Internet de las CosasLos dispositivos IoT están presentes en todo el mundo, ya sea en casa, en la oficina o simplemente en internet. Un dispositivo IoT es cualquier tipo de dispositivo que se conecta a una red para acceder a internet; por ejemplo, ordenadores, teléfonos móviles, algunos altavoces e incluso algunos enchufes se consideran dispositivos IoT. Hoy en día, incluso coches y aviones utilizan dispositivos IoT, lo que significa que si estos dispositivos son atacados por agentes de amenazas, podrían ser secuestrados o robados. Con el uso tan extendido de dispositivos IoT en nuestro mundo, autenticar y autorizar dispositivos IoT dentro de la red de su organización se ha vuelto vital. Permitir el acceso no autorizado a dispositivos IoT a su red puede provocar que los agentes de amenazas los aprovechen para realizar ataques de malware dentro de su organización.
Autenticación de IoT basada en software
Antes de hablar sobre formas específicas de otorgar autorización a los dispositivos IoT, primero deberíamos echar un vistazo a algunos de los métodos de autenticación generales basados en software disponibles para los dispositivos de Internet de las cosas.
- Autenticación unidireccionalCuando dos dispositivos intentan comunicarse, se puede usar la autenticación unidireccional para autenticar solo uno de ellos, en lugar de ambos. Esto es similar a cómo funciona una relación cliente-servidor, donde el cliente se autentica a sí mismo con el servidor, no al revés. Un ejemplo de autenticación unidireccional podría ser iniciar sesión en un servidor con un nombre de usuario y una contraseña.
- Autenticación bidireccionalSimilar a la autenticación unidireccional, la autenticación bidireccional es la autenticación mutua. Un ejemplo de autenticación bidireccional podría ser un protocolo de enlace SSL/TLS.
- Autenticación de tres víasLa autenticación tridireccional es otro método de autenticación utilizado. Esta autenticación utiliza un punto central, como un servidor, para autenticar ambos dispositivos que intentan comunicarse, tanto con el punto central como entre sí. Un ejemplo de comunicación tridireccional podría ser el uso de un servidor en el que ambos comunicadores confíen mutuamente.
- Autenticación distribuidaOtro método de autenticación utilizado con dispositivos IoT es la autenticación distribuida. Esta autenticación utiliza un sistema distribuido para autenticar a las dos partes que se comunican.
- Autenticación centralizadaLa autenticación centralizada es similar a la autenticación distribuida. En lugar de usar un sistema distribuido para autenticar a las partes, se utiliza un sistema de ubicación centralizado. Otra forma de autenticar dispositivos es uno de los métodos más comunes: la autenticación de dos factores. Al iniciar sesión en una red, el usuario puede usar un nombre de usuario y una contraseña, y usar la autenticación de dos factores. Esta autenticación puede consistir en verificar la identidad del usuario mediante el envío de un correo electrónico o un mensaje de texto, o escanear un código QR, autenticando así el dispositivo.
Estos son métodos de autenticación comúnmente utilizados en su mayor parte, pero los siguientes métodos de autorización basados en hardware se encuentran más comúnmente en organizaciones más grandes.
Métodos de autorización basados en hardware
Como mencioné anteriormente, los métodos de autorización basados en hardware son los más comunes en las organizaciones, ya que proporcionan el método más extendido y seguro para autenticar dispositivos IoT dentro de una red. Uno de estos métodos basados en hardware es el uso de Módulos de seguridad de hardwareLos módulos de seguridad de hardware, o HSM, se utilizan para almacenar de forma segura claves privadas de asimétrico Pares de claves. Un par de claves asimétrico tiene una clave pública y una privada vinculadas matemáticamente.
La clave privada, como su nombre indica, se mantiene privada, mientras que la clave pública puede ser vista por cualquier persona. En la autenticación de dispositivos IoT, los dispositivos dentro de una red tendrán un par de claves asimétricas y un certificado digital asociado a dicho par, conectado al dispositivo que se está autenticando. Si el certificado proporcionado al HSM contiene una clave pública vinculada a la clave privada almacenada en el HSM, se permite el acceso a la red. De lo contrario, se deniega el acceso.
Otro método, generalmente utilizado junto con los HSM, es el uso de una infraestructura de clave pública. Infraestructura de Clave Pública, o PKI, es una conexión de Autoridades de Certificación Proviene de una Autoridad de Certificación Raíz, que crea y distribuye certificados a dispositivos autorizados en una red. Estos certificados se pueden rastrear hasta la Autoridad de Certificación Raíz de confianza (CA raíz), lo que autoriza al dispositivo IoT conectado a dicho certificado a usar la red de la organización. La mayoría de las PKI integran un HSM con sus sistemas PKI para brindar el máximo nivel de seguridad. El HSM gestiona el almacenamiento de las claves privadas de los certificados generados por las CA. Si no se encuentra un certificado válido con una cadena de certificados válida que lo conecte a la CA raíz, el dispositivo no tendrá acceso a la red que utiliza la PKI.
Algunas organizaciones configuran un Entorno de Ejecución Confiable (TEE) para proteger su red y cualquier dato confidencial almacenado en ella. El TEE se configura dentro de un dispositivo que se conecta a una organización y utiliza cifrado de alto nivel para autorizar que dicho dispositivo se conecte y utilice la red de la organización. Muchas organizaciones utilizan el TEE porque no sobrecarga los sistemas del dispositivo, sino que utiliza una cantidad mínima de potencia de procesamiento para funcionar.
Un último método de autenticación que las organizaciones suelen utilizar es un Módulo de Plataforma de Confianza (TPM). Un Módulo de Plataforma de Confianza (TPM) es un microchip que se inserta en un dispositivo IoT y que completa el proceso de autenticación gracias a las claves de cifrado específicas del host que contiene. El chip y las claves que contiene no son accesibles desde el software, por lo que un atacante no podría aprovecharlo para acceder a una red. Al conectarse a una red mediante TPM, el chip proporciona una clave y la red la compara con las claves de host conocidas. Si coinciden con una de las claves de host conocidas, se concede el acceso.
Conclusión
Estas son solo algunas de las muchas soluciones disponibles para la autenticación de dispositivos IoT en las organizaciones. Elegir la solución adecuada es fundamental, ya que no todas las organizaciones tienen las mismas necesidades y deseos en cuanto a la seguridad de sus dispositivos IoT. Es fundamental mantener una conversación detallada con el equipo de ciberseguridad para determinar qué aspectos importantes debe abordar este método de autenticación y su alcance. Si su organización es grande y tiene poca información confidencial, un TPM probablemente no sea la solución ideal, ya que la seguridad no necesita ser tan estricta e instalar un chip en cada dispositivo de la red resultaría extremadamente costoso. Cabe destacar que muchos de estos sistemas requieren una gestión manual. Las plataformas de gestión de IoT pueden ser de gran ayuda, ya que permiten a una organización gestionar herramientas de seguridad y obtener informes de estado de cientos de dispositivos IoT a través de ese portal. Para cualquier consulta relacionada con PKI o HSM, visite nuestro sitio web. www.encryptionconsulting.com.
