Alcance, escala y riesgo sin precedentes: Asegurar el Internet de las cosas_ Asegurar el Internet de las cosas Foreword Telefónica Prólogo de Telefónica_ Aunque el Internet de las cosas (IoT) puede verse como una novedad, no es más que la evolución natural de algo que ha recibido finalmente un nombre con gancho, una marca que integra las consecuencias en un término único y atractivo. Desde su nacimiento, los dispositivos se han conectado a Internet. Solo que ahora los dispositivos son más pequeños, más atractivos, más móviles y están mejor conectados. El Internet de las cosas ofrece ventajas casi infinitas, pero la sociedad necesita reaccionar con rapidez. No es tanto que la tecnología o el de distribución y la seguridad de la concepto hayan cambiado. Han información. Las amenazas con respecto cambiado las personas que implementan, al robo de identidad siguen estando desarrollan y utilizan estos dispositivos vigentes, si bien ahora se extienden así como cómo y dónde los utilizan. también a la identificación de uno mismo La primera alusión a la privacidad y la entre dispositivos. seguridad debe hacerse en el momento en que exista un consumo masivo y Las amenazas de denegación de servicio normalizado. No cometamos los mismos (DoS), se plantean desde el punto de errores del pasado, no esperemos hasta vista de la informática en la nube y se ha el último momento para establecer las desarrollado `malware’ que infecta toda prioridades en materia de seguridad para clase de sistemas. Las motivaciones después lamentar que es demasiado de estas amenazas no han variado tarde para modificar ciertos «hábitos demasiado, sino que más bien se han adquiridos». intensificado y diversificado. Los piratas informáticos continuarán estando Las amenazas para la seguridad del motivados por razones económicas e IoT no son tan diferentes de las de ideológicas, y la ciberguerra seguirá otros entornos. No se han creado afectando a los dispositivos presentes nuevos problemas de seguridad, en nuestras vidas. Y por si esto no fuera solo han evolucionado desde áreas suficiente, los piratas informáticos ven un como la seguridad industrial, las redes abanico de nuevas posibilidades en el IoT, 3 Asegurar el Internet de las cosas Asegurar el Internet de las cosas Foreword Telefónica Contenido del informe con objetivos estratégicos para poner en que demos, convertirán nuestra actividad Contenido peligro la seguridad de infraestructuras diaria en información, distribuirán críticas y, consecuentemente, la cualquier interacción por la red e seguridad de todos los ciudadanos. interactuarán con nosotros en función de Es cierto que la tecnología en la que se esta información. Nunca antes nuestro día del informe_ basa IoT ha evolucionado para abordar a día había estado tan cerca del mundo la escala y la diversidad de dispositivos digital. La difusa línea entre el mundo (con nombres nuevos en escena como digital y el mundo real es precisamente Zigbee o 6LoWPan), pero estamos el espacio donde se materializan los seguros de que es solo cuestión de cambios introducidos por el IoT. tiempo para que se descubran nuevas Entendamos el problema antes de que vulnerabilidades en torno a estas sea demasiado tarde y garanticemos tecnologías recientes. Por definición, que somos capaces de ofrecer un plan Biografías de los los dispositivos IoT tienen recursos de protección total, aprovechando limitados, pero sin embargo no debería todos los conocimientos que se han colaboradores ponerse en juego la seguridad. Se trata desarrollado en otros ámbitos. Gartner de un reto pendiente de resolver. situa el Internet de las cosas en el “Peak Por tanto, es fundamental actuar desde of inflated expectations” de su “Hype el primer instante, implementando Cycle” de tecnologías emergentes¹, y 01 Introducción dispositivos en los que la seguridad sea señala que aún nos encontramos a cierta de suma importancia. Aquí es donde el distancia de comportamientos estables y IoT desempeñará un papel fundamental. productivos. A todos nos queda mucho No se trata únicamente de la privacidad por hacer. Dado que el IoT formará parte 02 Control y acceso: la verdadera de nuestros propios datos ni de la de nuestra vida diaria, no podemos seguridad de nuestras identidades permitirnos cometer los errores del lucha para el Internet de las digitales. En los próximos años viviremos pasado y que una avalancha de nueva rodeados de dispositivos conectados tecnología nos sobrepase. Aceptemos cosas a Internet que digitalizarán cada paso el reto. Chema Alonso, consejero delegado de ElevenPaths, 03 Dos mundos chocan: IT y OT empresa filial de Telefónica en el Internet de las cosas “ Asegurar el Internet de las cosas: antes y después Entendamos el problema antes de que sea demasiado tarde y garanticemos que somos Conclusión capaces de ofrecer un plan de protección total, aprovechando todos los conocimientos que se Anexo han desarrollado en otros ámbitos. 4 5 Asegurar el Internet de las cosas Asegurar el Internet de las cosas Biografías de los colaboradores Biografías de los colaboradores Biografías de los colaboradores_ Chema Alonso, CEO de ElevenPaths, empresa filial de Telefónica Luis Muñoz, Director del Grupo de planificación de redes y comunicaciones móviles de la Universidad de Cantabria Chema está centrado en la innovación en productos de seguridad mediante desarrollos patentados y alianzas con los principales fabricantes y organizaciones del sector. La investigación del catedrático Luis Muñoz se centra en las técnicas avanzadas Anteriormente dirigió durante 14 años Informática 64, empresa dedicada a la seguridad de transmisión de datos, redes multisalto inalámbricas heterogéneas, Internet informática y la formación. Es doctor en Seguridad Informática por la Universidad Rey de las cosas, ciudades inteligentes y métodos matemáticos aplicados a las Juan Carlos de Madrid. telecomunicaciones. Ha participado en diversos proyectos nacionales y europeos de investigación en los que fue, entre otros, director técnico de SmartSantander. Antonio Guzmán, Director científico de ElevenPaths, empresa filial Andrey Nikishin, Director de proyectos especiales y futuras de Telefónica tecnologías de Kaspersky Lab Antonio ha registrado casi una decena de patentes relacionadas con la seguridad, En Kaspersky Lab, Andrey trabajó como director de ingeniería y arquitectura de identidad y privacidad. Autor de numerosos artículos, ahora está centrado en la software antes de incorporarse al departamento de marketing estratégico como investigación financiada con fondos privados. En 2005 fue cofundador y director director de estrategia de productos. Antes de su puesto actual, dirigió el departamento de un grupo de investigación sobre seguridad y privacidad. También cuenta con un de investigación y desarrollo de tecnologías de contenidos y de la nube. Andrey tiene doctorado en Ingeniería Informática por la Universidad Rey Juan Carlos. experiencia desarrollando sus propios programas antivirus. Belisario Contreras, Gerente del Programa de Seguridad Cibernética Bertrand Ramé, Director de redes y operadores de SIGFOX de la Secretaría del CICTE Bertrand desarrolla alianzas de SIGFOX en Europa y Latinoamérica. Cuenta con 25 Belisario presta apoyo a la Secretaría del Comité Interamericano contra el Terrorismo años de experiencia en el sector de las telecomunicaciones, principalmente en el (CICTE) en la Organización de los Estados Americanos (OEA). Participa en iniciativas de desarrollo de negocio y la dirección general. Desarrolló la mitad de su trayectoria seguridad cibernética como la creación y el desarrollo de Equipos de Respuesta para profesional en EE.UU. y en el Reino Unido, trabajando para empresas como AT&T y Emergencias Informáticas (CERT). Asimismo, coordina la participación y colaboración Telecom Italia. con otras organizaciones internacionales y regionales dedicadas a cuestiones cibernéticas. Jaime Sanz, Gestor técnico de cuentas de telecomunicaciones en John Moor, Vicepresidente de Desarrollo de Segmentos de NMI Intel Corporation Iberia John cuenta con más de 30 años de experiencia en los sectores de la electrónica y la Jaime presta apoyo a las cuentas de telecomunicaciones en Europa centrándose microelectrónica. En 1997 fue uno de los fundadores de ClearSpeed Technology y se especialmente en Telefónica para NFV, centros de datos, seguridad e IoT. En Intel ha incorporó a NMI en 2004, donde lidera el desarrollo de numerosas iniciativas como desempeñado distintas funciones de apoyo técnico para ventas y marketing, y está establecer las redes técnicas de NMI y la UK Electronics Skills Foundation. Asimismo, licenciado en Ingeniería Informática por la Universidad Pontificia de Salamanca. John es el Director de la Fundación para la Seguridad del IoT. 6 7 Asegurar el Internet de las cosas Introducción Introducción_ El Internet de las cosas no tiene precedentes en lo que a ámbito y escala se refiere, cambiando la sociedad y el modo en que interactúan las personas con su entorno de innumerables y complejas formas. Es totalmente lícito decir que estamos muy lejos de comprender las ramificaciones y consecuencias involuntarias de lo que estamos haciendo a día de hoy, y mucho menos de lo que llegará mañana y en un futuro más lejano. Quizá el asunto más acuciante sea el de la seguridad. «Internet de las cosas podría ser un ser compatibles con otros al aparecer término relativamente nuevo, pero versiones más recientes». el concepto no lo es. Muchos de los problemas de seguridad, los malos Y, según Guzmán, «muchos de los actores y los ataques perpetrados contra problemas potenciales son simplemente el mismo, distan mucho de ser nuevos», los mismos problemas de seguridad afirma Antonio Guzmán de ElevenPaths, superpuestos sobre la infraestructura a empresa filial de Telefónica. «Lo que escala masiva». es diferente es la escala de las redes implicadas, la heterogeneidad de los Todo esto está suponiendo un dispositivos, la increíble confianza en el reto empresarial, así como un reto cloud computing y el nivel de exposición tecnológico. de los dispositivos conectados a estas redes. Por este motivo, asegurar el «Cada vez es más evidente que la Internet de las cosas es un verdadero seguridad del IoT es un tema a debate reto». en la sala de juntas y no solo un coste operativo o un problema tecnológico», «IoT está dejando rápidamente obsoletas afirma John Moor de la Fundación para las leyes necesarias para regular y la Seguridad del IoT. «Especialmente las normalizar las medidas de seguridad», grandes empresas tienen mucho que afirma Belisario Contreras, Gerente del perder, y están comenzando a aparecer Programa para el Comité Interamericano litigios legales en EE.UU. en los que la contra el Terrorismo en la Organización de obligación que tienen las organizaciones los Estados Americanos. «Esta velocidad de cuidar a sus clientes está siendo de desarrollo también está afectando a objeto de investigación». las cuestiones de compatibilidad, ya que las medidas de seguridad para algunos «En mi opinión, ya estamos viendo cómo dispositivos y plataformas pueden no el Internet de las cosas está cambiando 9 Asegurar el Internet de las cosas Asegurar el Internet de las cosas Introducción Introducción “ Hasta ahora se ha puesto mucho interés sobre las oportunidades de innovación en torno a IoT, y relativamente poco sobre sus puntos débiles. nuestra sociedad. Como ejemplo de de los sistemas IoT son un paraíso, si una sola cosa, si bien en realidad son o dispositivos presentes en nuestra ello, la mayoría de las tareas realizadas no para los delincuentes, sí para los muchos los dispositivos IoT que están vida diaria y que reivindican contar con por los proveedores de servicios, hooligans. Por supuesto, podemos ahí. La seguridad dependerá del contexto potencia informática», explica. «En IoT, usuarios y otras personas están siendo desarrollar escenarios de prueba y y será útil pensar en ella dentro de dicho los dispositivos funcionan conjuntamente supervisados de forma exhaustiva, lo predecir los comportamientos, pero en contexto, pensar por ejemplo en el para facilitarnos las tareas de la vida que nos permite medir la eficiencia del un mundo conectado no se puede hacer “IoT del consumidor”, el “IoT en casa” cotidiana, haciéndolas más eficientes y trabajo desempeñado. Está claro que IoT eso. Las personas son, por su propia o el “IoT de asistencia sanitaria”. Esto sostenibles». cambiará nuestras vidas aún más que naturaleza, impredecibles, creativas e marcará una diferencia enorme». Internet», afirma Luis Muñoz, catedrático ingeniosas. Y está en la naturaleza del «Según la tarea optimizada, se suele del Departamento de Ingeniería de software que las personas cometan Es una cuestión de enfoque; la seguridad hablar de los denominados lugares Comunicaciones de la Universidad errores y otros se aprovechen de ello». no es necesariamente una prioridad. inteligentes: redes inteligentes, contadores de Cantabria y unas de las fuerzas inteligentes, hogares inteligentes, rectoras de SmartSantander. «Cuando Para John Moor de la Fundación para la «El Internet de las cosas está creciendo ciudades inteligentes y similares», afirma comenzamos a implantar las redes Seguridad del IoT, los matices y la escala exponencialmente, pero no al ritmo Guzmán. «Sin embargo, esta cooperación máquina a máquina (M2M) en el año 2000 causan complejidad y agravan el reto. que cabría esperar», afirma Jaime solo es posible si los dispositivos están para gestionar las flotas de transporte, Sanz, Gestor técnico de cuentas de conectados entre sí y equipados con nos concentramos en un nicho muy «En la seguridad, limitado y