José Luis Laguna     Director técnico de Fortinet Iberia.

En 2020, cada persona dispondrá de una media de 26 dispositivos conectados. La pregunta que nos planteamos es cómo asegurar que nuestra red está preparada para este nuevo entorno. En todo tipo de foros y congresos oímos hablar sobre el Internet de las Cosas (IoT) y los retos que plantea a la seguridad TI. A nadie sorprende que la conectividad basada en IP gana terreno día a día. Lo que sí es nuevo es que el público al que se dirige está cambiando y la conectividad es cada vez más personal. Ya no está limitada a los usuarios de alta tecnología (relojes y drones), sino que está presente en prácticamente cualquier dispositivo – desde los juguetes infantiles al menaje de la cocina y, por supuesto, los medios. Los compradores de estos productos tecnológicos no son precisamente expertos en seguridad, muchos de ellos ni se plantean esta problemática. De hecho, su principal prioridad a la hora de adquirir el dispositivo es su facilidad de uso.

La personalización de la tecnología tampoco es una novedad. Ha existido desde hace  décadas. Para aquellos que llevan años trabajando en esta industria, el primer ejemplo de ello fue la aparición del ordenador personal (PC) conectado a una red de área local, allá por los años 80. Este dispositivo permitió a más empleados acceder a los datos corporativos de forma más rápida y sencilla, otorgándoles el poder para hacer suyo el uso y la presentación de dichos datos (hojas de datos, procesador de textos, etc.). Rápidamente incorporó la opción de acceder al Santo Grial de los datos corporativos: la información almacenada en los mainframes o servidores centrales, que hasta entonces se encontraban bajo un acceso limitado.

Con las primeras generaciones de LANs y ordenadores personales, apenas se contempló la problemática de la seguridad. Fue cuando comenzamos a conectar esas LANs a activos corporativos críticos (datos en mainframes y sistemas Un*X), así como a los clientes, bien a través de conexiones dedicadas o al incipiente Internet, cuando la seguridad comenzó a ser una preocupación.  Desafortunadamente, para cuando el acceso alcanzó una masa crítica interesante, era demasiado tarde para integrar directamente, en esta tecnología, la seguridad. En su lugar, comenzamos a incorporar elementos externos: las pasarelas de conexión se convirtieron en rudimentarios filtros de paquetes, implementamos métodos adicionales de identificación e incorporamos niveles de autorización ad hoc. Con el tiempo, estas estrategias evolucionaron hasta convertirse en la amplia variedad de tecnologías de seguridad que conocemos y de las que disfrutamos actualmente.

La única ventaja fue que el escalado de estas soluciones era, relativamente, gestionable. Había uno, quizá dos dispositivos endpoint por empleado. Además, solo teníamos uno o dos sistemas operativos con los que trabajar, cada uno de ellos con largos ciclos de mejoras y lanzamiento de patch. Entonces, irrumpió la tecnología inalámbrica y el fenómeno BYOD, retos con los que todavía estamos lidiando con efectividad. Gartner predice que en 2020, cada ser humano dispondrá de una media de 26 dispositivos conectados que reunirán e enviarán datos que pueden incluso estar correlacionados.

A diferencia de las etapas previas de la tecnología personalizada, el surgimiento del IoT plantea no pocos retos. Hay miles de proveedores implementando miles de combinaciones de software y docenas de tecnologías (WiFi, Bluetooth, NFC, zigbee, RFID), en, literalmente, miles de millones de nuevos dispositivos. Solo en EE.UU, se espera alcanzar los 8.700 millones de dispositivos IP en 2020. En otros países, más dispuestos a adoptar las nuevas tecnologías, este número puede ser mucho mayor. Y casi todas estas nuevas implementaciones están basadas en componentes de software complementarios que se ejecutan en la creciente variedad de dispositivos inteligentes, y/o en algunas versiones de la nube.

Por supuesto, dada la naturaleza de este mercado donde se requiere un precio competitivo (al tratarse de una oferta dirigida al mercado primario de consumidores, no empresas) implica que los desarrolladores limitarán sus esfuerzos, en tiempo y dinero, a la seguridad.

