El cifrado de extremo a extremo es un elemento básico de las aplicaciones de mensajería segura como WhatsApp, por ejemplo. La tecnología asegura que nadie, ni siquiera el desarrollador de la aplicación, pueda acceder a los datos mientras atraviesa la web. Pero, ¿qué pasaría si se pudiera llevar alguna versión de esa protección a dispositivos de Internet de las cosas?

La firma suiza de criptografía Teserakt lo está intentando. A principios de este mes, en la conferencia Real World Crypto en Nueva York, presentó E4, una especie de implante criptográfico que los fabricantes de IoT pueden integrar en sus servidores. Hoy en día, la mayoría de los datos de IoT se cifran en algún momento a medida que se mueven por la web, pero es difícil mantener esa protección constante durante todo el viaje. E4 haría la mayor parte de ese trabajo detrás de escena, de modo que si las compañías fabrican enrutadores domésticos, sensores de control industrial o cámaras web, todos los datos transmitidos entre los dispositivos y sus fabricantes pueden encriptarse.

Las empresas tecnológicas ya confían en el cifrado web para mantener seguros los datos de IoT, por lo que no es como si su wearable de fitness transmitiera datos de salud sin protección. Pero E4 tiene como objetivo proporcionar un enfoque de código abierto más completo que se adapte a las realidades de IoT. Los fabricantes de automóviles que manejan docenas de modelos y cientos de miles de vehículos, o una compañía de energía que toma lecturas de una flota masiva de medidores inteligentes, podrían tener más seguridad de que las protecciones de cifrado completo realmente se extienden a cada capa digital que los datos cruzarán.

«Lo que tenemos ahora es una gran cantidad de dispositivos diferentes en diferentes industrias que envían y reciben datos», dice Jean-Philippe Aumasson, CEO de Teserakt a Wired. «Esos datos pueden ser actualizaciones de software, datos de telemetría, datos de usuario, datos personales. Por lo tanto, deben protegerse entre el dispositivo que los produce y el dispositivo que los recibe, pero técnicamente es muy difícil cuando no se tienen las herramientas». queríamos construir algo que fuera fácil de integrar para los fabricantes a nivel de software «.

Ser de código abierto también es lo que le da tanta credibilidad al protocolo de señal, que sustenta a WhatsApp. Significa que los expertos pueden verificar las vulnerabilidades y fallas. Y permite a cualquier desarrollador adoptar el protocolo en su producto, en lugar de intentar la tarea tensa y arriesgada de desarrollar protecciones de cifrado desde cero.

Aumasson dice que el protocolo de señal en sí no se traduce literalmente a IoT. Las aplicaciones de mensajería implican interacción remota, pero aún directa, de persona a persona, mientras que los dispositivos IoT envían datos a un fabricante o viceversa. IoT necesita un esquema que tenga en cuenta estos flujos de datos «muchos a uno» y «uno a muchos». Y el cifrado de extremo a extremo tiene diferentes objetivos de privacidad cuando se aplica a IoT frente a la mensajería segura. Las aplicaciones de chat encriptadas esencialmente tienen como objetivo bloquear al desarrollador, los proveedores de servicios de Internet, los espías de los estados nacionales y cualquier otro espía. Pero en el contexto de IoT, los fabricantes aún tienen acceso a los datos de sus clientes; el objetivo, en cambio, es proteger los datos de otras entidades y del propio Teserakt.

También solo endurece las defensas de IoT contra un tipo específico de problema. E4 busca mejorar las defensas para la información en tránsito y ofrecer protección contra la interceptación y manipulación de datos. Pero al igual que los servicios de chat encriptados no pueden proteger sus mensajes si los malos actores tienen acceso a su teléfono inteligente, E4 no protege contra los servidores de una empresa que se ven comprometidos ni mejora la seguridad en los dispositivos IoT.

Teserakt ha estado consultando con grandes compañías tecnológicas en los sectores aeroespacial, sanitario, agrícola y automotriz y energético para desarrollar E4 y planea monetizar la herramienta cobrando para personalizar las implementaciones para sus infraestructuras específicas. La compañía aún no ha abierto el código de servidor completo para E4 junto con los detalles del protocolo y la documentación de criptografía que lanzó, pero dice que el paso final llegará tan pronto como se complete la documentación. Dado el ritmo glacial de inversión en la seguridad de IoT en general, probablemente no debería esperar que E4 proteja a toda la industria en el corto plazo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *