Así que
¿qué me he llevado de IPEXPO este año?
En primer lugar,
que Excel está a kilómetros de Paddington. De hecho, ¡tan lejos que estaba intentando
encontrar la cabina para dormir en la línea Jubilee! Pero hablando en serio, el contenido de
que más me atrajo del programa fue el relacionado con la Seguridad, y más concretamente, cómo
el IoT está afectando a la Seguridad.
El IoT – Internet de las
Cosas.
En primer lugar, me gustaría aclarar qué es esta nueva palabra de moda, ya que ahora todos los proveedores parecen
tener algún tenue vínculo con una “estrategia IoT”. En estos momentos está en todas partes,
y los intentos de unirse al carro del IoT han sido incluso más flagrantes que los risibles esfuerzos
de los equipos de marketing de algunos proveedores por forzar una alineación con una estrategia SDN.
En pocas palabras, IoT significa muchos dispositivos
conectados a Internet.
No es
tan innovador como nos han hecho creer, pero nos referimos a MUCHOS
dispositivos… miles de millones… de hecho, Gartner estima que a finales del año pasado,
había 3.800 millones de cosas conectadas ahí fuera. Y por dispositivos no nos referimos sólo a ordenadores,
teléfonos, tabletas, etc. Nos referimos a lavadoras, tostadoras, hervidores, millones de
sensores medioambientales que miden cosas desde la temperatura al monóxido de carbono y
¡hasta juguetes sexuales! Y sí, debemos seguir cuestionando el valor real para el usuario final
de tener una tostadora conectada a Internet. Los que la odian dirán que es totalmente inútil
y puede que tengan razón, pero no olvidemos que muchos escépticos decían lo mismo de
Internet en sus inicios.
La continua popularidad del IoT en
significa inevitablemente que surgirán miles de nuevos proveedores
, que construirán algún dispositivo conectado a Internet junto con alguna aplicación para
hacer algo guay (o no tan guay) y útil (o no tan útil).
Entonces,
¿dónde entra en juego la Seguridad?
Piensa en un escenario cotidiano de despliegue de uno de estos nuevos artilugios. Entusiasmados
por la perspectiva de estrenar nuestro último juguete, abriremos la caja y, con
prisa por conectarlo a la Red, nos conectaremos a él por Bluetooth (probablemente
utilizando 0000 o 1234 como pin), introduciremos la contraseña inalámbrica y listo
ya podremos hablar con él. (Eso después de haber registrado todos nuestros datos con el vendedor de
en Internet, por supuesto). La elegante aplicación gráfica
y la increíble marca nos darán la seguridad de que se trata de un producto de calidad
.
Sin embargo, en la realidad de
, acabamos de destruir nuestro modelo de seguridad de red doméstica. ¿Por qué? Bueno
si hablaras de seguridad probablemente asumirías que tener un Router
/ Firewall te hace seguro. (Suponiendo, por supuesto,
que tu contraseña no sea el nombre de tu mascota / novia / novio
o, peor aún, que la dejes por defecto).
Hagamos
algunas suposiciones semirrazonables de que las empresas de seguridad saben más sobre
seguridad que los fabricantes de “juguetes”. Así que si alguien quisiera piratear tu red doméstica
quizá atacar las tostadoras y otros juguetes/dispositivos IoT sea una “entrada” más fácil que
el cortafuegos.
El hacker ético
Ken Munro de
Pen Test Partners publicó un gran ejemplo
de este tipo de vulnerabilidad.
En
hackeó una muñeca infantil que almacenaba la clave Wi-Fi en texto plano. Pudo extraer
la clave y acceder a la red inalámbrica. Una vez que un hacker entra en la red
, puede hacer prácticamente lo que quiera.
Puede que tú
estés sentado leyendo esto sintiéndote bastante seguro porque no tienes muchos
dispositivos conectados a Internet, pues no los tengas. Munro también descubrió vulnerabilidades
en dispositivos corrientes, incluido el mando a distancia por voz de un televisor Samsung que en realidad
graba tus conversaciones. Si eso no es suficientemente chocante, ¿qué te parece enviar
esa conversación de voz a través de la red sin cifrar?
Así que
¿cuál es la respuesta?
En primer lugar
tiene que ver con la educación. Los consumidores tienen que entender que cada dispositivo
que conectan a su red, por pequeño que sea, es un riesgo potencial para la seguridad
. Tienen que buscar alguna garantía de que el dispositivo es “seguro” (idealmente
probado de forma independiente) o al menos demostrar que la seguridad ha sido una seria
consideración en el diseño y la arquitectura.
Los vendedores
tienen que tomarse la seguridad, especialmente en el espacio doméstico de consumo, más
en serio. Los dispositivos y las aplicaciones deben basarse en diseños en los que un modelo de seguridad y privacidad
decente sea inherente, no una ocurrencia tardía.
Mientras
estamos en ello, merece la pena mencionar que esto NO es difícil. No se espera que los proveedores de IoT
inventen nuevos protocolos de seguridad revolucionarios.
Empecemos por lo básico en
.
- Toda comunicación debe ser segura – ¿Por qué no utilizar simplemente SSL?
- Los datos almacenados localmente deben estar encriptados
- Las contraseñas por defecto deben cambiarse siempre (nada nuevo aquí)
- Asegúrate de que el código local está ofuscado
- No recojas/almacenes datos a menos que sean esenciales para la función del dispositivo
El
IoT es enormemente emocionante y tiene el poder de mejorar positivamente la forma en
que vivimos nuestras vidas, desde pequeñas eficiencias domésticas hasta
grandes soluciones que cambian la industria. Sin duda, es fácil dejarse envolver por
el bombo del “todo es posible”, pero para que podamos aprovechar con seguridad
los beneficios de estas tecnologías inteligentes, debemos volver a lo básico y cimentar
nuestra innovación en la seguridad.
