IoTopia, la seguridad global en el IoT

Una guía práctica de diseño de dispositivos seguros para todos los usos
(5 min aprox)

Traducción y adaptación del eBook original «Introducing IoTopia».

El IoT está llegando a nuestra sociedad con la adopción masiva de todo tipo de dispositivos, acelerados por la necesidad de sacar rendimiento de los nuevos servicios y adquirir el mayor número de usuarios.

Varios mercados verticales está liderando esta expansión, desde los dispositivos para el hogar hasta los entornos industriales, lo que hace que aumenten las predicciones de adopción del IoT.

Sin embargo, un aspecto tan importante como la seguridad de los dispositivos y servicios no tiene resuelto mucho de las cuestiones principales.

IoTopia es un conjunto de recomendaciones y diseños técnicos para resolver toda la complejidad de la seguridad en todos los elementos que forman parte del IoT.

IoTopia es una propuesta de GlobalPlatform, una asociación de fabricantes y empresas de distintos sectores cuya finalidad es la estandarización de tecnologías.

Iotopia, by globalplatform

Estado del arte en la seguridad del IoT

Muchos de los dispositivos que ya estamos viendo día a día no solo son un elemento de recolección de un dato concreto, sino que pueden actuar como elementos de donde extraer información importante y, en algunas ocasiones, críticas para su entorno.

A la vista de esta situación se hace necesario la adopción de medidas de seguridad ubicuas y estándares en el punto final, para prevenir que los dispositivos sean un punto de entrada de ataques a las plataformas.

Además, muchos elementos cotidianos que antes no tenían tecnología de este tipo, como frigoríficos, máquinas de vending o robots de cocina, se han subido al carro de la conectividad, en muchas ocasiones de la mano de fabricantes que nunca antes habían tenido experiencia en la ciberseguridad.

Con esa falta de experiencia sobre los aspectos de seguridad en los dispositivos y los servicios ofrecidos el resultado es el esperado: la superficie de ataque es enorme, dando como resultado que los elementos físicos, los fabricantes y los usuarios son extremadamente vulnerables.

Y esto lo vemos demasiado a menudo en los titulares de prensa donde se anuncian nuevas brechas de seguridad en grandes marcas y fallos en los servicios que se ofrecen a los usuarios.

Un ejemplo de este tipo de vulnerabilidades fue el botnet Mirai que organizó un ataque distribuido por denegación de servicio (DDOS) usando dispositivos domésticos (como cámaras de vigilancia, routers e impresoras) y aprovechando, sobre todo, las credenciales por defecto. Se llegaron a registrar ataques de hasta 1,7 Tbps (Terabits por segundo) en 2018.

En un DDOS miles de dispositivos que han sido infectados se organizan para atacar un solo objetivo, colapsando sus servicios y dejándolos fuera de línea, de ahí el nombre «denegación de servicio».

Ataque DDOS

Otro curioso ejemplo es cómo en 2017 un grupo de hackers robaron 10 GB de información de un casino de las Vegas atacando un sensor de temperatura de una pecera

Por lo tanto no solo hay que tener en cuenta ataques informáticos sino también los posibles hacks o modificaciones del comportamiento de los aparatos.

El impacto de un negocio de este tipo de situaciones puede llegar a ser catastrófico. En 2019 se estima una media de pérdida de 3,9 millones de euros por cada ataque con exposición de datos de usuarios.

Qué es GlobalPlatform

GlobalPlatform es una asociación sin ánimo de lucro dirigida a desarrollar especificaciones para habilitar servicios y dispositivos seguros durante todo su ciclo de vida.

Actualmente existen unos 2600 representantes en Globalplatform provenientes de casi 100 empresas de distintos sectores del mercado.

Uno de los focos a los que dirige sus esfuerzos es la estandarización de la interoperatibilidad entre aplicaciones mediante la definición de componentes como «Elementos Seguros» (SE o Secure Elements) y Entornos de Ejecución Confiables (TEE o Trusted Execution Environment).

Estandarización de los SE (Secure Elements)

En 1999 se comenzaron a usar de forma masiva las SmartCards para el pago o identificación de personas

. Al principio se hizo de manera desestructurada, con implementaciones propietarias que tenía un coste no desdeñable y que estaban limitadas en sus avances técnicos.
GlobalPlatform reunió a toda la comunidad y organizó el desarrollo, despliegue y gestión de este tipo de servicios, incluyendo las SIM y dispositivos embebidos de todo tipo.

Esto trajo numerosos beneficios, entre ellos la seguridad y la confianza, pero también la facilidad de desarrollo y despliegue en múltiples mercados.
Hoy en día los usuarios siguen disfrutando de todas estas ventajas a diario.

Estandarización de los TEE (Trusted Execution Environment)

Un caso parecido ocurrió con los fabricantes de dispositivos, pues se enfrentaban a la fragmentación, el desarrollo de aplicaciones, fabricación de dispositivos y proveedores de entornos de ejecución. De nuevo GlobalPlatform reunión a los participantes en esos mercados para el desarrollo de los TEE (Trusted Execution Environment) para apoyar la innovación.

Programa de certificación funcional y de seguridad

Además de la colaboración en la elaboración de estándares, GlobalPlatform mantiene un sistema de certificaciones para promover los entornos colaborativos y sistemas abiertos, donde se promueva la confianza entre dispositivos y servicios digitales.
La certificación de componentes internos a los dispositivos, y dentro de poco los dispositivos completos, es esencial para que esa relación de confianza entre fabricantes y servicios digitales se produzca.

Los fabricantes de dispositivos al cumplir el programa de certificaciones pueden anunciar sus productos directamente como compatibles con los proveedores de servicios asociados, y que cumplen tanto los requisitos funcionales como los estándares de seguridad.

GlobalPlatform qualified

Los proveedores de servicios reconocen este nivel de seguridad y les permite seleccionar productos que encajan con sus necesidades y estrategias internas.

Introducción a IoTopia

Iotopia propone un entorno común que especifique el diseño, certificación, despliegue y gestión de dispositivos IoT.


La seguridad de IoTopia será demostrable y cumplirá los requisitos verticales del mercado, basándose en los siguientes cuatro pilares:

  • seguridad desde el diseño
  • intención del dispositivo
  • registro autónomo, escalable y seguro
  • gestión del ciclo de vida del dispositivo.

Es una propuesta detallada y funcional, basada en estándares de mercado, que abarca toda la industria y que tiene la capacidad de adaptarse a las nuevas necesidades.
IoTopia permite a los fabricantes de dispositivos desarrollarlos alineados con una serie de parámetros, estándares y regulaciones muy consolidados en el mercado, aportando distintas capas de seguridad y certificaciones IT en las verticales necesarias.

La aspiración de IoTopia es poner de acuerdo a fabricantes de chips, de dispositivos, proveedores de plataformas IoT, integradores de sistemas, proveedores de servicio, fabricantes de redes, y usuarios finales, gubernamentales y legisladores.

Además, proveerá a todo este elenco de participantes de un diagrama de construcción basado en la seguridad, evitando que cada fabricante tenga que ser un experto en seguridad.

Lo cuatro pilares de IoTopia

Seguridad desde el diseño

Conjunto de características y capacidades detalladas y concretas, más allá de las buenas prácticas, que definen cómo los elementos deben relacionarse con las APIs y con los estándares de seguridad existentes. Globalplatform está colaborando con laboratorios de certificación para hacer posible la implementación por el mercado.

Seguridad desde el diseño

Intención del dispositivo

La intención o propósito del dispositivo es un concepto que hace referencia a las acciones que un dispositivo solicita hacer o sobre las que tiene permiso.
Debe abordar preguntas como: qué es este dispositivo? quien es su responsable? como protejo mi negocio de él?
IoTopia hace uso de las descripciones de los fabricantes (MUD, Manufactures usage description) y de los identificadores de recursos (URI, unified resource identifier) para la administración de permisos y acceso a redes.

Registro autónomo, escalable y seguro de dispositivos IoT.

Uno de los problemas del IoT es el registro inicial de un dispositivo en las plataformas, especialmente cuando se quiere hacer de forma automática y con todas las garantías de seguridad. Este proceso lo verás nombrado en muchos sitios como «onboarding».
Iotopia ofrecerá un proceso de registro inicial abierto, basado en estándares y seguro, que permitirá optimizar la gestión de la red, facilitando la operaciones con dispositivos de distinto tipo y fabricante.

Gestión del ciclo de vida del dispositivo

Actualización y parcheo de software, firmware y hardware, fechas de soporte y garantía de dispositivos, incluyendo servicios de mantenimiento, todo esto debe ser tenido en cuenta y gestionado siguiendo las regulaciones internacionales. Esto ayudará a gestionar el ciclo completo de vida de los dispositivos a los fabricantes, a los propietarios, a los técnicos de IT y a los proveedores de red y de servicios.

Gestión de la vida del dispositivo

Conclusión

Como verás, la presentación que has leído es muy somera, pues la idea del artículo era sencillamente darte a conocer este tipo de iniciativas, especialmente cuando vienen de entidades tan importantes como GlobalPlatform.

Espero que te haya interesado tanto que estés deseando profundizar en algunos de los aspectos de IoTopia. Si es así, puedes empezar por las publicaciones del Iotopia Committee, seguro que te gusta.

Por favor, síguenos y comparte:

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.