"El Internet de las Cosas es casi como un tsunami", según una experta en ciberseguridad de Telefónica Tech que explica por qué es vital proteger ya los dispositivos conectados

Telefónica apuesta por la ciberseguridad. Lo volvió a confirmar el presidente del grupo de telecomunicaciones, José María Álvarez-Pallete, en la reciente presentación de sus cuentas de resultados del primer semestre. También lo demuestran los hechos: Telefónica quiere tener lista este mes su nueva filial, Telefónica Cybersecurity Tech (TCT).

El lanzamiento de una nueva plataforma de bug bounty privada para los clientes de ElevenPaths, las conclusiones de las investigaciones de sus expertos en el ámbito de las ciberamenazas o, directamente, sus recientes inversiones, ponen de manifiesto cómo la compañía española se está posicionando en este negocio.

Un sector cuyo futuro pasa ineludiblemente por nuevas tecnologías como el 5G y el consecuente boom del Internet de las Cosas (IoT, por sus siglas en inglés).

Leer más: Así es el sector de las 'bug bounties' que Telefónica va a impulsar en España: las marcas mejoran su seguridad y los hackers pueden convertirse en millonarios

ElevenPaths, la división de ciberseguridad de Telefónica, ya cuenta con un área dedicada al desarrollo de soluciones de defensa y seguridad informática para proteger el IoT en la industria.

Carmen Torrano es experta en seguridad IoT de ElevenPaths y, en una entrevista con Business Insider España, profundiza en los desafíos de un sector que desdibuja los perímetros de seguridad con los que contaban hasta ahora las empresas.

Qué se defiende cuando se protege el IoT de una empresa

Torrano forma parte de una unidad en la que ElevenPaths trabaja y desarrolla soluciones de ciberseguridad para IoT, IIoT —IoT industrial— y para OT —entornos operativos—. Pero, ¿qué es cada uno?

El IoT es "una evolución tecnológica", detalla la investigadora de Telefónica. Hasta ahora, las empresas segurizaban sus entornos TI —de tecnologías de la información—. En otras palabras: servidores, routers, redes: "Todo estaba dentro de un perímetro controlado".

"Luego llegó el cloud y todo empieza a virtualizarse, a subirse a la nube", detalla Torrano. "Todo ello acarrea una serie de riesgos adicionales porque las características de todo el sistema cambian".

Leer más: Barbara IoT, la startup española que quiere proteger con su sistema operativo los dispositivos conectados de las fábricas de todo el mundo

Y ahora llega el IoT. "Es casi como un tsunami", ríe la experta. "Son dispositivos desasistidos". Hasta ahora, a una red empresarial se conectaban ordenadores, teléfonos o servidores. Con el IoT y el IoT industrial también se conectarán a la red todo tipo de dispositivos: sensores, bombillas, cámaras...

Torrano se refiere a que son dispositivos "desasistidos" porque, al contrario que con un ordenador, este tipo de dispositivos no necesitan a un usuario constantemente interactuando con ellos: "Suelen ser dispositivos muy pequeños, con muy pocos recursos, lo que desde un punto de vista tecnológico nos limita mucho y nos hace enfrentarnos a desafíos muy potentes".

Además, sobre estos dispositivos es necesario "optimizar muchísimo el uso de las baterías. Son dispositivos que tienen que estar trabajando sobre campo entre 15 o 20 años. No es un móvil que cada 2 o cada 4 años se cambia. Esto acarrea también problemas sobre cómo actualizar estos dispositivos".

Por qué se diferencia el IoT del IoT industrial y qué es un "entorno operativo" en la empresa

ElevenPaths y su unidad de seguridad IoT no desdeñan la necesidad de seguir segurizando tanto las redes TI como las OT. El OT son los "entornos operacionales" de las empresas. Muchas fábricas tienen maquinaria de hasta 40 años de edad y ahora esta tecnología se está conectando a la red.

Mientras que un dispositivo IoT está preparado para conectarse a internet, los entornos operacionales de una fábrica son un aspecto muy sensible. Como reconoce la propia Torrano a Business Insider España, una factoría no puede permitirse apagar su línea de producción para actualizar los programas de una máquina.

"El tema de la disponibilidad es algo fundamental", explica. "Un servidor se puede caer, pero en el momento en el que se para una máquina durante un minuto, las pérdidas pueden llegar a ser millonarias", apunta.

Simplificando mucho: no, una fábrica no se puede permitir apagar y reiniciar la maquinaria para actualizar el "antivirus". "Eso impacta muchas veces en cómo adoptamos medidas de seguridad". Hay veces, como cuando la maquinaria es antigua, que "reemplazar una pieza ya no es factible. ¿Cómo se protege algo así?".

Leer más: Alias Robotics crea una 'vacuna' para robots que evitará que los hackers pongan en jaque fábricas de todo el mundo

ElevenPaths tiene "mecanismos para hacerlo". De ahí que esta unidad proteja entornos IIoT, IoT y OT. Además, mientras que un dispositivo IoT puede ser doméstico —un robot de cocina que descarga recetas, un robot aspiradora, un altavoz asistente—, el IoT industrial tiene algunas capas de profundidad más.

