Por qué es importante saber que una máquina es quién dice 'ser': no solo las protege a ellas, también protegen vidas, según expertos de Telefónica Tech

- Actualizado:
Un operario con un robot industrial.

Una máquina es todo aquello que no es un ser humano.

Pueden ser dispositivos físicos o software. Lo que pasa es que en estos tiempos "hemos llenado el mundo de máquinas", diceSergio de los Santos, director de Innovación y Laboratorio de Ciberseguridad y Cloud de Telefónica Tech. Y, cuando las empresas empiezan a hiperescalar a través de la nube y a controlar miles de máquinas, surgen nuevos problemas.

El problema es identificarlas y autenticarlas a todas, detalla David Prieto, responsable de los Servicios Globales de Identidad de Telefónica Tech.

Por eso, las compañías de ciberseguridad en todo el mundo se afanan por tratar de resolver el problema de la identidad de las máquinas. No se puede proteger aquello que no eres capaz de identificar. Y, ante el auge de los dispositivos IoT o de los entornos OT, o de la robótica en industria, el problema no hace más que agravarse.

La ciberseguridad en el entorno IoT se puede abordar desde múltiples enfoques. El "fallo de mercado" que hace que la seguridad informática se haya visto desde hace décadas como un juego entre el gato y el ratón (los especialistas y los ciberdelincuentes) continúa mientras pequeños dispositivos que se conectan a internet continúan desplegándose a lo largo y ancho del globo.

Uno de esos enfoques es el de que muchos de estos dispositivos carecen de seguridad por defecto. Es un problema de falta de concienciación por parte de los fabricantes y por parte de los usuarios finales.

En palabras del propio De los Santos, es como si volviéramos a estar en los años 90. "Me da la sensación de estar en los 90 con los ordenadores, cuando se hacían cosas que hoy son impensables. Entonces, servidores de bases de datos que usaba medio mundo para sus operaciones críticas estaban protegidos con una contraseña en blanco por defecto".

"Eso que hoy nos parece impensable está ocurriendo en el mundo IoT. Vamos con años de retraso. Los usuarios solo esperan que los dispositivos se conecten y funcionen. Hubiera sido interesante no volver a tropezar con las mismas piedras y no tener que recorrer el camino de pesadilla hasta llegar a un equilibrio en el que la seguridad tenga un peso específico en el IoT", incide Sergio de los Santos.

"No hemos llegado al punto de madurez"

"Me da la sensación de que estamos recorriendo ese camino en el que ya nos estamos encontrando dispositivos mal configurados por defecto, siempre en aras de que todo funcione bien de primeras, sin muchas complicaciones. De que esté seguro es algo de lo que te tienes que preocupar tú, ya que muchos fabricantes no lo van a hacer", lamenta. "No hemos llegado a ese punto de madurez".

Sergio de los Santos, director de Innovación y Laboratorio de Ciberseguridad y Cloud de Telefónica Tech.
Sergio de los Santos, director de Innovación y Laboratorio de Ciberseguridad y Cloud de Telefónica Tech.

Telefónica Tech

Hace más de 10 años se conoció el ejemplo de Stuxnet, el primer gusano que afectó al mundo físico. Las máquinas de la planta de enriquecimiento de uranio de una central nuclear iraní comenzaron a sobrecalentarse. El programa malicioso entró en los sistemas industriales de Siemens desde Windows y comenzó a alterar las métricas de la temperatura para que se mostrara una que era irreal.

Todo comenzó a fallar y se lindó la catástrofe.

Desde entonces, la industria de la seguridad informática hace una importante distinción entre safety y security. Ambos términos se pueden traducir como seguridad en español, pero el primero hace más hincapié en el hecho de que la máquina no se dañe ni provoque accidentes o catástrofes, mientras que security se refiere más a la protección ante actos ilícitos y premeditados.

Pero el mismo sector busca el equilibrio entre ambos términos. Una aproximación a la seguridad de dispositivos físicos (tanto safety como security) puede ser implementar una capa de firmware sobre el sistema del fabricante. Es lo que hacen startups como la española Barbara IoT, que distribuye su Barbara OS desde hace años.

Telefónica Tech, por su parte, también ofrece soluciones para proteger dispositivos físicos (IoT, OT) como garantizar la identidad de las máquinas. El proyecto se bautiza como IDoT. Una solución que también tiene otras muchas aplicaciones más allá de la ciberseguridad. Identificar una máquina, comprobar sus credenciales, es un primer paso esencial para garantizar su protección.

"El principal problema es que muchas máquinas no se comportan como un ordenador", recuerda Sergio de los Santos. "Son más inaccesibles, son dispositivos o programas que necesitan estar funcionando perfectamente durante mucho más tiempo y no te puedes permitir estar reiniciándolos y actualizándolos a menudo".

Un ejemplo. Garantizar la protección de un ordenador es tan sencillo como mantener al día sus actualizaciones de seguridad. Garantizar una red de ordenadores es tan sencillo como que su administrador se preocupe por mantener al tanto las actualizaciones en las herramientas de seguridad que tenga instaladas.

¿Qué se hace para garantizar la seguridad de docenas y docenas de sensores de temperatura en una industria que no se puede permitir tener esos dispositivos apagados ni un segundo? ¿Cómo lo haces, siendo además dispositivos que pueden ser inaccesibles o difíciles de gestionar a distancia?

