¿Cuáles son los principales problemas de seguridad que se presentan en los dispositivos IoT?
M. L. M.: Existen diversas posibilidades: un vago cifrado de la comunicación; uso de contraseñas simples o predictivas; instalación de malware escondido en paquetes de firmware o software; adquisición de productos tecnológicos comprometidos o falsificados; la no-disposición de sistemas de seguridad de acceso físico a los módulos de almacenamiento o de conexión (Data Centers); conexión a redes inalámbricas públicas y/o desconocidas, etc.
La realidad es que las amenazas de seguridad son interminables. Y uno de los principales problemas que entraña la IoT es que -debido a la conectividad en red de varios dispositivos electrónicos (nevera, coche, sistema de climatización del hogar, app del banco o del médico…)- si se produce una brecha en una de las partes, dependiendo del tipo de amenaza, ésta puede escalar hasta controlar el resto de dispositivos. De hecho, una encuesta de Forrester realizada en organizaciones de todo el mundo reveló que el 47 % de las organizaciones industriales que usan o tienen planificado usar IoT ya habían experimentado problemas de seguridad en sus aplicaciones industriales.
El libro blanco –‘Creación de un mundo IoT fiable y gestionado’- desarrollado conjuntamente por Huawei e Incibe, analiza el desarrollo de tecnologías de seguridad de IoT, propone el uso de mecanismos de seguridad de extremo a extremo de múltiples capas y resume las prácticas de seguridad correspondientes. De hecho, la seguridad de la IoT puede garantizarse solamente si la cadena industrial en su totalidad trabaja en conjunto. Por lo tanto, Huawei propone que los gobiernos, las organizaciones internacionales y las industrias se unan para desarrollar la seguridad de la IoT y que se esfuercen más por orientar políticas, promulgar leyes y reglamentos, establecer normas, innovar tecnologías nuevas y desarrollar ecosistemas industriales.
Se ha hablado mucho sobre ataques dirigido a dispositivos IoT, como podría ser un ataque a un Bypass, produciendo el paro cardiaco de la víctima, ¿son posible este tipo de ataques? Y, ¿Cómo se podrían evitar?
M. L. M.: Uno de los puntos clave que se destacan en el libro blanco es que debe haber un control de la seguridad de extremo a extremo y de múltiples capas. Esto es, se deben activar todos los protocolos de seguridad desde el momento inicial el que se diseñan y se ensamblan los elementos que compondrán ese Bypass, pasando por los accesos físicos al sistema de control, y terminando en las estaciones de almacenamiento de datos.
En Huawei, impulsamos la creación de iniciativas que fomenten el cuidado de la salud en entornos IoT, a través de la protección de dispositivos médicos conectados, el cifrado para investigación médica y farmacéutica o el almacenamiento seguro y omnipresente de los datos médicos.
¿Avanza más rápidamente la innovación que los procesos de seguridad?
M. L. M.: Es un viaje conjunto. En ocasiones, las empresas y la propia industria pueden llegar a centrarse únicamente en la I+D con el objetivo de mejorar lo existente, dejando a un lado la seguridad que implica esa nueva innovación. En Huawei creemos que la seguridad no es opcional para el despliegue de la IoT, sino que es un requisito fundamental. Es por ello que debe haber una mayor conciencia social y empresarial sobre el peligro y las consecuencias que las amenazas en ciberseguridad pueden llegar a plantear.
Además, promovemos la educación en ciberseguridad para organismos y empresas que apuesten por el desarrollo de la innovación, contribuyendo no sólo con la aportación de la tecnología y los procesos, sino también asesorando y formando a los profesionales implicados.
¿En qué deberían trabajar los fabricantes para mejorar la seguridad de los dispositivos?
M. L. M.: Desde nuestro punto de vista, creemos que debe existir una coordinación de todas las partes integrantes de la cadena (fabricantes, desarrolladores de software, profesionales implementadores de la tecnología, autoridades), con el fin último de proteger a todos.
Los ataques a la cadena de suministro pueden aparecer de distintas formas: un posible fallo en la producción o distribución de un producto o servicio; la confianza en un proveedor de servicios malintencionados o no calificado; la introducción de vulnerabilidades en el hardware o software de la empresa o incluso la instalación de hardware o software falsificado.
En Huawei -por ejemplo- disponemos de un Programa General de Control de toda la empresa que se encarga de velar por la seguridad en todos y cada uno de los puntos de la cadena, desde la fabricación de dispositivos tecnológicos, hasta el mantenimiento de los datos almacenados en nuestros centros de datos.
¿Y qué recomendaciones deberían seguir los usuarios para mantener la seguridad de sus datos y dispositivos?
M. L. M.: Algunas de las recomendaciones que se ofrecen en el libro blanco ‘Creación de un mundo IoT fiable y gestionado’ son ejemplos básicos y sencillos: fijar contraseñas que no sean fáciles, cortas o predecibles; no tener la misma contraseña para diversas plataformas; no publicar en RRSS contenidos relacionados a temas bancarios, de trabajo o de salud que puedan dar pistas a posibles hackers o extorsionadores de la Red; cifrado y protección de plataformas o aplicaciones relacionadas con pagos bancarios o compras online; no descargar software que no sea oficial o de forma ilegal (muchas páginas de descargas gratuitas contienen virus o troyanos contenidos en los ejecutables a descargar); el desarrollo o trabajo con aplicaciones nuevas y API’s abiertas; la desprotección de los sistemas de control y almacenamiento de datos; etc.
Desafortunadamente, aunque los problemas de seguridad son significativos, sigue siendo necesario concienciar al público acerca del tema. En el futuro, la IoT estará estandarizada, simplificada y será fácil de usar. Por eso, en Huawei pensamos que es importante que trabajar conjuntamente entre todos los agentes de la industria para construir un mundo IoT seguro y fiable.
