Autora: Karen Pichardo Almarza. Centro de Seguridad Informática y Certificación Electrónica (CSICE).FIIIDT.
Las organizaciones necesitan adaptarse y adoptar las nuevas tecnologías con las cuales es posible la interconexión de dispositivos inteligentes a través del Internet, para transformar sus modelos de negocio y obtener ventajas competitivas. Se debe entender que estos sistemas transforman el concepto original de la tecnología de la información, que ahora las TI son una parte integral del propio objeto que, junto a diversas relaciones informáticas, permiten crear, capturar, utilizar y gestionar el dato eficientemente. Este conjunto de elementos es el que se conoce como el «internet de las cosas-IoT » (siglas en inglés: Internet Of Things).
El Internet de las cosas (IoT) se está convirtiendo rápidamente en parte de la vida cotidiana, desde el consumo individual hasta escalas industriales y las organizaciones deben buscar soluciones tecnológicas viables para aplicarlas. Ya en el 2015, alrededor del 54% de la población mundial vivía en las ciudades en lugar de las zonas rurales, según el Informe sobre las Ciudades del Mundo elaborado por Naciones Unidas, y se espera que para 2050 aumente al 66%. Estas cifras evidencian que la infraestructura tecnológica de las ciudades debe adaptarse al crecimiento poblacional y, en consecuencia, a la interconectividad que ello conlleva, deben implementarse sensores y actuadores en todos los lugares y objetos posibles para ofrecer una gestión más eficiente, a través de sistemas de análisis y gestión de datos para el logro del desarrollo de las sociedades y ciudades.
En un artículo de la Harvard Business Review de noviembre de 2014, Michael Porter y James Heppelmann describen que las características fundamentales de un dispositivo IoT es que debe ser “inteligente” y estar “conectado”, para lo cual deben estar conformados por tres componentes: los componentes físicos (partes mecánicas y eléctricas), los componentes «inteligentes»(sensores, microprocesadores, almacenamiento de datos, controles, software, sistema operativo integrado y un usuario), y el componente de conectividad (puertos, antenas, y protocolos que permiten conexiones alámbricas o inalámbricas con Internet).
En tal sentido, podemos tener claro que un dispositivo IoT no sólo es aquel que se conecta al Internet, sino aquel dispositivo que está”conectado” y además es “inteligente”.
La International Data Corporation-IDC (2020), pronosticó recientemente que “en el año 2025 existirán 41.6 mil millones de dispositivos IoT conectados, los cuales generarán 79,4 zettabytes de datos” (Zettabyte es aproximadamente igual a 1 Billón de Terabytes, or a 1 Trillón de Gigabytes). Este incremento masivo genera inevitablemente “un nivel de vulnerabilidad asombroso en IoT”, comenta John Grimm, director sénior de estrategia y desarrollo empresarial de nCipher Security. “No tiene sentido recopilar y analizar datos generados por dispositivos IoT y tomar decisiones comerciales basadas en ellos si no podemos fiarnos de su seguridad o de sus datos. Para generar esa confianza debemos priorizar las prácticas de seguridad que combaten las principales amenazas a IoT y con garantizan la autenticidad e integridad dentro de todo el ecosistema».
PKI – Agente de Seguridad para IoT
El Estudio de Tendencias Globales en PKI e IoT (2019), realizado por el Instituto Ponemon y patrocinado por nCipher Security, revela que el IoT es la tendencia de mayor crecimiento e impulsor de la implementación de aplicaciones PKI, las cuales han aumentado un 20 % en los últimos cinco años. Afirma que La mayoría de los encuestados usan PKI extensamente dentro de sus propias organizaciones para certificados SSL/TLS (79 %), redes privadas y VPN (69 %), y aplicaciones y servicios públicos basados en la nube (55 %). También afirma que más de la mitad (56 %) de los encuestados opina que PKI es incapaz de respaldar nuevas aplicaciones, que representan importantes limitaciones técnicas y organizativas para el uso de PKI, incluida la incapacidad para cambiar las aplicaciones preexistentes (46 %), insuficientes habilidades del equipo (45 %). En este estudio se observa que el uso del HSM-Hardware Security Module como raíz de confianza para dispositivos IoT aumentó significativamente en 2018 (de un 10 % al 22 %). El Dr. Larry Ponemon, presidente y fundador del Instituto Ponemon comenta “Claramente, la rápida acogida de IoT está teniendo un gran impacto sobre el uso de PKI, puesto que las organizaciones se están dando cuenta de que está proporcionado tecnología de autenticación central para dispositivos conectados”.
Según el 2018 Global PKI Trends Study de Ncipher, la empresa Thales afirma que el Internet de las Cosas es uno de los disruptores para la futura planificación de PKI, ya que las organizaciones no solo atienden las necesidades actuales de certificados electrónicos, sino que también deben prepararse para el futuro con una diversidad y escala nunca visto.
