Privileged Access Management

Privacidad y Seguridad desde el Diseño: lo que los fabricantes de IoT tienen que saber

En el pasado, los fabricantes de productos no se preocupaban mucho por su ciberseguridad. Hoy en día, pese a que los dispositivos están cada vez más conectados, es habitual que tan solo se ofrezca un parche de seguridad a posteriori. No obstante, con la rápida proliferación de dispositivos conectados y la prevalencia del hackeo, incidentes de seguridad y ciberamenazas, resulta imprescindible que los productos y herramientas posean una ciberseguridad integrada desde el principio para lograr evitar mayores fallos o incluso daños a la sociedad. Este aspecto debe ser fundamental para cualquier sistema o dispositivo IoT, desde la concepción hasta la entrega. En la actualidad es de esencial importancia que la seguridad de los dispositivos se priorice como parte del propio diseño de un producto, lo que se conoce como «seguridad desde el diseño».

Por qué tenemos que promulgar la seguridad desde el diseño

Se estima que para 2020 ya habrá veinte mil millones de dispositivos IoT conectados y en funcionamiento. Esta elevada cifra se traduce en una superficie de ataque mucho mayor, en especial en lo que respecta a amenazas como los ataques DDoS, que utilizan las vulnerabilidades de, por ejemplo, los productos de consumo del IoT para atacar a organizaciones, empresas e incluso gobiernos. De manera similar, el aumento de los dispositivos conectados en los hogares y automóviles particulares significa que los riesgos de ataque pueden volverse físicos. Pero existen otros sectores, como el industrial, que con frecuencia utilizan dispositivos y sistemas conectados (conocidos como IIoT o Internet Industrial de las Cosas) para aplicaciones críticas de negocio y seguridad. No obstante, cualquier debilidad o brecha en la seguridad de las cadenas de producción o sistemas ICS puede acarrear graves consecuencias. Por ello resulta esencial que en estos dispositivos la seguridad se construya desde la concepción.

Es necesario que todos aquellos implicados en el desarrollo de máquinas conectadas apliquen la seguridad no solo a los productos, sino también a los componentes y servicios que los productos ejecutan.

Es por ello por lo que los fabricantes de dispositivos y proveedores de servicios de IoT deben considerar el Principio del Menor Privilegio como pilar fundamental de su estrategia de seguridad desde el diseño. Esto implica tomar medidas como:

Garantizar que los puertos no utilizados permanezcan cerrados
Asegurarse de que el hardware evita la exposición del acceso de forma innecesaria
Inhabilitar los servicios que no se utilizan
Asegurarse de que las funciones de códigos operan al nivel mínimo necesario para que el dispositivo funcione
Limitar la administración al menor número de cuentas posible

Asimismo, es importante aplicar políticas administrativas como los requisitos de solidez y rotación de contraseñas, o incluso simplemente exigir a los usuarios que creen una contraseña que sustituya a la predeterminada. La razón es que existen ejemplos alarmantes de ataques a productos, como cámaras de vigilancia de niños, que son hackeados debido a vulnerabilidades de contraseñas como esta.

De hecho, muchas técnicas de ciberamenaza utilizan la explotación de los dispositivos IoT como punto de partida, y estas pueden ser incluso el origen de los correos de spam. Los hackers se infiltran en objetos conectados y construyen botnets de dispositivos que poseen una apariencia inofensiva, para luego utilizarlos como base para enviar miles de millones de correos a través de millones de dispositivos. La realidad es que no es frecuente que el propietario de un dispositivo sepa que su nevera, lavadora o cámara de seguridad se está utilizando para estos propósitos.

En resumen, el software en estos dispositivos debe estar integrado con controles de seguridad incorporados en su funcionalidad básica, y el acceso administrativo a estas herramientas y sistemas debe ser controlado y monitoreado para garantizar que se impide y atrapa cualquier acceso no autorizado.

Privacidad desde el diseño

La seguridad de los propios dispositivos no es la única gran preocupación que tiene que ser abordada. Todos somos ahora muy conscientes, como ciudadanos y clientes particulares, de la necesidad de proteger nuestros datos personales de los ciberataques. Esto también implica a organizaciones y empresas cuyos datos confidenciales, tanto corporativos como industriales (p. ej., aquellos generados por empresas de servicios públicos), pueden llevar al desastre si caen en manos equivocadas.

Con el objetivo de controlar como se recogen, almacenan y usan los datos privados de los ciudadanos se está procediendo a elaborar políticas y procedimientos, como se explicó con el ejemplo del GDPR de la UE, que entró en vigor de 2018. Por lo tanto, ahora tan solo se trata de que los fabricantes y proveedores de software de dispositivos de IoT cumplan con la normativa y prioricen el gobierno de los datos en sus sistemas para conseguir proteger a los consumidores. La convergencia de los sistemas TO y TI en la era digital ha provocado que los datos sensibles sean más vulnerables que nunca.

Una de las mayores amenazas la plantea el acceso no gestionado a los sistemas y dispositivos. Los equipos de TI en organizaciones industriales y empresas se están concienciando de la importancia de securizar el acceso a las redes.

Gestión de Acceso Privilegiado…

La Gestión de Acceso Privilegiado (PAM) es esencial para asegurar que las redes IoT son seguras frente a hackeos. Pero los factores únicos involucrados en la seguridad IoT o ICS necesitan un enfoque más sofisticado de lo que los sistemas de PAM «tradicionales» ofrecen.

La amplia mayoría de los mayores ataques que se han producido se atribuye al acceso a cuentas privilegiadas, y con un gran número de puntos de acceso potenciales que tener en cuenta, una solución PAM debe ofrecer un sistema robusto y una política para securizar las credenciales de cuentas privilegiadas. Los registros de la actividad de las cuentas en tiempo real y el monitoreo (y terminación) automático de las sesiones también ayuda a prevenir las violaciones además de ubicar el momento en el que se detecta el riesgo. Esto no es solo esencial para mantener a los dispositivos (y redes a las que se conectan) seguros, sino que también es crucial para cumplir con los requisitos.

Aunque la seguridad desde el diseño suponga un esfuerzo tanto para los fabricantes como para los usuarios en cuanto a tiempo, recursos y dinero, se trata de un esfuerzo que nadie puede permitirse ignorar. Si las empresas no implementan esta solución, estas pueden poner en peligro no solo a sus usuarios o a ellos mismos, sino también a gran parte de Internet; como por ejemplo, si se interfiere con señales de tráfico o cadenas de producción, que son dispositivos conectados. Los ataques son cada vez más frecuentes y las consecuencias tienen un mayor alcance. Es el momento de que todo el mundo priorice las precauciones de seguridad integradas en los dispositivos conectados, independientemente de sus aplicaciones.

WALLIX Bastion incorpora en su interior la seguridad desde el diseño, controlando las conexiones de los usuarios privilegiados a los sistemas y equipos. Para más información sobre cómo podemos ayudarle a optimizar su seguridad, póngase en contacto con nosotros.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Privacidad y Seguridad desde el Diseño: lo que los fabricantes de IoT tienen que saber

Por qué tenemos que promulgar la seguridad desde el diseño

Privacidad desde el diseño

Gestión de Acceso Privilegiado…

Protección de DevOps en la nube con la Gestión de Acceso Privilegiado (PAM)

Elementos clave de todo Plan de Ciberseguridad eficaz

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca