Un nuevo estándar de cifrado para Internet de las cosas (IoT) debería ayudar a mejorar la seguridad de estos dispositivos conectados en empresas, fabricantes, infraestructura crítica y otros sectores que utilizan este equipo.
Pero muchos de estos dispositivos continúan rezagados en funciones y prácticas de ciberseguridad.
El 7 de febrero, el Instituto Nacional de Estándares y Tecnología (NIST) anunció que había seleccionado un grupo de algoritmos criptográficos, conocidos como Ascon, para ser el estándar de cifrado formal para dispositivos electrónicos «ligeros» y sus comunicaciones. El estándar debería ayudar a los fabricantes de dispositivos y a sus clientes a proteger mejor los datos y los dispositivos de los atacantes que apuntan cada vez más a la tecnología operativa, aunque dichos dispositivos tengan un poder de procesamiento y almacenamiento limitados.
Los algoritmos permiten protecciones de cifrado incluso para los dispositivos más pequeños, científico informático del NIST Kerry McKay dijo en el anuncio de la norma.
«El mundo se está moviendo hacia el uso de dispositivos pequeños para muchas tareas que van desde la detección hasta la identificación y el control de máquinas, y debido a que estos dispositivos pequeños tienen recursos limitados, necesitan seguridad que tenga una implementación compacta», dijo. «Estos algoritmos deberían cubrir la mayoría de los dispositivos que tienen este tipo de limitaciones de recursos».
Por qué IoT está explotando
Los dispositivos conectados en entornos comerciales e industriales son una aplicación de rápido crecimiento impulsada por dos fuerzas principales en los últimos tres años. Inicialmente, la pandemia estimuló la necesidad de respaldar las operaciones remotas, mientras que las preocupaciones actuales de una recesión están empujando a las empresas a automatizar las operaciones utilizando dispositivos conectados.
Por ejemplo, se prevé que la Internet industrial de las cosas (IIoT), un término general para los dispositivos conectados que supervisan y controlan los sistemas físicos y los procesos industriales, crezca de forma espectacular. Se espera que la cantidad de conexiones industriales de IoT, una medida de la cantidad de dispositivos implementados, se duplique con creces a 36 800 millones en 2025, frente a los 17 700 millones de 2020. según Juniper Research.
Sin embargo, el crecimiento masivo también genera un área de superficie de ataque masiva. Las vulnerabilidades en el llamado Internet extendido de las cosas (XIoT), que incluye tanto los dispositivos como los sistemas que los administran, aumentaron un 57 % en la primera mitad de 2022, continuando con un aumento espectacular respecto al año anterior. En el lado empresarial, los investigadores de seguridad demostraron 63 vulnerabilidades explotables en una variedad de dispositivos conectados en Pwn2Own de este año, como impresoras y almacenamiento conectado a la red.
Mientras tanto, los dispositivos y sistemas de IoT empresarial e industrial a menudo se usan durante décadas sin actualizaciones periódicas, a diferencia de los entornos de TI convencionales, que se reemplazan cada tres a cinco años y se actualizan regularmente en el medio, dice Bill Malik, vicepresidente de estrategias de infraestructura de la firma de ciberseguridad Trend. Micro.
«En este momento, decenas de miles de entornos industriales de IoT están abiertos a Internet, ya sea por descuido o por falta de conocimiento de los riesgos», dice. «Muchos de estos sistemas se envían con contraseñas predeterminadas, que rara vez se modifican con el uso, y esos sistemas a menudo no se pueden actualizar».
Seguridad ligera, pero no ligera
El estándar NIST tiene como objetivo brindar, incluso a los dispositivos de bajo consumo, un nivel básico de ciberseguridad mediante el cifrado de datos y comunicaciones almacenados. El proceso tomó varios años, comenzando con 57 candidatos en marzo de 2019, que se redujeron a 10 finalistas en 2021.
«La capacidad de brindar seguridad era primordial, pero también teníamos que considerar factores como el rendimiento y la flexibilidad de un algoritmo candidato en términos de velocidad, tamaño y uso de energía», declaró McKay del NIST en el anuncio del 7 de febrero. «Al final, hicimos una selección que fue una buena elección general».
La implementación del estándar NIST llevará tiempo, ya que muchos proveedores de IoT aún se están poniendo al día con las mejores prácticas de seguridad cibernética, con dispositivos que a menudo carecen de capacidades de autenticación sólidas, no hay una manera fácil de distribuir e instalar parches y poca visibilidad de la actividad, incluido un registro débil o inexistente. dice Malik de Trend Micro.
El nivel de madurez del sector industrial en América del Norte, por ejemplo, continúa rezagado respecto de otros países. En comparación con el promedio mundial del 57 %, solo la mitad de las empresas (50 %) de la región han adoptado tecnologías que buscan comportamientos anómalos o utilizan la automatización y la orquestación para administrar y proteger los dispositivos, considerados los dos niveles principales de madurez de seguridad para la tecnología operativa. , según Fortinet’s «Informe sobre el estado de la tecnología operativa y la ciberseguridad de 2022.»
Los riesgos para los dispositivos empresariales e industriales conectados están aumentando, especialmente contra el sector manufacturero, que representó el 68 % de los ataques observados contra sistemas industriales en el tercer trimestre de 2022, según Dragos, una empresa de servicios de ciberseguridad. La invasión rusa de Ucrania ha creado un campo de batalla en línea con actores de amenazas de ambos lados que apuntan a una variedad de sistemas y dispositivos, con el objetivo de causar daños físicos e interrupciones a través de ataques cibernéticos.
A medida que las empresas y las industrias continúan avanzando hacia el monitoreo y control ubicuos, lo que permite fábricas inteligentes, ciudades inteligentes e infraestructura inteligente, los ataques cibernéticos serán más impactantes, afirmó Deloitte en su «Industria 4.0 y Ciberseguridad» informe.
La detección por sí sola «no es suficiente»
Centrarse en la detección, sin embargo, no es suficiente, dice Keao Caindec, analista principal de Farallon Technology Group y presidente de la Grupo de Trabajo de Seguridad en el Industry IoT Consortium (IIC).
«Muchos de los controles de seguridad que usamos hoy en día se enfocan más en la detección y reparación, mucho monitoreo y luego priorización de eventos y alertas», dice. «El problema es que siempre te deja un paso por detrás del atacante, por lo que las empresas deben centrarse realmente en abordar el acceso inicial, evitar el acceso comprometido, evitar el descubrimiento y el reconocimiento no autorizados y prevenir los ataques laterales».
Sin embargo, la capacidad de proteger el IoT empresarial e industrial permanece en las empresas, que deben buscar obtener la mayor visibilidad posible sobre qué dispositivos están conectados a sus entornos, dice Caindec. Señala un marco defensivo ya buscado, arquitecturas de confianza cero, como quizás el mejor enfoque actual para proteger los dispositivos y sistemas de IoT empresariales e industriales.
Además, las empresas necesitan tener de su lado a los principales responsables de la toma de decisiones. Los esfuerzos de seguridad cibernética son una inversión importante, especialmente si incluyen el reemplazo de dispositivos, por lo que necesita soporte ejecutivo, dice Wendy Frank, líder cibernética de IoT en la consultora Deloitte.
«Creo que gran parte de esto se reduce a hablar realmente con sus tableros, asegurándose de que estén al tanto de los problemas específicos relacionados con los dispositivos, porque no hacen esto para ganarse la vida», dice.
Relacionado:
Informes de Gobierno, Seguridad IoT, Mirai y Regulación
