Un sistema de ciberseguridad analiza los dispositivos del internet de las cosas
El IdC hace referencia a objetos comunes que no son ordenadores, teléfonos y tabletas y que tienen conexión a internet. Entre muchos otros, estos suelen incluir electrodomésticos, dispositivos médicos y medidores de servicios públicos. Las conexiones, aunque útiles, están creadas utilizando una gran variedad de tecnologías de comunicación para un sin fin de propósitos, por lo que los niveles de seguridad varían enormemente. Muchas conexiones son extremadamente inseguras y vulnerables al pirateo informático, y los ciberataques ya han acarreado graves consecuencias. El proyecto SecloT, financiado con fondos europeos, ayudó a cerrar la brecha de seguridad. Los expertos en seguridad del IdC son relativamente escasos, mientras que la demanda de consultas sobre seguridad del IdC va en aumento. Así, el equipo del proyecto desarrolló un plan para un sistema experto de ciberseguridad automatizado destinado a las empresas de fabricación de dispositivos del IdC. En última instancia, el sistema permitirá a los fabricantes evaluar la vulnerabilidad de sus productos y realizar las mejoras pertinentes. Prueba de seguridad automatizada Olga Pavlovsky, responsable del proyecto, explica: «Nuestro primer objetivo era comprender la complejidad de las tecnologías del IdC existentes. A pesar de que la mayoría de los dispositivos del IdC son relativamente baratos, se tratan de máquinas complejas construidas en torno a varios módulos de “hardware” y “software”». Los investigadores llevaron a cabo pruebas de seguridad en un gran número de dispositivos a fin de determinar la complejidad. Esto brindó una metodología universal para las pruebas de vulnerabilidad que, además, constituyó un paso hacia el análisis automatizado de vulnerabilidades. El análisis de vulnerabilidades consiste en que un «software» especial (escáneres de seguridad) evalúe las defensas de un dispositivo de interés. Este proceso requiere mucho tiempo, pero también es rutinario y, por lo tanto, susceptible de ser automatizado. La automatización de SecloT permite el uso simultáneo de varios escáneres de seguridad. Interfaz fácil Una interfaz fácil de usar permitirá que los desarrolladores de «software», expertos o no en seguridad, lleven a cabo un análisis de vulnerabilidades. El «software» sugerirá determinados tipos de análisis, que el usuario puede aceptar o anular. El análisis examina redes, sistemas y otros códigos de «hardware» y «software» que, a menudo, constituyen una fuente primaria de vulnerabilidad. La interfaz diseñada será fácil de usar, al tiempo que los múltiples escáneres de seguridad incorporados detectarán vulnerabilidades de código que, posiblemente, escaparían al ojo humano. El sistema del proyecto presentará los resultados del análisis como un informe de fácil lectura que recomienda formas de solucionar cualquier problema de seguridad detectado. La simplicidad del sistema también permitirá a los desarrolladores ejecutar análisis de vulnerabilidades tan a menudo como sea necesario durante el desarrollo y no al final, como era la norma hasta hora. Los problemas de seguridad detectados al principio del proceso son más fáciles de resolver. Pavlovsky señala: «Todo esto significa que los expertos podrán dedicar más tiempo a solucionar las vulnerabilidades, lo que reducirá el número de problemas presentes en los dispositivos y el “software” que llegan a los usuarios finales». A continuación, el equipo espera mejorar el diseño. En particular, actualmente el sistema automatiza el análisis de vulnerabilidades en las capas de seguridad cuatro a siete; las capas uno a tres se evaluaban manualmente. El equipo se propone automatizar las pruebas en más capas. Esta y otras actualizaciones previstas permitirán que el «software» pueda hacer frente a un número aún mayor de problemas de seguridad del IdC y detectar más vulnerabilidades. A escala mundial, se espera que el mercado del IdC alcance casi los 10 000 millones de dólares estadounidenses en 2025. Dado que el proyecto aún está definiendo la mejor aplicación para el sistema, los investigadores se muestran reacios a hacer previsiones de mercado. No obstante, incluso una pequeña parte de ese mercado sería muy lucrativo para las pymes europeas.
Palabras clave
SecloT, seguridad, IdC, análisis de vulnerabilidades, escáner de seguridad, internet de las cosas, desarrollador de «software»