Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

NB-IoT, la conexión ideal y de bajo consumo para IIoT

Fecha de publicación 08/02/2024
Autor
INCIBE (INCIBE)
Foto decorativa sobre Internet de las cosas Industrial

El protocolo NB-IoT o NarrowBand-IoT es un protocolo desarrollado por 3rd Generation Partnership Project (3GPP) para las comunicaciones inalámbricas, el cual forma parte de las redes catalogadas como LPWAN o bajo consumo de área extensa.

NB-IoT es de baja potencia y un ancho de banda estrecho que, junto con una operatividad en zonas amplias y gran velocidad en las conexiones, lo han convertido en uno de los principales estándares LPWAN del grupo 3GPP. Además, también es un protocolo de bajo coste y gran capacidad para albergar un elevado número de dispositivos, siendo este uno de los principales motivos, por los que es muy utilizado en pequeñas y medianas empresas (pymes), en las organizaciones públicas y para uso personal.

Aunque el protocolo se denomine NB-IoT, este también puede ser considerado un protocolo a utilizar en los ambientes industriales, por lo que se puede considerar un protocolo IIoT. Las bandas usadas en este estándar oscilan, dependiendo de la región en la que se encuentren. Las disponibles son las siguientes:

Bandas usadas en NB-IoT.

- Bandas usadas en NB-IoT. Fuente -

Características básicas del protocolo

Las características más importantes de este protocolo son las siguientes:

  • Uso de baja potencia, por lo cual no consume gran cantidad de energía y las baterías pueden durar mucho tiempo.
  • Gran ancho de banda, lo que permite gran conectividad a muchos dispositivos.
  • Operatividad en zonas amplias, lo cual nos permite su uso en zonas de difícil acceso o zonas rurales donde no haya buena cobertura.
  • Gran velocidad de comunicación.
  • Bajo coste, por lo tanto, adecuado para pequeñas empresas o para uso personal. 
  • Cifrado de la red, lo cual proporciona confidencialidad y seguridad frente a posibles ataques.
  • Fácil integración a los sistemas móviles actualmente instalados.
Bandas usadas en NB-IoT

- Características NB-IoT. Fuente -

Ventajas e inconvenientes

Después de conocer las características de este protocolo, es conveniente conocer cuáles son sus puntos fuertes y débiles. Además de las ventajas previamente mencionadas, como características, se pueden encontrar la gran transmisión en espacios cerrados o aislados por diferentes materiales y la gestión avanzada en los modos de operación, lo cual tiene sus desventajas, que pueden ser:

  • Alta latencia, llegando a ser de varios segundos, dependiendo de la cantidad de dispositivos introducidos.
  • Baja tasa de datos, llegando a ser de KB como máximo.
  • No puede realizar handskakes entre torres de repetidor.
  • Dificultad en la implementación del firmware por aire (FOTA).
  • Falta de soporte a la movilidad de los dispositivos, por lo que es recomendable que estos sean fijos.

Riesgos relacionados con ciberseguridad

Como se ha mencionado anteriormente, es cierto que las comunicaciones dentro de la red NB-IoT son cifradas si así se configuran, pero fuera de este, al navegar hasta el servidor externo al cual se desee conectar, no hay cifrado, lo cual ya es un riesgo de por sí.

El primer riesgo que se encuentra en este tipo de comunicaciones es realizar una conexión externa. El segundo es que se realice mediante una conexión no segura o desde un dispositivo no confiable. Estos dos puntos son críticos, ya que un atacante puede usar diversos métodos para comprometer la seguridad de la red, como un man-in-the-middle para obtener la información que se comparte. 

Man-in-the-middle

- Man-in-the-middle. Fuente -

Un tercer riesgo es que con ese man-in-the-middle, los atacantes puedan introducir información falsa en la red NB-IoT, comprometer el software mediante ataques al firmware o ataques a vulnerabilidades de los dispositivos que han descubierto en la comunicación, etc. Por ello, se debe tener cuidado al realizar conexiones a servidores y seguir ciertas pautas que se explicarán en el siguiente apartado.

Requisitos de seguridad

Se deben implementar unos mínimos requisitos de seguridad para que los dispositivos sean seguros ya desde la instalación del dispositivo. Estos requisitos son los siguientes:

  • Capacidad de implementar la última versión del firmware en los diferentes dispositivos instalados.
  • Capacidad de instalación de una tarjeta SIM.
  • Los certificados y las contraseñas deben almacenarse en la tarjeta SIM, asegurando un alto nivel de seguridad.
  • Las tarjetas SIM deben poseer un número de identificación inalterable (ICCID), almacenado en su memoria y de sola lectura.
  • Se debe usar un protocolo de tunelización, como podría ser el Layer Two Tunneling Protocol (L2TP), o un protocolo seguro, como el Internet Protocol Security (IPSec) para la creación de una VPN.
  • Se debe implementar un control de acceso seguro, mediante una configuración de contraseñas seguras.
  • Proteger los componentes hardware ante posibles manipulaciones u extracciones de memoria. Un ejemplo sería el uso de chips de seguridad hardware o la implementación de precintos de seguridad en los propios dispositivos, para evitar manipulaciones.

En cuanto a la red, existen también ciertos requisitos mínimos de seguridad que se deben implementar:

  • Garantizar el uso de la última versión del estándar de los dispositivos en la red.
  • Control de los ICCID para evitar posibles suplantaciones o duplicados de tarjetas SIM.
  • Establecer políticas de control de acceso sólidas, ya sea mediante firewalls u otros dispositivos de seguridad para filtrar el tráfico no deseado.
  • Resiliencia a los posibles fallos de hardware o ataques. 
  • Seguridad en la capa física de la red, lo cual ayuda a proteger las estaciones base y componentes de la infraestructura frente a intrusiones físicas.

Soluciones o mitigaciones

En este punto, se pueden encontrar ciertos métodos para minimizar los riesgos previamente comentados. Algunas de las pautas recomendables son:

  • Realizar una mínima exposición de la red a Internet.
  • Reducir el alcance de la red al entorno físico, ya sea mediante software o colocando hardware que reduzca el nivel de la señal.
  • Realizar conexiones mediante sistemas cifrados, como pueden ser VPN propias o APN de proveedores.
    • Algunos proveedores ofrecen un servidor intermedio dentro de la red, el cual recoge los datos y los envían mediante una conexión VPN al servidor.
      • Esto proporciona un alto nivel de seguridad en la comunicación, pero implica costes adicionales para el cliente y poca flexibilidad a los cambios del operador. 
Uso de VPN de proveedor

- Uso de VPN de proveedor. Fuente -

  • Securización del protocolo UDP.
    • Los datos viajaran cifrados de extremo a extremo por la misma tecnología, lo que permitirá tener un alto nivel de seguridad en la red y la independencia del usuario frente a un operador, pero hará que el tiempo de desarrollo de la solución sea mayor.
Securización protocolo UDP

- Securización protocolo UDP. Fuente -

  • Control del tráfico dentro de la red mediante herramientas IDS o IPS.
  • Actualización del software de los diferentes dispositivos que compongan la red NB-IoT.
  • Elementos hardware que protejan la instalación, como por ejemplo un firewall, que detectaría comunicaciones o accesos no autorizados.

Conclusión

El protocolo NB-IoT puede ser un protocolo viable para empresas o usuarios individuales con dificultades de acceso ya sea por medio geológico o financiero. Este protocolo proporciona grandes ventajas, pero también hay que tener en cuenta los riesgos que su uso puede acarrear. Por último, también es importante mencionar que se deben securizar las comunicaciones de la mejor manera posible para que el riesgo de ataque sea mínimo.