redseguridad 080

red seguridad primer trimestre 2018 71 # El 80 por ciento de los equipos usa una contraseña simple. # El 70 por ciento de la comunica- ción no está cifrada. # El 90 por ciento de las actuali- zaciones de firmware no hace verificaciones de firmas. Es posi- ble que muchos dispositivos no puedan actualizarse. Los datos hablan de una evidente necesi- dad de afrontar la seguridad. Estas cifras se ha materializado en incidentes de gran importancia como el protagonizado en 2016 por el malware “Mirai”, un software malicioso diseñado especialmente para sacar partido de fallos de seguridad de millo- nes de dispositivos como cámaras IP, grabadoras digitales de video o routers domésticos, entre otros, para realizar ataques de denegación de servicio distribuido DDoS con impor- tantes consecuencias en reconocidos sitios web y empresas como los pro- veedores de servicios OVH o DynDNS. La magnitud de estos ataques llegó a cuadriplicar la potencia de los DDoS que se conocían hasta entonces. En resumen, los riegos de segu- ridad de dispositivos IoT derivan de una serie de debilidades intrínsecas al concepto de los mismos,como son: # Bajo coste y recursos limitados de procesamiento donde pre- valece la eficiencia sobre otros factores. # Ecosistemas de operación muy diversos y complejos. # Y, sobre todo, falta de experien- cia de muchos fabricantes en un sector de operación relativamente nuevo que presenta frentes de exposición muy amplios y en muy diversos entornos. Seguridad multicapa INCIBE, como entidad orientada a la ciberseguridad y en su objetivo de ofrecer servicios para ciudadanos y empresas, es consciente de la impor- tancia del impacto IoT en todos los sectores tecnológicos. La tendencia e impacto de IoT globalmente, ya no solo en el sector industrial sino en todo el entorno TIC, es conside- rable. En este sentido, se ofrece un estudio detallado que analiza por- menorizadamente esta situación en: https://www.incibe.es/sites/default/ files/estudios/tendencias_en_el_mer- cado_de_la_ciberseguridad.pdf Igualmente, entre otras iniciativas potenciadas desde la entidad, se ela- boró, en colaboración con Huawei, un estudio específico de este fenómeno en el cual se presentan conclusiones y orientaciones que deberían marcar pautas para afrontar todo el proceso de vida y uso de dispositivos IoT. El ecosistema IoT incluye disposi- tivos, redes, plataformas y aplicacio- nes que requieren múltiples medidas de protección de la seguridad en cada capa, así como capacidades de inteligencia y de análisis de seguridad de la totalidad de los datos para apro- vechar la sinergia entre los dispositi- vos y la nube. Se hacen necesarias: # Capa base del diseño y la tec- nología empleada en la cons- trucción del dispositivo: uso de criptografía TPM y fortificación del hardware. # Seguridad a nivel de aplicación y sistema. Auditoría del sistema operativo y software. # Seguridad en las comunicacio- nes. Cifrado e integridad. # Seguridad en la nube a nivel de plataforma. Seguridad de acce- so, integridad y disponibilidad. Estrategias integrales de seguridad En un entorno empresarial o de fabri- cantes, es necesario contar con polí- ticas y un sistema de gestión de la seguridad que contemple todos los activos y procesos relacionados con el entorno de uso y producción. Focalizar y fundamentar la seguri- dad únicamente en aspectos aislados seguridad IoT monográfico Realizar periódicamente auditorías de seguridad y tests de intrusión a los productos y recursos de la compañía completará los pasos necesarios para asumir los riesgos IoT con cier tas garantías Las empresas habrán de contar con políticas y un sistema de gestión de la seguridad si quieren estar preparadas para el IoT.