Cómo abordar la seguridad del IoT en la cadena de suministro
March 13, 2018
June 3, 2026
x min read
Las aplicaciones IoT están pasando de la ciencia ficción a la realidad, y con esa transición surgen preguntas sobre la seguridad. Si busca en la web "IoT" y "seguridad", encontrará muchos enlaces, pero casi todos se centran en casos de uso para el consumidor, como juguetes conectados, dispositivos ponibles y todas esas cámaras web que colapsaron internet el año pasado. Para las muchas empresas que consideran aplicaciones IoT en la cadena de suministro, ¿cuáles son las preocupaciones?
No se distraiga con las historias de las cámaras web. Céntrese en dos temas: 1) daños potenciales y 2) acceso al dispositivo y a los datos.
Considere las consecuencias
Los artículos sobre seguridad IoT para el consumidor se centran en preocupaciones de privacidad (dispositivos ponibles, juguetes para niños) o en la apropiación de dispositivos para otros fines (ataques a la infraestructura, criptominado). Dado que la mayoría de los dispositivos de la cadena de suministro no están directamente conectados a internet público, estas no suelen ser las preocupaciones para las aplicaciones IoT en la cadena de suministro. En la cadena de suministro, nos preocupa principalmente el espionaje o la corrupción de datos: o alguien roba sus datos o los reemplaza con datos erróneos sin que usted lo sepa.
Espionaje significa que alguien simplemente roba los datos, ya sea del propio dispositivo o del sistema de comunicaciones que transfiere los datos. Para evitar este robo, el dispositivo debe ser difícil de extraer datos físicamente (posiblemente simplemente impidiendo el acceso físico) y los datos en tránsito deben cifrarse de alguna manera.
La corrupción de datos requiere lo que los investigadores de seguridad llaman un ataque de "hombre en el medio": alguien intercepta sus datos, los modifica y se los transmite sin que usted lo sepa. Por lo tanto, debe considerar lo fácil que es alterar los datos en el dispositivo o interceptar datos del dispositivo: ¿pasa por las manos de muchas personas desconocidas (por ejemplo, Bluetooth a una aplicación que se ejecuta en el smartphone del conductor) o a través de un proceso más seguro (enlace ascendente cifrado a un satélite o transmitido a través de la red celular)?
Evaluar estos riesgos requiere comprender si alguien puede acceder al dispositivo, ya sea física o a través de la red.
Acceso al dispositivo y a los datos
Para muchas aplicaciones de la cadena de suministro, el acceso físico no autorizado es difícil. Los rastreadores se envían con el inventario, por ejemplo, así que si alguien tiene acceso físico al rastreador, ya tiene en sus manos sus productos. En ese momento, su problema es "¿por qué esa persona está tocando mis cosas?", no "¿está bien mi rastreador?". Como se suele decir, no pierda de vista el objetivo principal.
El acceso a la red es más complejo, ya que depende del tipo de rastreador que utilice. La mayoría de los rastreadores de la cadena de suministro utilizan uno de cuatro sistemas de comunicación: Bluetooth, Wi-Fi, satélite o celular. Entre estas opciones, la celular y la satelital son más seguras por diseño, ya que ambas se basan en comunicaciones cifradas propietarias. Sí, una señal celular puede ser interceptada por un malhechor con equipos especializados costosos si se encuentra muy cerca de sus productos, pero ahora estamos hablando de alguien con equipo especializado conduciendo detrás de su camión para interferir o interceptar la señal de su rastreador. Además, incluso si tienen éxito, solo habrán afectado un único dispositivo, no el sistema en su conjunto. Como señalé anteriormente, debe centrarse en los escenarios más probables.
Bluetooth y Wi-Fi, al ser estándares abiertos, están en una clase de seguridad diferente. En ambos casos, existe un equilibrio entre la facilidad de uso y la seguridad. Para ambos, existe la opción de "seguridad cero" que permite que el dispositivo se conecte a cualquier señal disponible (esto probablemente también le parezca una mala idea). Luego hay opciones cada vez más complejas que ofrecen mayor seguridad, pero a costa de la facilidad de implementación y mantenimiento. Puede leer sobre las opciones de Bluetooth en un artículo llamado "Introduction to BLE security" y sobre las opciones de Wi-Fi en un artículo titulado "Wi-Fi Access For Internet of Things Can Be Complicated".
Mejores prácticas de seguridad: Concéntrese en sus particularidades
Aunque compartan una denominación, las soluciones de IoT no son todas iguales y deben evaluarse por separado. Si se centra en el riesgo específico para su negocio y en las formas concretas en que alguien podría atacar su sistema de IoT, rápidamente se alejará de las historias sensacionalistas y se adentrará en las consideraciones específicas de su sistema, que es como debe ser. Al comprender las posibles amenazas para su negocio y las formas en que alguien podría utilizar su solución de IoT para perjudicarle, podrá realizar una evaluación de riesgos realista y decidir por sí mismo qué tipo de solución, si es que hay alguna, es la adecuada para su organización.