Muchas empresas dedicadas al desarrollo de soluciones IoT y PKI han anunciado la puesta en marcha de nuevas herramientas en este ámbito, como ejemplo se encuentra DigiCert, Inc., Comodo CA, SSL247, entre otros que ya han anunciado nuevos desarrollos PKI&IoT, marcando una gran diferencia con respecto a las aplicaciones PKI del pasado, con implementaciones PKI híbridas, locales, rápidas y flexibles.
Las cifras de los últimos años demuestran el incremento en el uso los dispositivos criptográficos basados en hardware, HSM que conforman frecuentemente las plataformas PKI, ya que generan, almacenan y protegen claves criptográficas, mejoran la aceleración en hardware para operaciones criptográficas y proveen altos niveles de seguridad en la administración de claves privadas para las entidades de certificación. Todos estos elementos que son fundamentales en los ecosistemas de IoT.
En un artículo publicado por Realsec/Cysec en 2020, se afirma que el uso de HSMs para administrar claves privadas aumentó de un 3% en 2018 hasta un 42% en el uso de certificados electrónicos para autenticación. Estas cifras muestran el claro interés que vienen demostrando las organizaciones para proteger eficientemente sus datos. Las organizaciones con CA internas usan un promedio de ocho CA de emisión independientes para gestionar diferentes ámbitos organizacionales, entre los cuales está el IoT.
Podemos observar que la PKI es la columna vertebral de las organizaciones que valoran la resiliencia de ciberseguridad, ya que les permite aplicar políticas y automatizar procedimientos de seguridad de la información con certificados electrónicos, cifrado de claves públicas y firma electrónica, proteger documentos, correos electrónicos, integridad de código, activos e individuos con identidades digitales mediante certificados de dispositivos/personas.
Según encuesta de la IDC(2020), el 65 % de las organizaciones informaron que el uso de certificados electrónicos y PKI provee y mantiene acceso seguro sin sacrificar al usuario móvil, provee autenticación remota sólido de individuos, integridad de aplicaciones (software y firmware en dispositivos IoT, en redes inalámbricas, VPN y correos electrónicos bajo mensajes cifrados y firmas electrónicas.
En conclusión los ecosistemas IoT conforman el eje de la sociedad tecnológica moderna donde los objetos (cosas) tienen personalidad propia dentro de la red y se identifican entre ellos intercambiando datos que son procesados automáticamente por algoritmos inteligentes de forma rápida y sencilla. Estos dispositivos/objeto/cosas evolucionan constantemente y deben enfocarse en actualizar sus elementos físicos para lograr acoplarse a las características de las plataformas de seguridad mas competitivas y adecuadas para proveerles los niveles de protección que requieren. El crecimiento de esta tecnología obliga a cambiar sus esquemas de seguridad tradicionales e implementar mecanismos mas robustos que brinden confianza, canales de transmisión de información verdaderamente seguros que utilicen cifrado/firma electrónica con certificados electrónicos emitidos por Autoridades de Certificación Acreditadas, contar con procesos de autenticación que eviten la suplantación de identidad de los dispositivos/personas. Por lo que la Infraestructuras de Clave Pública o PKI se convierte en el vehículo de seguridad clave que mas se ajusta a los ecosistemas IoT.
Referencias Bibliográficas
- Entrust Datacard, N-Cipher. (2020). 2020 Global Encryption Trends Study. Disponible en:
- Entrust Datacard, N-Cipher. (2019). 2019 ESTUDIO GLOBAL DE TENDENCIAS DE PKI E IoT. Disponible en:https://cts.businesswire.com/ct/CT?id=smartlink&url=https%3A%2F%2Fes.ncipher.com%2F2019%2Fpki-iot-trends-study&esheet=52099326&newsitemid=20191003005013&lan=es-AR&anchor=Estudio+de+Tendencias+Globales+en+PKI+e+IoT+en+2019&index=2&md5=63800894d80cc921b4c1bdefaafdae8d
- Entrust Datacard, N-Cipher. (2018). Cryptographic Solutions Delivering Cloud, IoT, Blockchain and Digital Payment Security. nCipher Security. Disponible en: https://www.ncipher.com/2018/pki-trends-study.
- FRAMINGHAM, M. (2019). The Growth in Connected IoT Devices Is Expected to Generate 79.4ZB of Data in 2025, According to a New IDC Forecast. IDC: The premier global market intelligence company. Disponible en:https://www.idc.com/getdoc.jsp?containerId=prUS45213219.
- ONU DAES. (2014). Más de la mitad de la población vive en áreas urbanas y seguirá creciendo | ONU DAES | Naciones Unidas Departamento de Asuntos Económicos y Sociales. ONU DAES | Naciones Unidas Departamento de Asuntos Económicos y Sociales. Disponible en: https://www.un.org/development/desa/es/news/population/world-urbanization-prospects-2014.html.
- Porter, M., & Heppelmann, J. (2014). How Smart, Connected Products Are Transforming Competition. Harvard Business Review. Disponible en: https://hbr.org/2014/11/how-smart-connected-products-are-transforming-competition.
- Realsec. (2020). Tendencias de PKI & IoT. Realsec.com. Disponible en:
Contacto: karenpichardoa@gmail.com