pequeño telecomunicaciones en Intel Corporation mecanismos de identificación que les concreto. Pero ahora, después de 15 suelen ser aspectos positivos. Si se limita Iberia. «Cosas como las ciudades identifiquen de manera única frente a años, IoT está presente en todas partes». el espacio y el tamaño de la base de inteligentes o los coches conectados todos los demás dispositivos conectados código, entonces se reduce la superficie añaden valor, pero también existe a Internet. La necesidad de interconexión «IoT trae consigo numerosas ventajas. de ataque. Cuando observamos la la necesidad de observar cómo los e identificación, e incluso la necesidad Como cliente, estoy muy satisfecho de oportunidad del Internet de las cosas, productos crearán una cadena de de procesar la información generada o contar con IoT, me hace la vida mucho solemos mirar a escala masiva y la valor. Existe una dirección, aunque consumida por estos objetos, se convierte más fácil», afirma Andrey Nikishin, hiperconectividad. Desde el punto de vista de momento está orientada a la en un problema pendiente de resolver Director de futuras tecnologías de de la seguridad, se trata de una propuesta conectividad, la funcionalidad, el ahorro cuando nos damos cuenta del número Kaspersky. «Sin embargo, toda evolución abrumadora», afirma Moor. «Hasta ahora de energía y similares, y no tanto a las estimado de “cosas” que forma parte del conlleva nuevos riesgos en los que no se ha puesto mucho interés sobre las normas o la seguridad». IoT». habíamos pensado. Pongamos como oportunidades de innovación en torno ejemplo la invención del teléfono. Al a IoT, y relativamente poco sobre sus Para Guzmán, director científico de En este informe se analizarán tres temas principio, nadie se paró a pensar en el puntos débiles. Si no tenemos cuidado ElevenPaths, el problema radica en específicos: la necesidad de normas fraude telefónico, realmente, nadie lo podríamos caminar como sonámbulos entender las exigencias que plantean un universales de seguridad, acceso y previó. Todo elemento nuevo conlleva hacia numerosos problemas, algunos de nuevo territorio y la oportunidad respecto control; el choque entre la tecnología nuevos riesgos y nuevas vías para la los cuales pueden no haberse presentado a la tecnología. «En el Internet de las de la información y una red de cosas delincuencia». antes». cosas, suelen definirse barreras para los más antigua y consolidada (la tecnología entornos industriales o la infraestructura operativa); y la necesidad de recuperarse «Lo mismo sucede con el Internet de las «Tenemos que clasificar los retos. Se crítica. El tipo y el número de objetos de las vulnerabilidades, incluyendo su cosas. La conectividad e interoperabilidad suele hablar de IoT como si se tratara de aumentará hasta incluir todos los objetos efecto sobre los usuarios. 10 11 Asegurar el Internet de las cosas Control y acceso: la verdadera lucha para el Internet de las cosas Control y acceso: la verdadera lucha para el Internet de las cosas_ Una innovación tecnológica de la que todo el mundo habla crece de forma imparable. Fabricantes, viejos y nuevos, se lanzan al mercado. Se aportan nuevas ideas, se crean nuevos mercados y si existen nuevos estándares, se destruyen. Se trata de un patrón familiar a la Al mismo tiempo, en comparación con vanguardia de la tecnología, y el el despegue de otras grandes redes Internet de las cosas no difiere de las (el telegrama, el teléfono analógico, anteriores oleadas de innovación. La el teléfono móvil e incluso el mismo estandarización se encuentra en una Internet), su adopción será caótica y no situación comprometida y, con ella, la planificada. seguridad. Los hitos históricos señalados solían ser Se trata de un ciclo familiar, monolíticos, programados y ejecutados probablemente necesario, que infunde minuciosamente, normalmente por ímpetu, oportunidad e innovación en un grandes empresas u organismos momento crítico. Podría afirmarse que el gubernamentales (en el caso de las IoT se encuentra en ese punto: a punto redes telefónicas, normalmente por de alcanzar la madurez. Ese punto en el el servicio postal nacional). Pese a que la creación y la aprobación de las ello, como explica el vicepresidente normas de seguridad, los controles y la de Gartner y destacado analista Jim comunicación se hacen también más Tully²: «Las soluciones IoT raramente se necesarios. adquieren como un paquete de trabajo y simplemente se despliegan sin más ¿Libre o patentada? ¿Una innovación en una empresa». Lo mismo sucede sin restricciones