidad” en términos de desarrollo e implementación de nuevos tipos de dispositivos.

El rápido crecimiento de dispositivos complejos y conectados

Muchos dispositivos conectados al IoT son ahora muy complejos, incorporando algoritmos de IA avanzados y otras funciones de última generación.

Las cámaras de seguridad de video basadas en IP son un buen ejemplo de esto. En los últimos 15 años, han evolucionado de sencillas cámaras de video analógicas a dispositivos IoT complejos y totalmente digitalizados impulsados por el aprendizaje automático, o Machine Learning, (ML) y la inteligencia artificial.

Al igual que otros tipos de dispositivos, esta evolución se ha visto impulsada por las demandas de los clientes de mejorar la funcionalidad y la conectividad. Esta demanda también generó urgencia en el proceso de desarrollo, con proveedores que compiten para ofrecer las características más avanzadas, lo más rápido posible, para ganar clientes y cuota de mercado.

Equilibrio entre la velocidad de desarrollo y las consideraciones de seguridad

La carrera por desarrollar dispositivos IoT más completos y conectados ha satisfecho las necesidades operativas de los clientes, pero no ha estado libre de riesgos en términos de seguridad.

Después de todo, construir la seguridad en todos los aspectos del proceso de producción lleva tiempo y recursos preciosos que no siempre están disponibles. Debido a la presión de tiempo, varios fabricantes de dispositivos han optado por la velocidad de desarrollo y producción por encima de la seguridad.

Las consecuencias: un aumento global de incidentes de ciberseguridad

Las consecuencias de la velocidad sobre la seguridad han sido un enorme aumento de incidentes graves de ciberseguridad del IoT. Los ciberdelincuentes han podido acceder a millones de dispositivos IoT con relativa facilidad, simplemente porque estos dispositivos no fueron desarrollados ni producidos pensando en la seguridad.

A finales de 2016, por ejemplo, la red zombi Mirai Botnet se convirtió en una noticia mundial por lo que la seguridad del IoT comenzó a recibir seria atención. Este es un claro ejemplo de lo que puede salir mal cuando dispositivos IoT inseguros, como monitores para bebés, enrutadores de red, dispositivos agrícolas, dispositivos médicos, electrodomésticos, DVRs, cámaras o detectores de humo, están conectados a Internet sin una provisión de seguridad adecuada.

En el caso de Mirai, los atacantes fueron capaces de hackear millones de dispositivos IoT inseguros, en este caso, cámaras. Luego utilizaron la potencia combinada de la computadora de los dispositivos para lanzar ataques selectivos DDoS (denegación distribuida de servicio) en Internet.

Y la lección aún no se ha aprendido

Desafortunadamente, muchos más incidentes cibernéticos con dispositivos IoT han ocurrido desde 2016, y continúan ocurriendo todos los días. Investigadores de seguridad de F-Secure publicaron una advertencia en 2019, de que los ciberataques contra dispositivos IoT están creciendo a un ritmo sin precedentes. Midieron “un aumento triplicado en el tráfico de ataques de más de 2,9 mil millones de eventos”.

En la investigación, esta creciente amenaza se atribuyó, “en parte, a una falta básica de defensas en firmware o arquitecturas antiguas, y en parte a la falta de mantenimiento de la seguridad de la información. A menudo, los departamentos de TI ni siquiera son conscientes de todos estos dispositivos en sus redes”. ^{[ 2]}

La importancia crítica de la producción con “Seguridad por diseño”

Una forma clave de prevenir ataques dañinos contra dispositivos IoT es mejorar las defensas de éstos. Desafortunadamente, es extremadamente difícil agregar seguridad efectiva después de que el dispositivo IoT ya ha sido producido y/o instalado. En cambio, la forma más eficaz de prevenir los riesgos es implementar la seguridad durante la producción de dispositivos, conocida como producción con Seguridad por diseño (“Secure-by-Design”).

La Seguridad por diseño consiste en construir seguridad en cada etapa del proceso de producción, desde la fase conceptual hasta la fase final de entrega, como se muestra en el gráfico siguiente:

En la fase conceptual, se definen los requisitos de seguridad; en la fase de diseño, se desarrolla una arquitectura de seguridad para el diseño del producto; en la fase de desarrollo se lleva a cabo la revisión del código de software y el escaneo del código; en la fase de verificación, se ejecuta la prueba de penetración y en la fase de entrega se realiza la capacitación en seguridad y se brinda el apoyo técnico. Todas estas medidas de seguridad en el proceso de producción mejoran la resiliencia cibernética de una cámara de videoseguridad y hacen innecesarias las costosas mejoras de ciberseguridad posteriores.

Cómo hacer de la Seguridad por diseño una prioridad organizativa

Existen varios requisitos previos para los fabricantes que desean integrar los principios de la Seguridad por diseño en todos los aspectos de su proceso de producción. En primer lugar, debe haber un compromiso a nivel organizacional para invertir en la seguridad de cada producto. Esto puede tener un impacto en los costos de producción, pero también mejorará drásticamente la seguridad y la credibilidad y, por lo tanto, el valor de los productos al proporcionar ciertas garantías de seguridad a los clientes.

Como requisito adicional, la Seguridad por diseño requiere que los fabricantes estén abiertos a pruebas de penetración (pen testing) por parte de terceros una vez que los dispositivos estén diseñados, fabricados y operativos. Esto garantiza que los productos sean capaces de bloquear amenazas de ciberseguridad nuevas y emergentes, así como las existentes.

En última instancia, los principios de la Seguridad por diseño requieren que los fabricantes sean realmente serios a la hora de reforzar su ciberseguridad y proteger a sus clientes contra las infracciones de seguridad. Este es el caso de Hikvision, donde utilizamos los principios de “Secure-by-Design” para minimizar el riesgo de ataques dañinos de ciberseguridad en toda nuestra gama de productos. Para obtener más información sobre cómo lo hacemos, lea nuestro documento técnico de seguridad.

También puede descubrir más sobre nuestra estrategia y capacidades de ciberseguridad, y cómo aseguramos que nuestras cámaras conectadas y otros productos sean resilientes ante ataques, aquí.

[1]Fuente: https://statista.com – H.Tankovska, 26 de octubre de 2020

[2]Fuente: Forbes.com – 14 de septiembre de 2019

Cybersecurity