Iniciativas y mejores prácticas de seguridad para el IoT
Tomando en consideración las amenazas y los riesgos detallados anteriormente queda de manifiesto la necesidad de desarrollar acciones o modelos de protección para mitigar las vulnerabilidades que surgen del tratamiento de los datos de los usuarios así como prácticas de seguridad en la funcionalidad y el despliegue de tecnologías IoT.
A continuación se detallan medidas de seguridad y buenas prácticas, cuyo objetivo es mitigar las amenazas, vulnerabilidades y riesgos identificados que afectan a los dispositivos y entornos de IoT.
Mejores prácticas de seguridad en el diseño y la instalación
- Obligaciones de los proveedores: asegurar que sus dispositivos sean parcheables, que dependan de los protocolos estándar de la industria, que no utilicen contraseñas embebidas en el código o “hardcodeadas” y que no contengan vulnerabilidades de seguridad previamente conocidas, así como desarrollar iniciativas que protejan la privacidad de los usuarios de los dispositivos IoT.
- Instalación y configuración: desarrollar un conjunto de procedimientos que garanticen la instalación y configuración de forma segura. Obligar a los usuarios a modificar los ajustes de seguridad predeterminados, como por ejemplo la contraseña con la que inicialmente se distribuyen los dispositivos.
- Conectividad y servicios: verificar los ajustes de red innecesarios, tales como los puertos de servicios abiertos. Establecer la obligatoriedad del cifrado en todos los tipos de comunicaciones.
- Cifrado: Seleccionar una suite de cifrado probada o verificar posibles debilidades (tales como los generadores de números pseudoaleatorios), si ha de usarse cifrado de desarrollo propio.
- Cuestiones de privacidad: garantizar la protección de los datos privados y confidenciales. Habilitar mecanismos de destrucción de datos y almacenamiento cifrado en dispositivos y puntos terminales donde almacenar estos datos de forma segura.
- Autenticación y autorización: adoptar mecanismos seguros para interactuar y establecer conexiones con dispositivos y servicios tales como los servicios en nube.
- Copias de seguridad y recuperación ante desastres: se recomienda contar con procedimientos de seguridad para garantizar las copias de seguridad y la recuperación total de los datos y del sistema operativo en caso de desastre. El almacenamiento de las copias de seguridad debe estar cifrado.
- Verificaciones y pruebas: una vez creado el producto y aplicadas las prácticas expuestas en los puntos anteriores, se deben poner a prueba realizando procesos de análisis y verificación que garanticen su eficacia (revisión de hardware, análisis de tráfico de red, verificación de la autenticación, etc.).
Mejores prácticas de seguridad en la operación y el mantenimiento
Las medidas expuestas en el apartado anterior no serán útiles si quien interactúa con los dispositivos IoT ignora las prácticas de seguridad recogidas en los siguientes puntos:
- Desactivación de funciones innecesarias: facilitar la desactivación de funciones y servicios que no se usen o no sean necesarios para el funcionamiento concreto que determine el usuario.
- Configuración: mantener el dispositivo actualizado y bien configurado.
- Uso de contraseñas: usar contraseñas robustas y modificarlas con regularidad.
- Integración ente dispositivos: si los dispositivos de IoT se deben integrar con otra infraestructura, se deben evaluar la conectividad de red y las interacciones de esta con el entorno. De esta manera se evitarán interferencias y exposiciones no deseadas.
- Borrado de información: hacer un seguimiento de dispositivos IoT que no estén en uso y borrar los datos de aquellos que no volverán a utilizarse.
Mejores prácticas específicas de protección de la privacidad
En 2014 se aprobó el Dictamen conjunto sobre internet de las cosas elaborado por el grupo de trabajo de las autoridades europeas de protección de datos. Se trata una serie de recomendaciones en materia de seguridad, privacidad y protección de datos que sería necesario aplicar a los dispositivos IoT, no obstante, no existe ninguna otra documentación formal que regule las acciones de seguridad necesarias para este tipo de tecnología. Este Dictamen brinda algunas recomendaciones, tales como las siguientes:
- Evaluaciones de impacto: las evaluaciones sobre la privacidad (EIP) deben realizarse con anterioridad al lanzamiento de cualquier aplicación nueva en IoT.
- Privacidad por diseño: cada parte involucrada en el mundo del IoT debe aplicar los principios de la privacidad desde el diseño y la privacidad por defecto.
- Información no procesada: las partes interesadas del mundo del IoT deben borrar los datos sin procesar inmediatamente después de haber extraído los datos necesarios para el procesamiento.
- Tratamiento de los datos del usuario: los fabricantes de dispositivos deben informar a los usuarios sobre los tipos de datos que los dispositivos obtienen y después procesan, los tipos de datos que reciben y el modo en que estos serán procesados y combinados. Los dispositivos de IoT deberían brindar una opción de "no obtener datos" para programar o desactivar rápidamente los sensores.
- Rastreo de ubicación: para evitar el rastreo de la ubicación, los fabricantes de dispositivos deberían limitar el uso de huellas digitales deshabilitando las interfaces inalámbricas cuando no estén en uso. Opcionalmente, deberían usar identificadores aleatorios (tales como direcciones MAC aleatorias para escanear redes Wi-Fi) a fin de evitar que se use un identificador persistente para rastrear la ubicación.
- Herramientas de exportación: es necesario proporcionar al usuario herramientas que les permitan exportar sus datos fácilmente en un formato estructurado común.
- Diferenciación de usuarios: debería existir un ajuste para diferenciar los distintos usuarios que utilizan un mismo dispositivo, de modo que ninguno pueda obtener información sobre las actividades de los otros.
- Redes sociales: los ajustes predeterminados de las aplicaciones sociales basadas en dispositivos IoT deberían solicitar a los usuarios que revisen la información generada, que la editen y que tomen decisiones al respecto antes de la publicación en plataformas sociales.
- Recabar consentimiento: el permiso para usar un dispositivo conectado y para el consecuente procesamiento de datos debe ser expuesto de forma transparente para el usuario.