El desafío de identificar y autenticar las máquinas para protegerlas

"Dentro de esos retos hay uno muy interesante que hemos venido tratando desde Telefónica Tech que es la identidad de las máquinas: cómo identificamos esos dispositivos para saber al menos que están haciendo lo que se supone que deben hacer, con la configuración de la que los hemos dotado", expone el especialista del Laboratorio de Innovación de Telefónica Tech.

La respuesta la da él mismo. "Tradicionalmente, eso se ha hecho mediante criptografía, que es la herramienta que más tenemos a mano para validar técnicamente las identidades. ¿Qué pasa? Que muchas veces hay que hacer que estos dispositivos se provisionen por sí mismos con certificados nuevos cuando caduquen".

"Además, tienen que tener la potencia de computación necesaria, porque a veces son dispositivos muy pequeños como para poder cifrar toda la información a tiempo". Quizá nadie pudo prever que una bombilla conectada a internet debía tener la mínima capacidad de computación para protegerse de las amenazas digitales.

El mayor oleoducto de EEUU paralizado o la red de aguas de una ciudad envenenada: por qué son tan críticos los ataques a industrias que usan dispositivos IoT, según un experto español

"Son retos que tradicionalmente ha tenido el IoT. Y ahora más que nunca, cuando hemos llenado el mundo de máquinas. Ponte ahora a certificar todas ellas y a que operen con una identidad adecuada". "Además, te tienes que coordinar con los grandes actores de la nube, con AWS, Azure o Google Cloud, para que te ofrezcan los certificados correspondientes".

David Prieto, responsable de los servicios globales de Identidad de Telefónica Tech.
David Prieto, responsable de los servicios globales de Identidad de Telefónica Tech.

Telefónica Tech

Sergio de los Santos enfatiza que "controlar todo ese parque de máquinas supone un problema", pero no garantizar su identidad tiene enormes riesgos. "Pueden falsear los datos; para eso debemos aplicar nuevos protocolos de provisión de identidad".

Se están cometiendo errores similares a los que sucedieron con los ordenadores conectándose a internet en los años 90, señala De los Santos. Su colega, David Prieto, también habla de una "segunda juventud; identificar a miles de máquinas de alguna manera es un enorme reto".

Para proteger, pero también para agilizar: otros casos de uso

Un enorme reto para repeler también múltiples amenazas. El año pasado se registró el caso de Colonial Pipelines. Un ataque de ransomware comprometió el suministro de combustible en parte de EEUU debido a que paralizó un oleoducto de esa firma.

Pero la identidad de las máquinas no solo se apoya en la necesidad de segurizar mejor los dispositivos conectados.

A finales del año pasado Telefónica Tech anunció una colaboración con Darwin para garantizar la identidad de los transportes autónomos, una suerte microbuses o lanzaderas que son capaces de transitar por zonas en las que circulan otros vehículos. Todo de forma totalmente autónoma, sin conductor y sin seguir patrones señalizados en la calzada.

Telefónica Tech ofrece a Darwin la posibilidad de segurizar mejor sus vehículos autónomos, que funcionan con conexiones 5G y satelitales. Segurizar esas comunicaciones es indispensable para que ningún actor malicioso pueda tomar el control del coche cuando hay pasajeros dentro.

Pero también permite agilizar algunos trámites indispensables. Estos vehículos cuentan con seguro, como es de esperar. Pero los pasajeros que se suban a bordo también deben contar con un seguro. En el futuro es improbable que los usuarios de estas lanzaderas tengan que rellenar un tedioso formulario solo para desplazarse unos kilómetros en este tipo de vehículos.

La solución que ha aportado Telefónica Tech es la posibilidad de que el usuario se identifique mediante su móvil y mediante criptografía y blockchain ambas máquinas se autenticarán. De esta manera, quedará todo guardado y seguro, incluido también el desplazamiento que ambos dispositivos han hecho para certificar que el viaje ha sido seguro.

6 clases de ciberamenazas a las que se enfrentan los dispositivos IoT que no estén bien protegidos en una industria, según la española Barbara IoT

En el peor de los casos, ante un eventual accidente, segurizar al usuario con sistemas que autentiquen al transporte también ayuda a saber dónde estaban los pasajeros en el momento de una improbable colisión.

Otra aproximación que Telefónica Tech ha hecho en Valencia es una firma con el Consorcio 2007 para garantizar la ciberseguridad en puertos náuticos. El puerto de La Marina en la capital valenciana tenía un problema: miles de litros de agua perdidos en fugas al año. Además, era imposible saber qué usuario usaba agua y luz de la infraestructura en sus atraques, ni en qué cantidad.

Telefónica Tech propuso como solución una especie de poste en la que los usuarios debían identificarse con su móvil, de la misma manera que el propio poste, clave para el suministro de estos recursos, también se identificaba. "Mediante una aplicación se quedaba unívocamente registrado que una persona había usado tanta agua o luz".

Otra funcionalidad sería que un técnico de mantenimiento de un aerogenerador subiera a comprobar sus métricas o si sufre alguna avería. Con el sistema de identificación de máquinas, el aerogenerador se podría comunicar con el móvil corporativo del empleado para comprobar quién, cuándo, por qué y para qué sube a hacer las comprobaciones.

Todo esto está en línea con los anhelos del Viejo Continente. La Unión Europea ya prepara una ley de ciberresiliencia con el foco puesto precisamente en la seguridad de los dispositivos conectados. "La regulación siempre te marca un mínimo: a partir de ahí hay que trabajar", matiza Sergio de los Santos. Por eso, apunta que "hay que hacerlo bien".

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.