Según datos de Gartner, en 2020 el IoT será objetivo de más de un cuarto de los ciberataques que se produzcan en el mundo. La seguridad IoT será fundamental.
El Internet de las Cosas (IoT) supone uno de los cambios tecnológicos más relevantes de los últimos años. Gracias al nuevo paradigma, todo tipo de objetos cotidianos ven y verán ampliadas sus funciones, y por lo tanto, también su valor, a través de la conexión entre ellos y con distintos servicios que permitan extraer información y conocimiento a partir de los datos generados durante el funcionamiento de los “objetos” conectados.
Pero, como todo nuevo desarrollo tecnológico susceptible de ser explotado, el IoT está en el centro del objetivo de los hackers. Según datos de un estudio de la consultora internacional Gartner, en el año 2020 el IoT será el objetivo de más del 25% de los ciberataques que se produzcan en todo el mundo.
Retos que resolver
El IoT introduce nuevos retos acerca de la protección de la privacidad de las personas y de la confidencialidad e integridad de los datos valiosos transmitidos entre dispositivos. Aunque hoy en día existen ya muchos distintos estándares, productos, plataformas y servicios, gracias a aplicar el paradigma IoT a distintos ámbitos, aún se pueden encontrar problemas pendientes de resolver en el campo de la seguridad.
Primer problema: en muchos casos, los dispositivos IoT se diseñan para poder trabajar ubicuamente, de forma totalmente autónoma y transparente para los usuarios, lo que complica la detección de posibles ataques. Estos ataques estarán orientados principalmente a los dispositivos físicos y tendrán como principales objetivos adquirir información privada de los usuarios y tomar el control de los mismos. Un ejemplo de esto último: el coche conectado. Un atacante podría obtener información de carácter privado acerca de los trayectos de un usuario o sobre su estilo de conducción, o incluso tomar el control del vehículo.
Por otro lado, normalmente el tipo de de dispositivos empleados en un entorno IoT se caracteriza por disponer de recursos muy limitados (computacionales, consumo de energía, ancho de banda, etc.), precisamente por reducir el costes en la medida de lo posible, y además maximizar su tiempo de vida útil. Esto provoca que los modelos de seguridad tradicionales no puedan ser aplicados, por lo que es necesario crear nuevos mecanismos adaptados, que además puedan ser aplicados a un gran número de dispositivos, por lo que además de adaptados deberán ser escalables.
Nuestra aproximación
Teniendo en cuenta estos riesgos que hemos mencionado más arriba, el camino para alcanzar un entorno IoT seguro pasa, en primer lugar, por un análisis para identificar y clasificar los potenciales ataques a los sistemas IoT en términos de importancia, impacto potencial y factibilidad.
Posteriormente, tras este análisis, se plantearán distintas estrategias y mecanismos que pasen por desarrollar primitivas criptográficas adaptadas a las reducidas capacidades de cómputo y los reducidos niveles de consumo energético de los dispositivos IoT, implementar mecanismos de autenticación de dispositivos o hacer uso de sistemas hardware que reduzcan el coste computacional de la criptografía en escenarios con recursos limitados.
Sin embargo, para que la implantación de este tipo de estrategias sea efectiva en entornos reales, no debemos olvidar que es necesario encontrar un compromiso en un punto de equilibrio entre riesgo y costes (tanto desde el punto de vista de la complejidad, como en términos económicos o del aumento de la dificultad de uso). E necesario un esfuerzo conjunto por parte de fabricantes, integradores de la tecnología e investigadores para tener en cuenta la seguridad -como una necesidad inexcusable- y la creación de estándares (o su adopción de facto) que unifiquen el análisis y el uso de sistemas de seguridad en el ámbito del IoT.
Experiencias innovadoras ya en el mercado
Gradiant ha podido sacar partido de su experiencia en sistemas empotrados y comunicaciones inalámbricas para aplicar este paradigma del IoT en casos de uso reales, en los que la seguridad juega un papel muy relevante.
Un caso claro de esta combinación de tecnologías se demuestra en el proyecto Car Easy Apps (en colaboración con PSA Peugeot Citroën, Altia, IMATIA y CTAG), en el que se ha definido un protocolo de comunicaciones que permite, de forma segura, intercambiar datos entre varios elementos habituales dentro de un esquema IoT como son un objeto conectado (en este caso, un vehículo), un sistema Cloud (el del fabricante del vehículo) y el smartphone del usuario (típicamente un elemento con restricciones en cuanto a comunicación y punto débil en lo referente a seguridad).
En esta línea de trabajo, varios investigadores de Gradiant han participado como inventores junto con PSA Peugeot Citroën en una solicitud de patente que cubre el esquema de seguridad empleado para dar solución a esta problemática.
Para saber más:
AIOTI: Alianza europea por la innovación en el Internet de las Cosas
Gradiant IoT
Gradiant, miembro fundador de ECSO Ciberseguridad
Contacto: