iconimage - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

RSA Conference 2016: IoT se estrellará y arderá si la seguridad no está primero

El mensaje de la Conferencia RSA 2016: Construir la seguridad en los dispositivos IoT desde el principio, o cortejar el desastre. También: Apple recibe un impulso; existe la oportunidad de ‘hackear’ el Pentágono.

San Francisco – Gartner estima que 6.4 mil millones de dispositivos conectados a internet estarán en uso este año; para el 2020, el número se disparará a 21 mil millones. A menos que las empresas que fabrican estos dispositivos interconectados revisen sus prácticas de seguridad de la información y las incorporen tempranamente en los procesos de desarrollo, el IoT estará muerto tan pronto llegue.

La advertencia fue emitida durante la Conferencia RSA 2016 en San Francisco desde un panel de expertos en seguridad para el internet de las cosas (IoT): Eric Hibbard, director de tecnología para seguridad y privacidad en Hitachi Data Systems Corp .; Nithan Sannappa, abogado senior de la división de privacidad y protección de identidad en la Comisión Federal de Comercio (FTC); y Jay Brudz, presidente del grupo de gobierno de la información y detección electrónica en la firma legal Drinker Biddle & Reath LLP, con sede en Filadelfia.

"Lo que da miedo desde la perspectiva de la seguridad es la escala masiva. Ya estamos, como profesionales de la seguridad, luchando para lidiar con los dispositivos IoT existentes, pero cuando vemos que habrá un millar de veces más de este tipo de cosas, que serán igual de inteligentes en 2020 –es un poco preocupante", dijo Hibbard.

Parte del problema, dijo, es que muchos fabricantes de IoT son nuevos en el espacio de las computadoras y las redes, y nunca han operado en este espacio antes. Combine eso con la escasez actual de los estándares de seguridad de la IoT, y usted tiene una receta de seguridad a medio cocer.

"Estamos pensando en tres o cuatro años antes de que comiencen a llegar las estandarizaciones. La comunidad jurídica sopesará esto de manera temprana, lo cual será una llamada de atención para algunos de los fabricantes y proveedores de soluciones que construyen este castillo de naipes", dijo Hibbard.

Brudz estuvo de acuerdo, señalando que muchos de los vendedores del IoT operan bajo la mentalidad de inicio: empujar un producto mínimamente viable que se pueda vender y hacerles ganar dinero rápidamente –un proceso que no parece implicar la incorporación de la funcionalidad de seguridad, o muy poco de ello, a juicio de Brudz. "[Para ellos] se trata más acerca de qué código van a escribir... sobre su lanzamiento y, posteriormente, tratar de arreglarlo", dijo.

Sannappa de la FTC estuvo de acuerdo, diciendo que mientras que el espacio de los productos de consumo del IoT es bastante nuevo, casos anteriores relacionados con la aplicación legal referente a fallos de seguridad del IoT hacen eco de los errores que compañías cometen en la red, software y seguridad móvil, según lo que ha visto la agencia.

"Vemos temas comunes como... no hacer revisiones de la arquitectura de seguridad y de diseño, no hacer pruebas de penetración, no tener procesos establecidos que se ocupan de los informes de vulnerabilidades de los investigadores externos", dijo.

Sannappa también ha visto a las empresas no proporcionar a los consumidores la información pertinente para que puedan tomar decisiones de compra –o, después de haber sido advertidos por la FTC acerca de los errores de seguridad, rehusarse a tomar las acciones necesarias para solucionarlos hasta que el producto ha llegado a los consumidores.

Se refirió a un reciente acuerdo de la FTC con el fabricante de hardware Asus, con respecto a sus ruteadores defectuosos. Los routers estaban plagados de vulnerabilidades comunes y conocidas sobre los que la empresa fue advertida, pero no lograron asegurarlos antes de vender los productos a los clientes, en vez de ello, los comercializaron como si estuvieran equipados con elementos de seguridad que protegerían a los usuarios del acceso no autorizado y los virus.

Orientación sobre la seguridad del IoT

El lugar para comenzar el protocolo de seguridad del IoT es mirar las acciones legales previas de la FTC y los casos de aplicación para saber lo que no debe hacer –y las mejores prácticas para un programa de seguridad de la información razonable, dijo Sannappa.