o un buen conjunto con nuevos despliegues soportados en de estándares? En periodos de rápida muchas ocasiones en infraestructuras innovación, este tipo de dilemas son previamente nacionalizadas y que son el de especial importancia y es necesario pilar del Internet moderno». abordarlos antes de pasar a una etapa en la que se creará y definirá una normativa Desde una perspectiva más general, estable y de establecimiento las grandes implementaciones en toda de estándares. una ciudad podrían coincidir con el 12 Asegurar el Internet de las cosas Asegurar el Internet de las cosas Control y acceso: la verdadera lucha para el Internet de las cosas Control y acceso: la verdadera lucha para el Internet de las cosass modelo histórico, pero cabe destacar buscarán la forma de conectarse a dicha en cambio se encuentra en una posición vida de los ciudadanos, la mayor parte que en el futuro cada una de las infraestructura. intermedia, es probable que exista de los servicios en la ciudad deben ser empresas añadirá sus propias capas menos riesgo para su reputación. Debe supervisados, con el objetivo de mejorar de IoT sobre dichas instalaciones. Así pues, la pregunta a realizarse es la establecerse la confianza en IoT, y las su eficiencia. Los ciudadanos desean Asimismo, a un nivel más pequeño, siguiente: ¿Qué entidad controla qué y empresas que sean flexibles y mantengan participar activamente en esta nueva era». las personas (y cada vez más cómo se transmite la información entre una posición firme ante las amenazas de dispositivos y aplicaciones individuales) redes? seguridad serán las que tengan éxito». Para Jaime Sanz de Intel, es necesaria una estrategia con un planteamiento «Actualmente existe una evolución del arquitectónico que englobe tanto la tipo de productos conectados y de tecnología como los datos. Ritmo frente a control productos novedosos como por ejemplo los cepillos de dientes conectados. El «Estamos implicados en todas las partes sector consumo es particularmente de la cadena de valor del IoT, desde el vulnerable, ya que existen numerosos centro de datos hasta el circuito integrado Con el Internet de las cosas, la aplicación proveedores de software, podría decirse productos de bajo coste en el mercado auxiliar de los dispositivos periféricos, de las normas vigentes, y la creación que el riesgo es igualmente aparente en lo de origen y fabricación dudosa». salvo microprocesadores y sensores. de normas nuevas ha tropezado con relativo a la creación de seguridad Creemos que una arquitectura integral un ritmo frenético de innovación. Aquí, desde cero. Es importante recordar también las raíces segura es fundamental», afirma Sanz. «La las empresas necesitan salvaguardar del IoT y las bases sobre las que gran protección de los datos, desde el extremo su propiedad intelectual a medida que La colaboración entre dispositivos parte del mismo se ha construido. hasta la nube, así como en el nivel del fabrican y venden cosas que nadie más conectados en el Internet de las cosas dispositivo, es una necesidad. En tercer puede hacer. requiere, por su propia naturaleza, «Cuando comenzamos a integrar M2M lugar, tenemos en cuenta la protección del transparencia y confianza mutua entre en las flotas de transporte, se trataba centro de datos». Lo irónico es que con el fin de aprovechar los dispositivos, y eso se basa en de un trabajo pionero», afirma el las ventajas de los dispositivos y servicios mecanismos universales de identificación catedrático Luis Muñoz. «Años más tarde, «Hay dos ámbitos en lo que se refiere a la de IoT, el hardware y software deben ser y control. Es absolutamente necesario la normativa europea obligó a integrar protección de las puertas de enlace. En abiertos e interoperables. La seguridad combinar la transparencia con un control esta tecnología en todos los camiones primer lugar, proteger el dispositivo antes en el dispositivo, la aplicación y las capas de la precisión. Debe haber un modo que superaran un peso determinado. Lo de que se ponga en funcionamiento con de red es fundamental. Pero a medida de hacerlo entre todos los dispositivos, mismo está sucediendo con nuestras una combinación del Intel SoC Hardware que se incrementa el ritmo de aprobación, más allá de los protocolos existentes, ciudades. Hace una década, pocos Root of Trust y especificaciones de UEFI. también lo hacen la complejidad, y también debe haber un modo de servicios urbanos integraban la tecnología Y en segundo lugar asegurar los datos la variedad de implementación y la recopilar y gestionar a una escala hasta el M2M. A día de hoy, debido al crecimiento mediante la codificación de datos, la oportunidad de los ataques maliciosos o momento desconocida. de la población previsto, así como a protección de la integridad y las errores involuntarios. la necesidad de mejorar la calidad de listas blancas». «Es poco probable que la solución venga A esto cabe añadir el hecho de que de los fabricantes contratados, es más numerosos fabricantes de IoT son probable que venga de las grandes “ relativamente nuevos en el mundo del empresas que tienen más que perder», software³. Hasta ahora, los productos afirma Moor, Director de la Fundación se centraban en el valor del hardware en para la Seguridad del IoT. «Si usted no es lugar de evaluar el valor total del hardware un fabricante de electrónica de renombre, combinado con las capas de software. le preocupará menos perder la reputación El sector consumo es particularmente vulnerable, Aunque la investigación de Gartner hace o la marca que si fuera un proveedor referencia a la administración de licencias importante con grandes inversiones que ya que existen numerosos productos de bajo y derechos para esta nueva clase de supongan millones de nodos finales. Si coste en el mercado de origen y fabricación dudosa 14 15 Asegurar el Internet de las cosas Dos mundos chocan: IT y OT en el Internet de las cosas Dos mundos chocan: IT y OT en el Internet de las cosas_ La mayoría de las personas están muy familiarizadas con las tecnologías de la información. Sin embargo, no tantas conocen la presencia de controles industriales o incluso no son conscientes de ella. No obstante, la tecnología operativa es omnipresente. Controla los suministros de agua, electricidad y gas que consumimos, y además hace funcionar las fábricas que producen las cosas que compramos y utilizamos. Los relojes inteligentes de hoy en día son controles necesarios para automatizar los maravillas de la informática y representan servicios públicos, como la generación una capacidad de procesamiento de energía eléctrica, el suministro de gas muy superior a la de los primitivos o agua, así como la industria, del modo ordenadores electrónicos utilizados más fiable y seguro posible. Mientras para que el hombre aterrizara en la que la IT (tanto en términos de software luna. El ordenador que controlaba las como de hardware) se ha caracterizado barras de combustible en Chernobyl normalmente por su rápida iteración e tenía capacidades equivalentes a un innovación a costa, algunas veces, de microordenador modelo B de la BBC, la fiabilidad y de otros factores, la OT se un dispositivo educativo introducido ha diseñado desde cero para ofrecer un por primera vez en 1981. Estos dos control y una medición predecibles. hechos suelen sacarse a colación, pero sorprendentemente se suele olvidar IT, por su propia naturaleza, se ha un aspecto tanto del Apolo Guidance diseñado para interconectarse, mientras Computer⁴ como del SKALA⁵: no que OT es casi exactamente lo contrario. se necesita una gran capacidad de Sin embargo, la conexión de ambas procesamiento para alcanzar resultados genera importantes beneficios. Solo en extraordinarios, especialmente en estos últimos años la combinación de IT y aplicaciones muy específicas. OT ha resultado ser práctica y atractiva. La práctica de informatizar los controles «Una combinación de los mundos de IT industriales, conocida como tecnología y OT nos permite incorporar los datos operacional u OT (por sus siglas en en tiempo real de los dispositivos en inglés), es anterior a la informática cliente el campo de la lógica empresarial de actual. Se basa en requisitos para los una organización», afirma Guzmán de 16 17 Asegurar el Internet de las cosas Asegurar el Internet de las cosas Dos mundos chocan: IT y OT en el Internet de Dos mundos chocan: IT y OT en el Internet de las cosas las cosas “ El objetivo principal del IoT es diseñar todos los dispositivos teniendo en cuenta la seguridad desde el principio. ElevenPaths, empresa filial de Telefónica. de servicios públicos, ciudades y grandes El problema principal es mantener la De otro modo, asegurarlos es casi «La combinación de IT y OT muestra compañías, se incrementa también el integridad de los datos. El principal activo imposible». algunas lecciones muy importantes sobre valor de dichos premios. en la red de la oficina son los datos y, de cómo se puede asegurar el futuro Internet nuevo, esto sesga el desarrollo». «Este dispositivo deberá diseñarse desde de las cosas». Sin embargo, OT ha tardado décadas el principio