Los dispositivos IoT se están desplegando en todo el mundo en cifras récord. En 2025 habrá 41.600 millones de dispositivos conectados, que generarán 79,4 zetabytes de datos, según estimaciones de IDC. Debido a este crecimiento, surge la necesidad de un control de acceso IoT.
Con muchos de estos dispositivos ejecutando componentes de infraestructura críticos o recopilando, accediendo y transfiriendo información empresarial o personal sensible, la autenticación y el control de acceso de IoT se han vuelto aún más críticos.
La autenticación de dispositivos IoT es clave para garantizar que se confía en los dispositivos conectados tal y como son. Así, el control de acceso puede vigilar a qué recursos se puede acceder y utilizar y en qué contexto para minimizar el riesgo de acciones no autorizadas.
Los retos del control de acceso IoT
Cuando se trata de implantar mecanismos de autenticación y control de acceso en IoT, hay muchos aspectos que complican la tarea. Esto se debe a que la mayoría de los dispositivos tienen una capacidad de procesamiento, almacenamiento, ancho de banda y energía limitados.
La mayoría de las técnicas de autenticación y autorización heredadas son demasiado complejas para ejecutarse en dispositivos IoT con recursos limitados debido a la sobrecarga de comunicación de los protocolos de autenticación habituales.
Otro problema es que a veces los dispositivos se despliegan en zonas donde puede resultar imposible o poco práctico proporcionar seguridad física.
También hay que tener en cuenta una gama increíblemente amplia de pilas de hardware y software en uso. Esto da lugar a una multitud de dispositivos que se comunican a través de diversas normas y protocolos, a diferencia de los entornos informáticos más tradicionales.
Por ejemplo, los investigadores identificaron al menos 84 mecanismos de autenticación diferentes en entornos IoT que fueron propuestos o puestos en producción en 2019.
La falta de normas y modelos de control de acceso específicos para el IoT hace más compleja la tarea de mantener seguros los dispositivos y las redes.
Enfoques para mejorar el control de acceso IoT
Cualquier modelo de gestión de acceso centralizado que intente gestionar miles de dispositivos IoT desplegados por todas partes tendrá sus limitaciones, ningún enfoque será adecuado para todos los escenarios.
Los proveedores que buscan desarrollar servicios de control de acceso IoT descentralizados están examinando cómo la tecnología blockchain puede eliminar los problemas causados por los sistemas centralizados.
Los administradores de redes y los equipos de seguridad deben estar al tanto de los últimos avances, ya que podrían dar lugar a ofertas de servicios realmente escalables en un futuro próximo.
Hasta entonces, cada dispositivo IoT debe tener una identidad única que pueda autenticarse cuando el dispositivo intente conectarse a una pasarela o red central.
Algunos dispositivos se identifican sólo por su dirección IP o MAC (control de acceso a medios), mientras que otros pueden tener certificados instalados.
Pero una forma muy superior de identificar cualquier tipo de dispositivo es mediante el aprendizaje automático.
Esto puede hacerse utilizando características estáticas, así como análisis de comportamiento como API, solicitudes de servicio y base de datos para garantizar mejor la identidad del dispositivo.
El uso combinado de identidad y comportamiento para la autenticación también ofrece la posibilidad de adaptar constantemente las decisiones de control de acceso en función del contexto, incluso para dispositivos con recursos limitados.
Este modelo de control de acceso IoT basado en atributos evalúa las solicitudes de acceso en función de una serie de atributos que categorizan el dispositivo, el recurso, la acción y el contexto. También proporciona capacidades de control de acceso más dinámicas.
La aprobación de acciones y solicitudes puede actualizarse en tiempo real, en función de los cambios en los atributos contextuales.
Sin embargo, requiere que los administradores elijan y definan un conjunto de atributos y variables para construir un conjunto completo de reglas y políticas de acceso.
Cómo el control de acceso IoT refuerza una estrategia de seguridad
Una sólida tecnología de autenticación y control de acceso al IoT puede ayudar a prevenir los ataques. Pero es sólo un aspecto importante de una estrategia de seguridad más amplia e integrada que puede detectar y responder a eventos sospechosos basados en IoT.
Para que cualquier estrategia de autenticación y control de acceso funcione, los dispositivos IoT deben ser visibles. Por lo tanto, es necesario establecer procedimientos críticos de inventario y gestión del ciclo de vida de los dispositivos, así como la capacidad de escanear los dispositivos IoT en tiempo real.
Una vez que un dispositivo IoT se identifica y autentica correctamente, debe asignarse a un segmento de red restringido. Allí, estará aislada de la red de producción principal, que cuenta con controles de seguridad y supervisión configurados específicamente para proteger frente a las amenazas del IoT y los posibles vectores de ataque.
De este modo, si se señala que un dispositivo concreto está en peligro, se limita la superficie expuesta y se mantiene bajo control el movimiento lateral.
Estas medidas permiten a los administradores identificar y aislar los nodos comprometidos, así como actualizar los dispositivos con parches y correcciones de seguridad.
El control de acceso IoT está cambiando su uso y la forma en que debe operar la seguridad informática. Los proveedores de seguridad siguen intentando ponerse al día con el tamaño y la complejidad de los entornos IoT.
Lo ideal sería que la próxima generación de ofertas de servicios respondiera mejor a las exigencias de la gestión de identidades y accesos de IoT.
Acerca de Eval
Eval lleva más de 18 años desarrollando proyectos en los segmentos financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.
Las soluciones y servicios de Eval cumplen las normas reglamentarias más estrictas para organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.
Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.
Eval, la seguridad es un valor.