Una regla de oro es que la seguridad de IoT no es una cosa para hacer una sola vez.

"Hemos hablado con las empresas acerca de [ser específico en cuanto a] la ruta de actualización para sus dispositivos. [...] Estamos tratando de asegurar que las empresas están apoyando a los clientes y consumidores hasta que un extremo razonable de la vida, o al menos proporcionándoles información pertinente", dijo.

Hibbard, cuya compañía está involucrada en iniciativas de ciudades inteligentes en todo el mundo, estuvo de acuerdo, añadiendo que es importante entender el daño que la falta de seguridad puede hacer –para su empresa y la industria– y abordar la seguridad del IoT en una etapa temprana. Hibbard dijo que ha visto de primera mano cómo una gran cantidad de jugadores en el espacio no tienen en cuenta la seguridad como una ventaja competitiva.

"Si usted está pensando en comprar o hacer IoT, tercerizarla a la región de Asia-Pacífico (APAC), no asuma que ellos saben de seguridad. Usted no será capaz de hacer las adaptaciones, así que si usted lo desea, pídalo por adelantado", dijo.

Brudz también advirtió a los responsables del IoT que deben capturar los pasos de seguridad que han aplicado.

"Muestre su trabajo, agregó. "Es necesario... asegurarse de que está documentando adecuadamente los procesos que atravesaron; usted debería asegurarse de obtener crédito después. No querrá decirle a la FTC que usted no tiene los registros."

Otros detalles de la Conferencia

Los asistentes a la Conferencia RSA 2016 tuvieron un montón de noticias de seguridad de las cuales hablar:

  • Apple obtuvo una ventaja. Hace unos días, un juez federal de Nueva York dictaminó que el gobierno de EE.UU. no podía usar la ley All Writs Act de 1789 para forzar a Apple a desbloquear un iPhone relacionado con un caso de drogas. Este resultado podría ayudar al gigante de la tecnología en su disputa con el FBI, que gira en torno a si Apple debe crear, si se lo requieren legalmente bajo el estatuto All Writs Act, un nuevo software que ayudaría al FBI a tener acceso a los datos en el teléfono del tirador de San Bernardino.
  • El Pentágono impulsa las mejoras en seguridad de TI. El Pentágono está tomando medidas adicionales para hacer frente a la creciente brecha de seguridad cibernética. El secretario de Defensa Ash Carter lanzó un llamamiento nacional a las empresas de tecnología estadounidenses e instalaciones militares, empezando por Seattle, pidiendo su ayuda para "construir y reconstruir puentes" para las comunidades locales, así como a reunir la tecnología para unirse al Departamento de Defensa. El Pentágono también puso en marcha un concurso, llamado "Hackeen el Pentágono", que ofrece a los ciudadanos privados la oportunidad de hackear los sitios web públicos del Departamento de Defensa.
  • Ciberataques a instalaciones de servicios. ¿Recuerda el ataque contra el sistema eléctrico de Ucrania hace dos meses? Resulta que el apagón fue causado por un ataque cibernético –el  primero de su tipo, de acuerdo con funcionarios de alto rango de Estados Unidos. Dijeron que los atacantes trabajaron de forma remota para realizar un seguimiento exhaustivo de las redes de la central eléctrica, robar las credenciales de los operadores del sistema, cambiar los interruptores y dejar a más de 225.000 ucranianos sin energía eléctrica. La investigación está aún en fase.
  • Brechas de seguridad en la recaudación fiscal. El IRS está teniendo más problemas de seguridad. La violación de los datos del IRS del año pasado, que originalmente la agencia dijo que afectó a 100.000 personas y más tarde cambió ese número a 334.000, ahora ha ascendido;  el número real de registros robados fue de 724.000. Eso no es todo. Con el fin de proteger a las víctimas de esa brecha de un mayor fraude, el IRS les proporcionó PINs de protección de identidad, o códigos secretos que los contribuyentes deben poner en sus declaraciones de impuestos, o no será aceptada por el IRS. El factor oculto: el sistema que asegura el proceso de recuperar los PIN es el mismo sistema que los hackers al que habían entrado en la brecha original.
Este artículo se actualizó por última vez en marzo 2016

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close