La noticia, a principios de este año, de que el Gobierno Federal de los EE.UU. ha reintroducido una ley que tiene como objetivo aumentar la seguridad cibernética de IoT ha puesto toda la atención sobre el tema.
Como han señalado algunos analistas, los fabricantes de dispositivos IoT a veces han priorizado la conectividad y la funcionalidad sobre la seguridad en sus dispositivos. Esto ha sucedido a pesar de que IoT es un objetivo cada vez más importante para los ataques cibernéticos.
Sin embargo, esto parece estar cambiando. El resurgimiento de la botnet Mirai ha enfatizado la importancia de defender el IoT, al igual que las recientes preocupaciones sobre la facilidad con que el malware Triton pudo infiltrarse en los dispositivos IoT.
Se ha especulado mucho sobre cómo asegurar el IoT en el futuro. Algunos han sugerido que las tecnologías AI y Blockchain con el tiempo proporcionarán una solución, pero hasta el momento, los problemas de escalabilidad que afectan a las cadenas de bloques demuestran que son una mala solución para asegurar grandes redes de IoT.
Hoy en día la mayoría de los fabricantes de IoT confían en soluciones de seguridad probadas y de confianza, y esto significa principalmente certificados SSL. Sin embargo, el hecho de que esta tecnología ya hace tiempo que existe no significa que sea menos segura que las soluciones más exóticas para la seguridad de IoT: de hecho, los certificados SSL proporcionados por un proveedor SSL de confianza brindan el nivel más alto de seguridad actualmente disponible.
SSL and the IoT
Los certificados SSL se usan ampliamente para garantizar la seguridad, la identidad y la integridad de los sitios web, pero también se pueden usar para aumentar la seguridad de los dispositivos IoT.
Existen diferentes tipos de certificados SSL, pero todos funcionan de manera similar. El protocolo SSL utiliza cifrado asimétrico para proteger los datos compartidos entre dos dispositivos en la misma red. En la aplicación más común, un sitio web enviará un certificado SSL al navegador de un usuario, y este certificado habrá sido firmado por un proveedor de confianza.
La matemática del protocolo significa que estos certificados SSL son básicamente imposibles de falsificar, dada una longitud de clave lo suficientemente grande, lo que significa que los usuarios pueden estar seguros de que el sitio al que se conectan es legítimo.
Los certificados SSL también se pueden usar de otras maneras. Comúnmente son empleados por grandes empresas para autenticar clientes o dar a determinados empleados acceso seguro a bases de datos o documentos. También se utilizan en la seguridad de correo electrónico.
Esta misma tecnología se puede utilizar para validar la identidad de los dispositivos conectados a las redes IoT. Esto mejora la seguridad de los dispositivos IoT de tres maneras clave:
- Un dispositivo IoT puede recibir un certificado SSL de confianza pública, que permite a los usuarios conectarse a él (a través de su smartphone u otro dispositivo) tal como lo harían con un sitio web seguro. Debido a que este certificado SSL también es de confianza pública, un usuario no tendrá que hacer clic en una advertencia de seguridad o agregar una excepción en su dispositivo para obtener un certificado autofirmado.
- Por el contrario, un dispositivo IoT puede solicitar un certificado de cliente del dispositivo de un usuario para realizar tareas particulares. Esto se usa comúnmente en las “smart locks” (cerraduras inteligentes), por ejemplo, que necesitan un certificado SSL del teléfono de un usuario para desbloquear una puerta.
- Finalmente, cualquiera que sea la forma de validación SSL utilizada, después de intercambiar estos certificados, se encripta la conexión entre un dispositivo IoT y otro dispositivo. Esto evita que las contraseñas y otra información crítica sean interceptadas y leídas durante un ciberataque.
Por qué una VPN (Red Privada Virtual) es un cifrado insuficiente
Los certificados SSL y la tecnología de red privada virtual (VPN en inglés) utilizan los mismos algoritmos de cifrado, entonces, ¿por qué no puedes usar uno u otro? ¿Por qué necesitas ambos? Para responder a esto, debes comprender que cada tecnología es adecuada para una protección de ciberseguridad completamente diferente. Aquí están las diferencias:
- Con el software VPN activado, disfrutarás de una conexión a Internet encriptada que oculta tus datos de navegación de los intrusos y te permitirá permanecer sin ser detectado detrás de una dirección IP distante que no proporciona pistas sobre tu ubicación geográfica real. Los servicios VPN más populares hoy en día lo hacen bastante bien. El problema es que una VPN no hace nada para garantizar que un sitio web que visitas o al que envías un número de tarjeta de crédito sea legítimo. No fue diseñado para hacer eso, pero sí lo fue un certificado SSL.
Los desafíos
Históricamente, el uso de SSL para proteger las redes IoT ha planteado varios desafíos. Principalmente, basados en el supuesto de que SSL es demasiado costoso desde el punto de vista computacional para el funcionamiento de dispositivos IoT pequeños. Esto podría haber sido cierto hace unos años, y aún puede ser cierto para los dispositivos heredados, pero los avances recientes en los protocolos SSL y el aumento de la potencia de cálculo de los dispositivos IoT han hecho que esta preocupación sea obsoleta.
Un estudio de 2011 sobre la energía consumida por los dispositivos móviles que usan SSL, por ejemplo, muestra que si bien la sobrecarga de SSL / TLS es significativa para los movimientos muy pequeños de menos de 10KB, “con operaciones mayores de 500KB, la energía necesaria para transmitir los datos reales supera con creces la sobrecarga de energía TLS “.
También hay herramientas disponibles que reducirán aún más esta huella. El TLS Toolkit de código abierto (anteriormente MatrixSSL) se puede configurar para una huella digital de solo 66KB, y wolfSSL, un kit similar, promete un tamaño de huella mínimo de 20 a 100KB.
Un segundo desafío ha sido observar que SSL no es totalmente seguro. Esto también es cierto, pero no es motivo para que los fabricantes de IoT ignoren esta tecnología. En combinación con otras capas de seguridad, SSL actualmente ofrece el mejor nivel de protección disponible para dispositivos IoT.
Cómo Asegurar Dispositivos IoT con SSL
La forma en la que uses SSL para proteger los dispositivos IoT dependerá de si eres un fabricante de dispositivos o simplemente alguien que quiere un poco más de seguridad en la red IoT de su hogar.
Para los fabricantes de dispositivos, vale la pena señalar que es probable que SSL se convierta en la forma más común de protocolo de seguridad para dispositivos IoT en los próximos años, porque en este momento es la única tecnología de seguridad escalable que puede ofrecer protección contra los ciberataques contemporáneos. Esto significa que los dispositivos de IoT deberían diseñarse con gastos generales computacionales adicionales (modestos), de forma que se puedan configurar para que los proveedores del mercado secundario puedan usar SSL.
Los usuarios que busquen mejorar la seguridad de sus redes IoT utilizando SSL, deberán tener en cuenta que se requiere algo de codificación. Sin embargo, el primer paso es asegurarte de que no te complicas la vida buscando un único proveedor de SSL para todos los certificados.
En última instancia, es probable que sea necesario que todos los dispositivos IoT usen SSL, ya sea a través de la legislación gubernamental o simplemente por presión pública. Pero no está de más ir un paso por delante.
Samuel Bocetta,
Experto de la industria