Michael Richardson on IoT device security at RIPE89

• Las actualizaciones de seguridad de IoT a menudo se descuidan, lo que crea vulnerabilidades.
• Estándares como SUIT y los esfuerzos regulatorios buscan mejorar la seguridad de IoT.
• La cooperación entre consumidores y reguladores es crucial para una seguridad efectiva.

Introducción

Michael Richardson es el científico jefe de Sandelman Software Works, con más de 28 años de experiencia en consultoría de arquitectura de redes y sistemas. Su trabajo se centra en la arquitectura de seguridad como parte de la ingeniería de rendimiento de sistemas integrados. También es miembro del IETF (Grupo de Trabajo de Ingeniería de Internet), donde copreside el grupo de trabajo de Enrutamiento sobre Redes de Baja Potencia y con Pérdidas (ROLL). Es activo en el ámbito de la seguridad, específicamente en IPsec, BTNS y varios grupos de trabajo de autenticación, y es autor de RFC4025 y RFC4322.

Así que el mayor problema, en mi opinión, es que realmente no somos dueños de nuestros dispositivos. Ver también: El registro de miembros desaparecido de AfriNIC.

Michael Richardson, científico jefe de Sandelman Software Works

Las actualizaciones de seguridad de IoT siguen siendo un eslabón débil

Muchos dispositivos del Internet de las cosas (IoT) carecen de un mecanismo fiable para las actualizaciones de seguridad, lo que supone una vulnerabilidad importante. Michael Richardson, experto en estándares y seguridad de IoT, destacó que, a pesar de la importancia de mantener el software actualizado, los fabricantes a menudo dudan en implementar actualizaciones automáticas debido a preocupaciones sobre la configuración del usuario y la estabilidad del dispositivo. Esta reticencia se debe al temor de que los cambios en el firmware puedan interrumpir la funcionalidad del dispositivo o incomodar a los usuarios, lo que generaría insatisfacción. Como resultado, muchos dispositivos permanecen obsoletos y susceptibles a ciberataques.

Lea también: Sateliot amplía su constelación de satélites 5G NB-IoT

Richardson señaló estándares emergentes, como SUIT del IETF (Actualizaciones de Software para el Internet de las Cosas), que buscan hacer que el proceso de actualización sea más fiable y reducir los riesgos asociados con el firmware obsoleto. SUIT proporciona un marco para entregar actualizaciones de software de manera segura, garantizando que los dispositivos estén protegidos contra vulnerabilidades conocidas. Al adoptar dichos estándares, los fabricantes pueden ayudar a garantizar que los dispositivos IoT sigan siendo funcionales y seguros durante toda su vida útil. Ver también: Desaparición del registro de miembros de AfriNIC.

Lea también: RIPE 89 arranca en Praga: Lo más destacado de los días 1-3

Sin embargo, la falta de concienciación del consumidor agrava aún más el problema. Muchos usuarios desconocen la necesidad de mantener sus dispositivos actualizados o carecen de los conocimientos técnicos para hacerlo. Esto crea una brecha que los ciberdelincuentes pueden explotar, lo que pone de relieve la necesidad de que los fabricantes creen mecanismos de actualización fáciles de usar y eduquen a los consumidores sobre la importancia de la seguridad. La colaboración entre los organismos de normalización, los fabricantes y los usuarios es fundamental para establecer un ecosistema de seguridad de IoT más sólido. Ver también: Alejandro Fernandez.

Esfuerzos regulatorios e impacto

En varias regiones, los gobiernos están interviniendo para abordar los desafíos de seguridad de IoT. Por ejemplo, el Reino Unido ha ordenado que las actualizaciones deben estar disponibles durante un período de tiempo específico, obligando a los fabricantes a cumplir con estándares de seguridad básicos. Esta regulación entró en vigor en abril de este año, exigiendo que todos los dispositivos IoT garanticen la disponibilidad de actualizaciones. Garantizar el soporte continuo de los dispositivos es crucial, especialmente porque a menudo se utilizan durante años más allá de su compra inicial. Ver también: Aldo Garcia.