"Yo pertenezco a una unidad de ElevenPaths que abarca la ciberseguridad IoT, OT y IIoT", explica Torrano. "Lo vemos cada vez más como algo transversal, porque no son cosas aisladas".

"Una empresa lo que quiere es ciberseurizar sus dispositivos y no hacen esas distinciones. Necesitan proteger sus infraestructuras, sus oficinas... Hace falta integrarlo todo de una forma homogeneizada".

El IoT, un futuro que ya está aquí y que se debe segurizar ya

El IoT ahora "se está masificando" y va a ser algo "que llegue a todo el mundo; hasta a la abuelita a la que no le van estos temas". Torrano recuerda que, con el despliegue de pilotos de 5G en toda España, ya se está experimentando con el desarrollo de más dispositivos IoT en redes corporativas.

"Su dimensionalidad es uno de los grandes retos porque nunca nos habíamos enfrentado a un problema de esta escala en un mundo, el de la ciberseguridad, en el que protegíamos servidores, máquinas, móviles... El IoT va a abarcarlo todo", recuerda.

"Desde los smartwatches que llevamos a dispositivos médicos en hospitales. Desde el reloj que te pones hasta el semáforo por el que cruzas".

Por eso, Torrano habla de la responsabilidad que sienten en ElevenPaths: "Tenemos un impacto directo en la sociedad. Debemos hacerlo muy bien porque tenemos mucho entre manos".

Además, habrá tantísimos dispositivos IoT que será muy difícil controlarlos: desdibujan los perímetros clásicos de seguridad. Es muy difícil que un experto en ciberseguridad las tenga todas consigo para garantizar que nadie se va a acercar "físicamente" a un dispositivo y no lo va a tocar, manipular o hacer inseguro.

Leer más: 10 años de Stuxnet, el primer ciberataque al mundo físico: por qué el IoT industrial será el nuevo frente de la guerra digital y las compañías deben anticiparse a esta amenaza

El IoT supone una evolución tecnológica tal que la pregunta que muchos usuarios podrían hacerse es por qué los fabricantes no han contado con la necesidad de proteger sus dispositivos desde el desarrollo.

"Este es un tema interesante. Nosotros abogamos por la seguridad desde el diseño. Pero depende de muchos factores", cuenta Torrano.

"No es lo mismo tener que ponerle una contraseña a 10 dispositivos que tener que ponérsela a millones. Industrializar un proceso de ese tipo es complejo y requiere mucho tiempo e inversión". Además, en el caso de que una empresa fabrique un dispositivo de muy bajo coste, muchas veces no le compensa segurizarlo.

La responsabilidad también es del usuario: "Los usuarios también tenemos que aprender a usar la tecnología". En cualquier caso, la experta de ElevenPaths reseña que ya hay casos de regulación legal en países como EEUU con la que se exige que los fabricantes segurizen sus dispositivos.

¿Será suficiente?

Las soluciones de Telefónica Cybersecurity Tech para defender el IoT

Carmen Torrano entiende que no: la ciberseguridad IoT depende de muchos factores. "Ya no es solo el fabricante; es quién ha hecho el chipset del dispositivo, qué modelo de comunicaciones usa, qué protocolos o conectividad se emplean, qué plataformas se utilizan".

Por esta razón Telefónica Cybersecurity Tech cuenta con una oferta de soluciones de ciberseguridad IoT, IIoT y OT que abarcan todos los componentes de este nuevo sector. Entre ellas, la autenticación de dispositivos para evitar suplantaciones o sistemas de monitorización para evitar comportamientos sospechosos en el aparato.

Además, TCT también ofrece servicios de pentesting y hacking ético y, en definitiva, un sistema de extremo a extremo: "Tenemos una visión del dispositivo, de las plataformas y también de la red, y somos expertos en todos nuestros ámbitos".

"Un entorno industrial puede tener redes muy complejas, pero es necesario segmentarlas para que un ataque no pueda afectar a todas las áreas".

Leer más: Estos hackers españoles están instalando una red de balizas digitales para estudiar cómo es la ciberguerra que se está librando de forma invisible a tus ojos

Por eso, el valor que Telefónica proporciona como compañía de telecomunicaciones es ese: la capacidad de diseñar sistemas de redes fragmentadas para garantizar la máxima seguridad a sus clientes, explica la hacker de ElevenPaths.

Muchas de estas soluciones ya se están probando en laboratorios de la propia ElevenPaths y en proyectos piloto 5G como los recientemente aprobados por Red.es: "Tenemos proyectos enormes con mineras, con el sector automovilístico e incluso con el militar".

Los ataques a dispositivos IoT ya están teniendo lugar. Telefónica ha desarrollado un honeypot para recabar "inteligencia". Un honeypot es un programa informático que se hace pasar en la red como un dispositivo IoT vulnerable para recibir ataques.

Y Carmen Torrano cuenta que hay ataques dirigidos "con una sofisticación alucinante. Muchas veces son los más difíciles de parar. No son un bot cualquiera, sino que están elaborados de forma concienzuda".

"Esto ya está sucediendo", zanja.