Estados Unidos plantea las buenas prácticas de IoT

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Los planes del gobierno de los Estados Unidos para proteger Internet de las cosas tendrán un éxito limitado ya que ignoran el riesgo que representan los consumidores, según puedo asegurar sustentado en mi experiencia profesional.

Las nuevas propuestas para la seguridad de IoT se presentaron en un documento de política titulado Secure by Design.

Este documento incluye un código de práctica propuesto con lineamientos cardinales, como evitar contraseñas predeterminadas para dispositivos y servicios, implementar una política de divulgación de vulnerabilidades y mantener el software actualizado para proporcionar soporte continuo.

El gobierno espera que estas directrices sean seguidas por todas las partes interesadas dentro de la industria del IoT, esto incluye obviamente a los usuarios que son una de las partes más interesadas.

Algunos consumidores personalizan sus dispositivos para que se adapten a sus preferencias, lo que podría crear vulnerabilidades tanto en sus propios dispositivos como en el ecosistema al que están conectados, desde redes empresariales hasta autos autónomos que se comunican entre sí en la carretera. (el riesgo potencial es enorme)

Los actores malintencionados podrían explotar las vulnerabilidades que los consumidores crean en sus dispositivos personales para obtener un punto de entrada para atacar los sistemas de misión crítica y la infraestructura nacional.

Los riesgos aumentarán a medida que prolifera la cantidad de dispositivos IoT.

Gartner estima que habrá alrededor de 20 mil millones de dispositivos estarán conectados a Internet en todo el mundo para 2020, mientras que en Unión Europea la propiedad de dispositivos inteligentes podría aumentar de un promedio de 10 dispositivos por hogar hoy a 15 en 2020.

Muchos usuarios están rompiendo el ecosistema

Sacar al propietario del ecosistema y pensar en las partes interesadas es una gran cosa.

Al no considerar cómo las personas cambiarán sus dispositivos, no podemos pensar realmente en un modelo de amenaza que diga que si algunos de los dispositivos funcionan de la manera en que deberían hacerlo, los consumidores los han vuelto más vulnerables o menos vulnerable?

Seguridad del software en dispositivos IoT

Otro problema con las propuestas es que no incluyen orientación sobre cómo escribir software seguro.

El código de práctica sugiere una serie de maneras en que se puede agregar seguridad al software existente, como los métodos de autenticación, pero en este caso me parece que pasa por alto las vulnerabilidades en el código de software subyacente.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris