8 pasos para hacer más seguros los sistemas

By Scott Penno

Hoy en día asistimos al auge de la Internet de las cosas o IoT ( Internet of Things ), donde miles de millones de dispositivos se conectan cada vez más a Internet y comparten la información y los datos que recogen. Puede tratarse de dispositivos sencillos, como un termostato o una bombilla, o de otros más complejos, como cámaras de circuito cerrado de televisión o las llamadas "papeleras inteligentes".

Esta interconexión y la capacidad de compartir información pueden aportar una inteligencia y una eficacia inimaginables en el pasado. Hoy en día, los edificios pueden optimizar su rendimiento para garantizar que cumplen no sólo los requisitos de los ocupantes en cuanto a comodidad y seguridad, sino también los requisitos medioambientales o legales obligatorios. Y ya no es necesario que el ayuntamiento envíe camiones a diario o varias veces al día para vaciar los contenedores de basura, porque éstos pueden contener más basura (o reciclaje) gracias a un compactador integrado y, cuando están casi llenos, se ponen en contacto con el ayuntamiento para avisar de que hay que vaciarlos.

Sin embargo, este creciente nivel de conectividad tiene un inconveniente: la seguridad. Con la explosión de dispositivos interconectados y la sensibilidad de muchos de ellos, es necesario garantizar que se conectan con un alto grado de seguridad.

Para ver un ejemplo de lo que podría salir mal cuando los malos son capaces de aprovecharse de los exploits en un entorno IoT, basta con ver la película Jungla de Cristal 4.0, protagonizada nada menos que por Bruce Willis. Aunque algo anticuada hoy en día, la película ilustra lo que podría suceder si los atacantes fueran capaces de tomar el control de edificios e infraestructuras críticas como los sistemas de control de tráfico.

Aunque esta película pueda parecer fantasiosa en su descripción de lo que unos hackers capaces podrían llegar a conseguir, es importante entender que la seguridad comprende una serie de contramedidas para reducir o mitigar tanto la probabilidad de un ataque como la gravedad del mismo. Y aunque pueda parecer de sentido común, hay muchas tareas comunes o rutinarias para mejorar la seguridad que todavía no se aplican. Veamos algunas de ellas.

  1. Cambie los nombres de usuario y las contraseñas por defecto. La mayoría de los dispositivos, si no todos, tienen nombres de usuario y contraseñas por defecto que un niño puede encontrar fácilmente utilizando un motor de búsqueda. Las contraseñas predeterminadas deben cambiarse inmediatamente y, aún mejor, es cambiar, eliminar o desactivar también el nombre de usuario predeterminado.
  2. No compartas contraseñas. Cada usuario de un sistema debe tener su propio nombre de usuario y contraseña. De este modo, cuando el usuario abandone la organización, su cuenta podrá desactivarse o eliminarse sin necesidad de cambiar los datos de la cuenta compartida de todos los sistemas a los que tenía acceso (algo que, en realidad, no ocurre).
  3. Utilice una autenticación fuerte. El uso de un sistema de autenticación centralizado, como Active Directory, RADIUS o LDAP, simplifica el proceso de gestión de la información de los usuarios, ya que es necesario administrar un único sistema en lugar de varios.
  4. Utilizar la autenticación centralizada. El uso de un sistema de autenticación centralizado, como Active Directory, RADIUS o LDAP, simplifica el proceso de gestión de la información de los usuarios, ya que es necesario administrar un único sistema en lugar de varios.
  5. Restringir el acceso. El acceso a los sistemas debe restringirse al nivel mínimo necesario para que un usuario pueda realizar las tareas que necesita. Además, deben utilizarse Firewall para segregar y aislar los sistemas, de modo que sea menos probable que un problema o ataque en un sistema afecte a otros sistemas.
  6. Integrar la redundancia. La redundancia debe integrarse para garantizar que el sistema siga funcionando en caso de fallo o ataque. En muchos casos, el coste de la pérdida de negocio es mucho mayor que el coste adicional de la redundancia.
  7. No olvide la seguridad física. La seguridad se basa en capas, y una de ellas es el acceso físico. Si un atacante puede obtener acceso físico a un sistema, su tarea será más sencilla, así que asegúrate de que el acceso físico sólo está disponible para aquellos que lo necesitan.
  8. Mantenga copias de seguridad. De vez en cuando, las cosas van mal. Y cuando esto ocurra, es importante que tengas una copia de seguridad desconectada y almacenada en una ubicación física diferente.

Aunque estos pasos pueden parecer sencillos y de sentido común, hoy en día hay muchos sistemas IoT en los que el nivel de seguridad en uso deja mucho que desear. Hay muchas cosas adicionales que se pueden implementar, pero garantizar que se lleva a cabo cada uno de los pasos anteriores contribuirá en gran medida a mejorar la seguridad de los sistemas que se despliegan hoy en día.