De manera similar, California está considerando implementar una directiva similar, aunque su cronograma de aplicación sigue sin estar claro. El entorno regulatorio aún está evolucionando, pero Richardson cree que estos pasos van en la dirección correcta. Destacó que, si bien estos mandatos pueden generar un aumento de los residuos electrónicos, son necesarios para obligar a los fabricantes a mantener los estándares de seguridad. A pesar de este inconveniente, priorizar la seguridad del consumidor y la protección de datos vale la pena. Ver también: Alcymer Vieira.

Estas regulaciones tienen como objetivo establecer un precedente para la industria. Al hacer cumplir estas medidas, los gobiernos envían un mensaje claro de que la seguridad no debe ser una ocurrencia tardía en el desarrollo de IoT. Esto puede conducir a un cambio en la forma en que los fabricantes abordan el diseño de productos, centrándose en incorporar la seguridad en el núcleo de sus dispositivos. Richardson también mencionó que estos esfuerzos serían efectivos solo si están respaldados por una aplicación estricta y sanciones por incumplimiento. Ver también: Alcides Cremonezi.

Equilibrio entre la privacidad del consumidor y la seguridad

Uno de los principales problemas que Richardson discutió es la monetización de los datos de los usuarios por parte de los fabricantes de IoT. Las empresas suelen utilizar modelos de negocio basados en la vigilancia para generar ingresos recurrentes, lo que introduce riesgos adicionales de privacidad y seguridad. El uso de dispositivos conectados para recopilar y monetizar datos personales permite a las empresas subvencionar los costos de los dispositivos o generar ingresos continuos después de la venta. Sin embargo, este modelo de negocio a menudo entra en conflicto con el derecho a la privacidad de los usuarios. Ver también: Alberto Anaya.

Lea también: Explorando proyectos IoT: aplicaciones innovadoras y beneficios

Los consumidores deben decidir si están dispuestos a pagar una suscripción para mantener la seguridad del dispositivo o permitir que los fabricantes moneticen sus datos. Richardson enfatizó que la falta de transparencia complica la situación, ya que muchos consumidores desconocen cómo se utilizan sus datos. La introducción de modelos de suscripción para actualizaciones de seguridad podría ofrecer una solución, pero impone cargas financieras adicionales a los consumidores, lo que plantea dudas sobre la accesibilidad de los dispositivos IoT seguros. Ver también: Albert Kis.

Lea también: Soluciones IoT: Transformando industrias y mejorando vidas

Richardson destacó la importancia de la verdadera propiedad del dispositivo y el derecho a reparar. Cuando los consumidores tienen derecho a reparar sus dispositivos, pueden asegurarse de que sigan funcionando sin depender completamente del fabricante. Este enfoque empodera a los consumidores, alinea sus intereses con los de los fabricantes y, en última instancia, mejora la seguridad de IoT. La verdadera propiedad también permite a los consumidores tomar decisiones sobre la configuración de privacidad de sus dispositivos, reduciendo su dependencia de los fabricantes para las actualizaciones y limitando las oportunidades de monetización de datos.

Reflexiones finales

La entrevista concluyó con un debate sobre el futuro de la seguridad de IoT. Richardson señaló que las medidas regulatorias, los estándares mejorados y la educación de los usuarios son componentes necesarios para abordar eficazmente las vulnerabilidades de seguridad de IoT. Reiteró que se requeriría el esfuerzo colaborativo de las partes interesadas, incluidos gobiernos, fabricantes y consumidores, para crear un panorama de IoT más seguro. Las medidas regulatorias responsabilizan a los fabricantes, mientras que los estándares proporcionan una base para las actualizaciones seguras y la gestión de dispositivos.

Richardson también discutió el papel de la educación en el fomento de una base de consumidores conscientes de la seguridad. Muchos usuarios desconocen las amenazas potenciales que representan las vulnerabilidades no parcheadas en sus dispositivos IoT. Al crear conciencia y proporcionar orientación clara, los fabricantes y los reguladores pueden ayudar a cerrar esta brecha de conocimiento. La educación del usuario es esencial para reducir los riesgos de seguridad, ya que los consumidores informados son más propensos a tomar medidas proactivas para proteger sus dispositivos.