Para las empresas, esta situación conlleva que los riesgos relacionados con esta nueva era de la tecnología personalizada son significativos e imprevisibles. La mayoría de los dispositivos IoT no formarán parte de un despliegue corporativo. Los empleados simplemente traerán su dispositivo de casa, sincronizándolo con sus dispositivos inteligentes, conectándolos a la red WiFi corporativa y después a los servicios basados en la nube desplegados en la red corporativa. Determinados dispositivos IoT, incluso aunque los dejemos en casa, tendrán el software de sincronización en sus dispositivos inteligentes.

La estrategia tradicional, basada en la incorporación de la seguridad sobre dispositivos inherentemente inseguros heredados de los 80s – y que todavía utilizamos con clientes MDM en  smartphones y tablets – no es una opción para muchos de estos aparatos. En el caso de los dispositivos IoT, por ejemplo, son “headless” por lo que no pueden ser parcheados y no se les puede instalar un cliente. Por el contrario, necesitamos desarrollar y adoptar una estrategia de seguridad diferente de la que hemos estado aplicando hasta ahora.

La proliferación del IoT, y sus implicaciones en materia de seguridad, puede impulsar la evolución de la seguridad, que pasará de ser un elemento añadido a posteriori a convertirse en parte integral y omnipresente de la red.  Necesitamos redes seguras, fiables, no redes a las que incorporar soluciones de seguridad. Necesitamos crear dominios de seguridad más inteligentes para limitar el alcance y exposición del dispositivo comprometido. Y la respuesta debe ser simple, sin requerir la incorporación de más dispositivos de propósito único a nuestros racks de seguridad.  IoT, por ejemplo, demanda servicios de inspección de seguridad económicos para los puntos de conexión actuales de cada dispositivo, no canalizar todo el tráfico a través de un reducido número de sistemas sobrecargados que son difíciles de mantener y mejorar, dadas las altas expectativas de conectividad y disponibilidad.  

En este entorno, ¿qué debemos hacer? He aquí cuatro puntos a considerar a la hora de enfrentarnos al inminente tsunami de datos y dispositivos que inundará nuestras redes.

1. Control de acceso a la red.  La mayoría de estos nuevos dispositivos IoT son headless, es decir, no podemos actualizarnos o dotarles de clientes de seguridad. Por lo tanto, necesitamos eliminar el tráfico o los dispositivos de alto riesgo, comprometidos o no autorizados, antes de dejarles entrar en nuestra red.

2. Asumir que somos vulnerables. Si supiéramos que un atacante puede traspasar nuestras defensas perimetrales, ¿qué cambiaríamos en nuestra red? La mayoría de las organizaciones destina una buena parte de sus presupuestos de seguridad a construir una puerta delantera sólida. Estos recursos deben ser transferidos a controlar activamente la red e identificar cualquier comportamiento anómalo dentro del perímetro.

3. Segmentar inteligentemente la red. Los ataques que más daño causan son aquellos que se mueven libremente dentro de nuestro entorno una vez sobrepasan el perímetro de seguridad. La segmentación interna nos permite asegurar que una brecha está limitada a una pequeña parcela de la red, y que cualquier intento de movimiento lateral no autorizado será detectado. Asimismo, nos permitirá identificar rápidamente los dispositivos infectados para mantenerlos en cuarentena y limpiarlos.

4. Ante la complejidad, simplicidad. A menos que dispongamos de un equipo de profesionales y un presupuesto ilimitado, no podemos añadir equipos de seguridad aislados que necesiten ser gestionados y mantenidos.  La opción es implementar herramientas que ofrezcan un escalado dinámico, un aprovisionamiento sencillo y que operen conjuntamente como una arquitectura de seguridad cooperativa (Security Fabric) para compartir inteligencia sobre las amenazas a lo largo de todo el entorno distribuido y coordinar una respuesta ante una determinada amenaza. 

Debemos entender que nos encontramos en un momento crítico en la transición hacia la economía digital, y cualquier fallo en el replanteamiento de cómo debe integrarse la seguridad en este nuevo entorno puede tener importantes consecuencias.