Por mucho tiempo el Internet de las Cosas (IoT) corrió muy aprisa en el mercado, con ritmos de producción que pasaban por encima de los tiempos de la seguridad. Ahora, con una enorme cantidad de dispositivos inteligentes en el mercado (y a menudo con poca protección) se presentaron en el salón de exhibición de la Conferencia RSA 2018, celebrada la semana pasada en Estados Unidos, varios proveedores con el objetivo de asegurarlo todo.
Asegurar millones de dispositivos no estandarizados y tan dispares, como pueden ser termómetros, televisores Smart TV o autos, está bastante lejos de ser una tarea sencilla. Si bien sería más simple si tuvieran procesadores integrados más minimalistas, la realidad es que generalmente contienen desarrollos completos y poderosos sistemas operativos conectados a la red, con todos los problemas de seguridad que eso conlleva.
Hace algunos años, no resultaba obvio si los proveedores estaban intentando crear soluciones de seguridad sin una correspondiente amenaza en la vida real. Pero a medida que vimos como crecía de manera sostenida el número de malwares para dispositivos Android, ya no resulta nada extraño encontrarnos con estafas o cosas peores dentro de la plataforma. Adicionalmente, a medida que aumenta la importancia y el posicionamiento de los dispositivos IoT en aplicaciones críticas de gran alcance o importancia (piense en “autos”), mantener los procesos maliciosos contenidos, independientemente de su origen, parece una sabia decisión.
Un enfoque es hacer cada proceso operativo mutuamente sospechoso, dispuestos en contenedores y separados uno de otro. Pero el desarrollo es más lento de lo que sería si se utilizase un sistema operativo estándar como Android y luego se enviara el producto.
La buena noticia es que los proveedores de seguridad de Android que se hicieron presentes en la RSA, ya están implementando entornos cada vez más seguros, pero la tasa de adopción sigue siendo superado ─y por mucho─ por el número de dispositivos nuevos que salen al mercado con piezas de seguridad desconocidas y no probadas.
Lo que ha captado la atención, especialmente de sectores como el automotor, gubernamental o de infraestructura crítica, es el regreso a plataformas informáticas confiables o mutuamente sospechosas, que si bien son más difíciles de desarrollar, son bastante más resistentes a los ataques.
Afortunadamente, las compañías como Lynx Software Technologies han estado trabajando en esto desde hace un tiempo y ofrecen alternativas únicas para enfrentar el problema, con todo aislado ─núcleos, memoria, aplicación, sistema y otros recursos ─ para formar una constelación inquebrantable de barreras digitales que podrían frenar la curva de propagación de cosas desagradables. Esta suerte de “paranoia” es más bienvenida en aplicaciones como avionics o dispositivos médicos, donde nadie quiere ver que pasen “cosas malas”. Por eso, la prevención es mejor que la detección.
Además, la red de personas dedicada a la seguridad se ha focalizado directamente en la defensa contra las amenazas deshonestas que se encuentran en redes a las que probablemente no se presta tanta atención, como CAN Bus en automotores o incluso protocolos relacionados a ICS como Modbus, el cual ha sido insuficientemente defendido (sino del todo) por décadas.
A medida que la importancia y la popularidad de los dispositivos IoT continúen escalando y las personas depositen más información sobre eso, los estafadores y los cibercriminales más experientes, continuarán buscando nuevas vías de ataque y comprometiendo el conjunto de dispositivos que hoy en día nos rodean. Y en la medida que eso suceda, en las conferencias RSA se continuará hablando sobre seguridad en IoT.
Te puede interesar también: