IoT presenta desafíos de seguridad que podrían significar un serio riesgo para las organizaciones. Muchos dispositivos conectados —automóviles, plantas eléctricas o dispositivos médicos— podrían causar serios daños si son hackeados. Incluso las empresas que no han desplegado conscientemente aplicaciones IoT están en riesgo, porque muchos de sus dispositivos pueden estar ya conectados sin que ellas lo sepan. En este ámbito, la seguridad requiere la colaboración entre varios actores, incluido el proveedor de infraestructura, el de la plataforma, el desarrollador de aplicaciones y la empresa que controla los dispositivos.
Desde hace años asistimos a una transformación en las plantas productivas, en las que los mecanismos se reemplazan por dispositivos “inteligentes” y las instalaciones cableadas se sustituyen por redes inalámbricas. Estas soluciones aportan a las compañías una mejora en prestaciones y rendimiento, así como un ahorro de costes de instalación. Pero este cambio implica que los dispositivos (sensores, actuadores, PLC) y sistemas de control SCADA (supervisory control and data acquisition) transmitan información crítica del proceso productivo de la planta a través de estas redes, lo cual aumenta la vulnerabilidad del sistema.
Seguridad de la red
Entonces, ¿es posible que la red inalámbrica de la planta de producción sea vulnerable? ¿Qué ocurre si los hackers consiguen introducirse en los sistemas y robar información? Si la seguridad de la red no es la correcta, podrían obtener los datos necesarios para descubrir esa “fórmula secreta” que da una ventaja competitiva frente a los competidores.
Si, en una planta de producción, monitorizáramos los datos que se transmiten por la red inalámbrica, obtendríamos la información necesaria para conocer qué dispositivos utilizamos, su configuración, tiempos de proceso, etc. Y con estos datos seríamos capaces de descubrir la capacidad productiva de la planta. Por ejemplo, podríamos conocer datos tan valiosos como los tiempos de horneado de una pieza, la velocidad a la que estamos ensamblando las piezas o la capacidad de producción de la planta.
¿Es posible que la red inalámbrica de la planta de producción sea vulnerable?
Malware
En este contexto, una de las dudas es saber si los datos de los dispositivos están suficientemente salvaguardados. La compañía de ciberseguridad McAfee ha dado a conocer su último informe sobre amenazas, en el que estima que cinco direcciones IP de dispositivos IoT son infestadas cada minuto por Mirai. Este malware escanea continuamente los dispositivos IoT, accediendo mediante usuarios y contraseñas que vienen por defecto de fábrica, y los infecta cargando su código malicioso. Esto es un ejemplo de por qué tenemos que prestar especial atención en este apartado.
Es cierto que la mayoría de los fabricantes de dispositivos IoT tienen cubierta tanto la seguridad de la conectividad como la de los datos, pero debemos asumir que es necesaria una configuración y operativa adicional tras su despliegue. Una máxima de seguridad en este apartado es que ningún dispositivo debería dejarse en productivo con su configuración por defecto. Muchos de estos dispositivos no necesitan ninguna contraseña para conectarse a ellos; otros utilizan “admin” como su nombre de usuario y “1234” como su contraseña. Además, según diferentes estimaciones, el 70% de los dispositivos realizan la comunicación en texto sin formato, facilitando que un hacker pueda obtener los datos de acceso al sistema.
Comunicaciones
Existen tecnologías inalámbricas muy extendidas (como es el caso de wifi) y que, sin embargo, pueden ser más vulnerables que las nuevas soluciones de radio, como es el caso de LoRaWAN. Estas tecnologías presentan unas características que las hacen especialmente interesantes a la hora de utilizarlas en soluciones IoT y en un ámbito de movilidad. Por ejemplo, permiten utilizar métodos de cifrado con encriptación AES y ECC (elliptic curve cryptography) lo cual mejora de forma evidente tanto la seguridad como el rendimiento, ya que utiliza claves más cortas.
En una arquitectura IoT, multitud de dispositivos estarán integrados directamente a través de Internet, pero en este escenario toman especial relevancia las puertas de enlace, pasarelas o routers IoT. Estos dispositivos integran tecnologías y protocolos de redes, software de control embebido y protocolos de seguridad de alto nivel que permiten agrupar redes de dispositivos para tener un único punto de acceso más seguro.
En este apartado es importante que se establezca un sistema para gestionar el acceso de usuarios y dispositivos que cumpla con los requisitos operativos. Es decir, que ningún nuevo dispositivo pueda conectarse a la red sin haber sido aprobado y registrado previamente.
Una plataforma basada en blockchain asegura el intercambio de datos confidenciales
Transacciones
Blockchain es una tecnología que está ganando mucha relevancia debido a su potencial aplicación en multitud de sectores. Su invención hizo posible enviar dinero alrededor del mundo sin bancos, gobiernos ni ningún otro intermediario. No me refiero a la moneda virtual bitcoin, sino a la tecnología que la soporta. Blockchain ofrece una nueva forma de compartir y realizar transacciones de modo transparente y fiable, que mantiene activa una base de datos distribuida y accesible de forma gratuita desde cualquier parte del mundo.
Posee dos ingredientes básicos: la seguridad basada en la criptografía y las redes de sistemas distribuidos. A través de estas características permite crear registros que son imborrables, realizar transferencias seguras a través de las actualizaciones de dichos registros, así como y automatizar estas actualizaciones a través de los llamados contratos inteligentes.
Al ser un sistema descentralizado, blockchain ofrece una gran flexibilidad, así como la capacidad para dar servicio a distintos usuarios y entidades de manera totalmente segura y confidencial, ya que cada nodo de la red dispondrá de una copia imposible de borrar con un histórico auditable de las operaciones realizadas.
Si bien tiene ventajas y limitaciones, sus aplicaciones no se limitan al ámbito financiero. Pensemos en todos los sectores que se pueden beneficiar de la seguridad que ofrece para la integridad de los datos.
Un ejemplo de su aplicación es la industria del cuidado de la salud, donde una plataforma basada en esta blockchain asegura el intercambio de datos confidenciales de pacientes, clínicas, hospitales, medicamentos, etc., así como la recogida y el registro de dichos datos a través de los denominados smart contracts.
Con el número de dispositivos y aplicaciones conectadas aumentando a una tasa exponencial, los riesgos de seguridad asociados también se disparan. El número y la variedad de estos dispositivos, combinados en muchos casos con la ausencia de operadores humanos, plantea desafíos de seguridad críticamente importantes.
La seguridad siempre ha sido un pilar importante para la industria, pero con la transformación tecnológica exponencial que estamos sufriendo, el único modo de adaptarnos rápidamente a este cambio es asumir la creciente importancia de este aspecto. Desde que comenzamos a conceptualizar y a diseñar un sistema industrial con tecnologías IoT, debemos pensar en la seguridad tanto o más que en el coste y en los plazos de implantación. La seguridad puede condicionar la solución final.