Los fabricantes de automóviles que recientemente mostraron sus modelos más nuevos en el Auto Show de Nueva York son representativos de las oportunidades y los desafíos que enfrentan todos los fabricantes de hardware de Internet de las Cosas (IoT). IoT está transformando la industria automotriz, ya que los fabricantes de automóviles implementan una increíble gama de tecnologías inteligentes conectadas.

Pero además de crear una experiencia de usuario increíble, deben centrarse en la seguridad del usuario. Un reciente informe de McKinsey & Company sobre la ciberseguridad y los automóviles conectados afirma que “los productos solo pueden ser seguros si se diseñan teniendo en cuenta la seguridad”. Esa mentalidad, llamada Secure by Design, debe ser el principio rector para todos los dispositivos de IoT, sin importar su tamaño o aplicación de negocio o consumidor.

Los productos necesitan seguridad en todo lo que se refiere a IoT. Incluso porque hay una gran cantidad de datos privados del consumidor que se transfieren hacia y desde estos servicios vulnerables al ataque si se dejan sin garantía. “La seguridad de IoT exige la autenticación adecuada del dispositivo y el cifrado de datos para garantizar que todas las conexiones sean confiables y las comunicaciones estén protegidas”, comenta Manuel Pavón, gerente de Canales para Latinoamérica de DigiCert.

El aumento de la conectividad incrementa los riesgos

A medida que los autos se vuelven más complejos, requieren más unidades de control electrónico y líneas de código. La conectividad permite capacidades de auto conducción o asistencia al conductor, y características de seguridad mejoradas. Pero la conectividad también aumenta el riesgo, ya que estos complejos sistemas de seguridad y navegación son más vulnerables a ser hackeados. Eso es cierto en todos los dispositivos que se conectan a Internet.

Más proveedores de partes crean una cadena de suministro fragmentada. Eventualmente, las compañías como los fabricantes de automóviles que incorporan docenas de sistemas conectados se encuentran con múltiples dispositivos de varios proveedores que no interactúan, no son ciberseguros, usan diferentes protocolos y generan más complejidad a un mayor costo. Lo anterior permite que establecer políticas de seguridad sea más difícil, y algo que no es seguro nunca debería permitirse conectarse a Internet.

Seguro desde el diseño

La responsabilidad recae en todos los fabricantes: aquellos que fabrican componentes individuales, como bolsas de aire para automóviles conectados, y aquellos que incorporan múltiples componentes en sus productos, como los fabricantes de automóviles, deben abordar la seguridad durante el proceso de diseño. La pregunta es, ¿cómo?

Los siguientes consejos pueden ayudar a garantizar las consideraciones de seguridad adecuadas en el diseño de los dispositivos conectados para todas las aplicaciones (no solo los automóviles):

1. Construir modelos de amenazas: se debe evaluar el caso de uso de sus dispositivos y servicios durante la fase de diseño del producto. Medir los diversos riesgos y crear planes de mitigación en el diseño general del producto.

2. Crear casos de seguridad y abuso: el equipo de trabajo debe hacer pruebas para validar su modelo de amenaza. Poner en práctica una evaluación continua con cada iteración del producto para asegurarse de que el modelo de amenaza cumpla con sus escenarios de amenaza.

3. Administrar las claves de manera segura: se deben integrar los procesos generando y almacenando claves privadas de forma segura, ya sea con módulos de seguridad de hardware (HSM) o una de las principales plataformas de IoT basadas en la nube.

4. Poner certificados para usar: habilitar los dispositivos para usar certificados en lugar de contraseñas para la autenticación. Los certificados de infraestructura de clave pública (PKI) desempeñan un papel fundamental en la solución de IoT, ya que validan la identidad de un dispositivo para que solo los dispositivos autorizados, los usuarios y los servidores puedan acceder al dispositivo. Los certificados también se utilizan para cifrar los datos enviados desde y hacia el dispositivo. Además, los certificados de firma de código garantizan que las actualizaciones por aire se firmen con un código a prueba de manipulaciones y que el dispositivo se inicie de forma segura en todo momento.

5. Automatizar la autenticación a escala: la autenticación de escala es importante. El uso de tecnologías estandarizadas y probadas, como certificados digitales y protocolos de registro de certificados como SCEP, EST y API seguras permitirá escalar sus operaciones de seguridad a medida que aumenten sus volúmenes.

La seguridad desde el diseño es un proceso metódico, no una tarea ad hoc. Si no se adopta esta mentalidad para cada dispositivo IoT único que sale de la línea de ensamblaje, es probable que resulte necesario realizar soluciones rápidas para solucionar errores o amenazas de seguridad recién descubiertas. Eso puede agregar costos, complejidad y, a veces, peso. También podrían ser relativamente fáciles de eludir, ya que pueden no resolver estructuralmente el desafío de la vulnerabilidad, como por ejemplo los problemas de arquitectura.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *