El Internet de las cosas (IoT) permite hacer ‘inteligentes‘ a una amplia gama de objetos de los entornos físicos, desde los electrodomésticos de un hogar hasta las máquinas de una fábrica.
En este contexto, es esencial la sensorización de los dispositivos para que recopilen e intercambien información a través de sistemas TIC que posibiliten su interoperabilidad. Esto es aplicable, por ejemplo, tanto a dispositivos usados en la limpieza del hogar (aspiradoras inteligentes, robots, etc.), como a medios que se coordinan en procesos productivos en fábricas.
Aunque todavía dista mucho para que el ecosistema del Internet de las Cosas esté completamente desarrollado (requeriría que las redes 5G estuviesen plenamente operativas), lo cierto es que las soluciones IoT están cada vez más extendidas, y por eso ya hay hogares y edificios inteligentes; o fábricas que se insertan en el modelo de Industria 4.0, que precisamente tiene como uno de sus principales vectores la interoperabilidad autónoma de maquinarias y recursos tecnológicos, para ganar en productividad, eficiencia, optimización del gasto energético y ahorro de costes.
Retos de ciberseguridad de IoT
Si bien el despliegue del Internet de las Cosas perfila infinidad de ventajas muy significativas, también es un modelo que entraña unos importantes riesgos de ciberseguridad, dado el desafío que supone preservar la confidencialidad y protección del ingente volumen de información que los dispositivos recopilan para operar e interoperar. Datos sensibles de índole personal en el caso de las Smart Homes, y de naturaleza crítica en el de las industrias 4.0, al pertenecer a los procesos productivos o logísticos, que por tanto resultan susceptibles de ser espiados y saboteados si no hay un blindaje adecuado.
Hablamos así pues de datos identificables, confidenciales y sensibles, que pueden ser explotados por los ciberdelincuentes de múltiples modos.
Ciberriesgos en las nuevas industrias 4.0
De manera que, si nos centramos en el ámbito industrial, vemos que este nuevo paradigma que promete sustanciales mejoras en cuanto a productividad y eficiencia, entraña igualmente importantes amenazas.
Riesgos derivados en primer lugar de las dificultades de conjugar la seguridad de la tecnología que utilizan las industrias para operar, y la de sus sistemas de información (es decir del entorno OT y el entorno IT), máxime si tenemos en cuenta que la maquinaria de la primera suele tener habitualmente varios años, dado lo que suponen de inversión para una empresa, por lo que perfectamente nos podemos encontrar con recursos tecnológicos que no están preparados para afrontar las amenazas de ciberseguridad derivadas de la ‘hiperconectividad’ característica del Internet de las Cosas.
Además, como ya apuntamos en el texto que le dedicamos a la ciberseguridad industrial, en el nuevo paradigma de transformación digital de las empresas es fundamental una concepción unificada de los sistemas OT e IT, ya que así es como resulta factible la recopilación y el análisis de datos a tiempo real, con la vista puesta en la óptima automatización de procesos.
Pero esta unión no es clave únicamente a efectos de rendimiento operativo, sino que también lo es desde la perspectiva de la ciberseguridad, ya que hay que blindar tecnología operacional y sistemas de información con un esquema de securización conjunto, que atienda a la mayor superficie de exposición de datos que conlleva la adopción del modelo de Industria 4.0 con soluciones IoT.
Nuevas arquitecturas de ciberseguridad para empresas IoT
Así, ante el despliegue del Internet de las Cosas la arquitectura de ciberseguridad ha de prepararse adecuadamente para proteger a ambos, sistemas OT e IT, y hacerlo además con una malla de protección acorde al hecho de que el manejo de datos confidenciales no se limita tan solo a los sistemas de tecnologías de información, al existir también medios o dispositivos que de forma autónoma los recopilan, los registran y los transmiten para operar e interoperar.
En caso contrario, nos podemos encontrar, por ejemplo, desde con intrusiones que aprovechan dispositivos infectados para hacer ataques DDoS de denegación de servicios, hasta paralizaciones completas de líneas de producción para pedir un rescate.
Adicionalmente, hay que valorar que algunas industrias de sectores críticos pueden estar en el punto de mira de ataques ajenos a la ciberdelincuencia ‘común’, en los que el objetivo de la intrusión no sea el beneficio económico, lo que se traduce en amenazas con un grado mayor de sofisticación, que reúnen más medios y a las que se puede dedicar más tiempo, factores todos ellos que aumentan las perspectivas de éxito.
De esta manera, el enfoque general frente a los ciberataques de las empresas con atributos de industria 4.0 que despliegan soluciones IoT sería el mismo que debe adoptar cualquier negocio u organización.
Así, más allá de las características técnicas distintas que pueda tener el perímetro de seguridad, la aplicación de medidas de protección con una filosofía proactiva resultaría común, dentro de una estrategia que anticipe la prevención y remediación de amenazas.
Para ello, herramientas como los ‘Indicadores para la Mejora de la Ciberresiliencia (IMC)’ de INCIBE-CERT suponen una buena base de partida para detectar los posibles vulnerabilidades de las industrias. Al igual, que la reciente guía para las configuraciones seguras de dispositivos industriales que ha sacado en este mes de agosto el organismo supone un excelente manual de instrucciones para proteger maquinarias y recursos tecnológicos del entorno OT, tanto para los que son medios IoT como para los que no.
Con todo, como apuntábamos será necesario adoptar una perspectiva global en el enfoque de la ciberseguridad, que integre a los entornos OT e IT de manera unificada, bajo una estrategia que permita proteger perímetro físico, virtual, arquitectura de red, servidores, aplicaciones, sistemas operativos, protocolos de comunicación y dispositivos de campo.
En definitiva, se trataría de evitar las brechas de seguridad en la totalidad de infraestructuras, redes, procesos de trabajo, maquinarias, dispositivos, endpoints, operarios/usuarios…
Siempre entendiendo la ciberseguridad como un proceso en permanente de mejora, y no como algo que se aplica como quien descarga un mero antivirus y listo…
Está en juego la protección, confidencialidad y disponibilidad de un amplísimo flujo aumentado de información, cuyo volumen y superficie de exposición aumenta con la sensorización necesaria para que los medios puedan operar e interoperar de manera automatizada con datos recabados a tiempo real, algo que como hemos visto entraña mejoras críticas para las industrias 4.0, pero también un aumento exponencial de las amenazas.