para que sea seguro. Nuestra en desarrollarse, y ha dado a los «Cuando ambos converjan, se observarán idea es obligar a todos los fabricantes «El legado de la OT ha supuesto que programadores tiempo, ámbito y algunos problemas. Los informáticos de dispositivos industriales – SCADA, la mayoría de las implementaciones presupuesto para realizar un cuidadoso desean mantener la seguridad de los PLC y PLM – a rediseñar todos sus de IoT tengan un protocolo patentado trabajo de planificación y enfoque de la datos, lo que significa poner parches a los sistemas de forma segura y obligar a que utiliza la seguridad mediante la integración de sistemas como la ERP problemas lo antes posible. No obstante, los clientes a sustituir su estructura de oscuridad como mecanismo de defensa. (planificación de recursos empresariales), la aplicación de parches para OT implica control existente por una nueva. Un No obstante, la explosión en la cantidad así como la conectividad a la intranet detener el proceso tecnológico y esto se sistema deberá ser seguro desde su de dispositivos y negocios verticales e internet. Los creadores de IoT no contradice con los objetivos del ingeniero diseño. Si se fija en lo que hizo Siemens está ayudando a impulsar las iniciativas cuentan con el mismo plazo de ejecución de OT. Dar con un terreno común después de Stuxnet, verá a lo que me que pretenden crear estándares abiertos sobre el que considerar la integración representa un verdadero reto». refiero. Trabajaron mucho para mejorar para la comunicación; algunos ejemplos y la seguridad. Francamente, su considerablemente la seguridad de su son MQTT, Zwave y ZigBee. Es probable situación es diferente, en un momento «Añadir IoT aporta multitud de beneficios OT. Aunque conseguir que los clientes que estos contribuyan a crear normas de en el que se llevan a cabo numerosas y productividad. Por cierto, este proceso cambiaran sus sistemas, que podrían seguridad más abiertas y útiles». implementaciones de IoT en Internet, es imparable e inevitable. El problema haber funcionado perfectamente en los donde deben abrirse a la integración o principal del Internet de las cosas es que mismos PLC y PLM durante 10 o 15 Una de las lecciones más recientes que quedar expuestas a posibles escenarios se basa en la idea de la conectividad. años, resultó más problemático. Dicho de hemos aprendido es que un espacio vacío de ataque. Desde el momento en que entran otro modo, los usuarios vieron el coste, equivale a la inexistencia de una defensa. en el mundo conectado, surgen los creyeron que sus sistemas no estaban Unos ingenieros de las instalaciones «IT y OT tienen filosofías diferentes. problemas». rotos y se negaron a arreglarlos». de Natanz (Irán) descubrieron, muy a Biológicamente, no son completamente su pesar, que las personas introducen diferentes, pero las prioridades de sus OT sigue siendo una preocupación Según Contreras de la OEA, la llegada y seguirán introduciendo lápices USB⁶ creadores sí que lo son. Los ingenieros para el futuro, entre otras razones del IoT y la creciente interconexión de los en los PC que controlan la tecnología de OT quieren mantener procesos que porque las implementaciones de OT son entornos de IT y OT ayudaron a impulsar operativa. Los proveedores también funcionen las 24 horas del día, los 7 días increíblemente longevas. el cambio en el sector de OT y también son vectores de ataque⁷. Es más, las de la semana, sin interrupción. Cualquier atribuyeron nuevas responsabilidades al partes interesadas tienen la intención interrupción del proceso tecnológico «La seguridad de los datos, así como la personal técnico. de utilizar ingeniería inversa y diseñar supone un problema, por lo que el fiabilidad del funcionamiento, son muy ataques personalizados para entrar en los desarrollo se inclina hacia el objetivo de importantes», afirma Nikishin. «Ni que «No hace tanto tiempo que el espacio sistemas si el valor que aporta hacerlo es evitar la interrupción», afirma Nikishin decir tiene que IoT influye en nuestra vacío se consideraba seguridad significativo para ellas. A medida que se de Kaspersky. «Sin embargo, para los vida diaria. El objetivo principal del IoT es suficiente para OT. El crecimiento de IoT incrementa el tamaño y el alcance de las ingenieros de IT, la disponibilidad del diseñar todos los dispositivos teniendo difumina considerablemente los límites redes IoT operadas por suministradores sistema no es la prioridad principal. en cuenta la seguridad desde el principio. y las OT están apareciendo ahora en el 18 19