Una solución de seguridad que aprende junto con el desarrollo de IoT
Ciudad de México, mayo 2020.- El Internet de las cosas o IoT aún no ha alcanzado la madurez en su desarrollo, pero con todas sus posibilidades, los usuarios y fabricantes han iniciado su utilización y han invertido con entusiasmo sin considerar adecuadamente la seguridad. Conocemos esa historia, todavía estamos descubriendo mucho sobre el IoT, por ejemplo: lo que queremos, qué nivel de privacidad será adecuado, dónde debemos establecer los límites legales y cómo hacerlo seguro. Sin embargo, todavía no hemos descubierto las respuestas a todas esas preguntas, pero obtenerlas es una carrera contra el tiempo.
El problema va más allá del mero robo de datos. Los atacantes ahora pueden aprovechar la funcionalidad de IoT para promover sus crímenes. Se han planteado problemas con las aspiradoras robóticas que escanean la arquitectura de una casa para determinar el área que tienen que limpiar. Esta sería una gran característica si no fuera por el hecho de que usa una combinación de nombre de usuario / contraseña predeterminada, lo que permite que un hacker convierta ese dispositivo en uno de espionaje remoto. Es solo un ejemplo de muchos
La importancia de IoT también se ha destacado en América Latina y el Caribe. IDC estimó que en 2019 había aproximadamente 400 millones de dispositivos IoT conectados en esta región y proyectó que ese número alcanzaría los mil millones de dispositivos para 2023. En términos de valor económico, esto representó alrededor de US$ 4 mil millones en 2017 y la proyección es que alcance $ 19 mil millones de dólares para 2023, según un estudio titulado “IoT en ALC; Tomando el pulso de Internet de las cosas en América Latina y el Caribe”, realizado por el Banco Interamericano de Desarrollo BID.
Aunque el mercado de IoT se ha retrasado desde una perspectiva global, hay signos alentadores, como el crecimiento de los ingresos proyectado para los próximos años y las tendencias de desarrollo en curso. A lo largo de nuestra investigación, observamos que en América Latina y El Caribe, no solo se importan plataformas y soluciones IoT de otras regiones, sino que también hay un sector emergente de diseñadores de dispositivos IoT basados en la región y desarrolladores de aplicaciones verticales que trabajan en productos y servicios locales innovadores, señala el análisis del BID.
En una investigación reciente realizada por Kumar et. al. “Todo lo considerado: un análisis de dispositivos IoT en redes domésticas”, los investigadores identificaron que en 11 ubicaciones geográficas diferentes y entre 15.5 millones de hogares, existen 83 millones de dispositivos IoT. La siguiente gráfica muestra las distribuciones de tipo de dispositivo IoT entre diferentes regiones geográficas.
Fuente: “Kumar, Deepak, et al. “Considerándolo todo: un análisis de dispositivos IoT en redes domésticas”. 28º Simposio de seguridad de {USENIX} (Seguridad de {USENIX} 19). 2019
Las personas están empezando a ver estas amenazas y los gobiernos están introduciendo regulaciones en todo el mundo a nivel regional y nacional. Un par de ejemplos el gobierno del Reino Unido introdujo recientemente un esquema de certificación que permitirá etiquetar los dispositivos compatibles con el estándar Secure By Design. El gobierno finlandés ha anunciado recientemente que adoptarán medidas similares. Y la tendencia es que las fuerzas del mercado ahora también ayudarán a vigilar la seguridad del IoT.
Puede tomar un tiempo para que se sienta toda la fuerza de esa regulación. Con suerte, la industria tomará medidas responsables y continuará desarrollando una buena seguridad en los dispositivos IoT. Tal vez deberíamos preguntarnos cómo eliminar esas vulnerabilidades inevitables de nuestra preocupación.
“Todavía estamos averiguando qué queremos del IoT, qué datos vamos a dejar que se recopile y con qué nivel de autonomía van a utilizar esos datos recopilados. Desde esa perspectiva, tiene sentido adoptar prácticas de seguridad que puedan aprender y crecer con esta tecnología,” señaló Avesta Hojjati, Director del Área de Investigación y Desarrollo (R&D) de DigiCert.
La inteligencia artificial (AI) podría ayudar aquí. Con AI podemos comenzar no solo a detener las amenazas sino a predecirlas. En el caso de IoT, podemos construir tecnologías que no solo podrán detectar dispositivos de IoT maliciosos e infectados dentro de una red determinada, sino que también podrán predecir con precisión qué dispositivos serán maliciosos en el futuro o en peligro de ser incluidos.
Al recopilar datos de una variedad de dispositivos a lo largo del tiempo, podemos identificar patrones, evaluar sistemas operativos obsoletos, contraseñas predeterminadas, bibliotecas vulnerables, falta de autenticación, cifrado y firma, todos los factores que contribuyen a la vulnerabilidad del dispositivo. Esos factores por sí solos no pueden garantizar que un dispositivo se vea comprometido, pero con suficientes datos recopilados a lo largo del tiempo podemos predecir la probabilidad de que ese dispositivo sea atacado.
Dichos dispositivos son presa fácil para un cibercriminal. Un estudio realizado por el instituto SANS en 2017 mostró que solo toma dos minutos atacar un dispositivo una vez que se conecta a Internet. Para que un motor de IA derivado de algoritmos de Aprendizaje Automático aprenda qué será o no será malicioso, se deberán adquirir grandes cantidades de datos con el tiempo. La IA literalmente tendrá que aprender junto con el desarrollo de IoT. A medida que solucionemos problemas antiguos y desarrollemos otros nuevos, la utilización de IA aprenderá junto con él.
“Los laboratorios de DigiCert prestan atención al desarrollo de enfoques basados en IA, reconocimiento de patrones y categorización de consumo de datos de red que analizan el comportamiento de diferentes dispositivos IoT en una variedad de entornos ”, agrego Hojjati. “Cuando se trata de IoT, como con toda la tecnología, tenemos que seguir evolucionando nuestro pensamiento en torno a la seguridad”.