Gradiant aposta pola seguridade IoT dende o deseño para crear un ciberespazo mellor protexido

Incidencia dos ciberataques masivos levados a cabo en Estados Unidos o pasado mes de outubro

O Centro Tecnolóxico Gradiant vén facer un repaso polos principais riscos potenciais de ciberseguridade aos que nos enfrontamos e nos enfrontaremos a curto e medio prazo, riscos que, sinala, van máis alá de simples incidencias ou problemas de doada solución. Segundo fai saber o centro, nun escenario con milleiros e máis milleiros de dispositivos conectados, “moitos dos cales realizan funcións críticas ou extremadamente importantes para as vidas dos cidadáns”, un ataque masivo coordinado “podería ter consecuencias catastróficas”. Neste senso, Gradiant lembra que na actualidade existe unha cantidade importante de analistas que vinculan os ataques a dispositivos IoT (Internet das Cousas) con “terríbeis consecuencias potenciais no mundo físico”. Tendo en conta estes perigos e co gallo de achegar tecnoloxías que contribúan a un ciberespazo mellor protexido á par que máis accesíbel e universal, Gradiant estase a converter no gran referente tecnolóxico estatal en materia de seguridade: unha fonte inesgotábel de recursos avanzados. Cousas como a adquisición recente da tecnoloxía SHADOW por parte de ElevenPaths (Telefónica) non fan máis que referendar o devandito.
Para expoñer nos seus detalles este escenario de risco potencial, o centro tecnolóxico galego lembra casos como os recentes ataques de denegación de servizo (DDoS) a gran escala que se produciron o pasado mes de outubro: por unha banda o dirixido á páxina do investigador Brian Krebs e, despois, varias ondas de ataques a DYM, que provocaron o “enorme apagamento” de servizos tan populares como Twitter, PayPal, Etsy, Github, Spotify, Shopify, Netflix e incluso PlayStation Network. Estes ataques, que foron obxecto xa de varias investigacións e análises por parte de expertos convocados polo Congreso dos Estados Unidos, serviron entre outras cousas para lembrar ás administracións, ás empresas e aos usuarios TIC en xeral que xa non está en xogo unicamente a seguridade da nosa identidade ou de certos datos persoais, en palabras de Gradiant “están en xogo todos os datos de consumo e comportamento”.
Amais de todo o mencionado, o centro galego fai fincapé nunha realidade actual incontestábel: arestora as medidas de seguridade de fabricantes, integradores e usuarios “reveláronse insuficientes, cando non escasamente axeitadas en moitos casos”. Para Gradiant, as causas “son múltiples”, e debidas principalmente a varios factores: por unha banda para os fabricantes o ciclo de deseño, produción e avaliación dun produto é cada vez máis breve, o que en moitas ocasións ocasionou problemas de calidade e seguridade; pola outra, “existe unha grave carencia de especialistas correctamente formados en seguridade para redes e dispositivos IoT, tecnoloxías que se enfrontan, ademais, a problemas de estándares e compatibilidade que provocan que medidas de seguridade aplicábeis a uns aparellos non sirvan para outros”.
Para Gradiant, faise máis necesario ca nunca “apostar pola innovación en IoT dende un punto de vista holístico, xa desde a fase de deseño dun produto, servizo ou solución”. Cómpre, ademais, traballarmos para garantir a seguridade dos dispositivos IoT. En palabras de Juan González, responsábel de Seguridade e Privacidade de Gradiant, “no desenvolvemento de dispositivos deben primar prácticas coñecidas como Security by Design”. Ou sexa, os requisitos de seguridade deben formar parte do desenvolvemento desde a fase de deseño. Segundo engade, “neste apartado de traballo deberán establecerse os controis de seguridade que permitan a prevención, a detección, a resposta e, en caso de fallo, a mitigación das consecuencias; por exemplo para evitar ataques de DDoS poderíase limitar, desde o deseño, o ancho de banda máximo que pode chegar a consumir un dispositivo”.
Intelixencia para innovar a Seguridade IoT
O centro galego tamén lembra que “é fundamental” adoptar boas prácticas que permitan previr, detectar e responder de maneira continua a potenciais ciberameazas. Este labor exhaustivo de seguimento é aplicábel a múltiples exemplos de malware, por exemplo a ameazas como o botnet Mirai, cuxo código (o código preciso para levalo a cabo) ceibouse varias semanas antes. “É necesario o desenvolvemento de ferramentas automatizadas que permitan extraer datos das fontes axeitadas, como foros sobre hacking, procesar eses datos e xerar intelixencia que permita detectar ciberameazas”, engade o centro tecnolóxico, que explica que “para desenvolver estas ferramentas será imprescindíbel incidir en tecnoloxías clave, como as de análises de datos ou o Procesado de Linguaxe Natural (PLN), o Machine Learning ou o Deep Learning”.
Gradiant, referente
Como recordaremos, Gradiant está presente en foros e organismos de influencia no ámbito da seguridade e a ciberseguridade a nivel internacional, como ECSO (European Cyber Security Organisation) en calidade de membro fundador; ou RENIC (Rede de Excelencia Nacional de Innovación en Ciber Seguridade).
O percorrido do centro tecnolóxico galego en seguridade está avalado por poñer o desenvolvemento dun gran número de solucións seguras, aplicando os principios de Security & Privacy by Design. Solucións como as baseadas no procesado de datos en dominio cifrado (que permiten realizar análise mentres preservan a privacidade e identidade dos usuarios) que garanten o procesado de datos confidenciais de maneira confiábel. Ou, tamén, solucións baseadas en cifrado homomórfico e módulos de seguride hardware (HSMs), que permiten realizar operacións na nube con datos cifrados.
Asemade, Gradiant tamén aplicou a paradigma do IoT (Internet das Cousas) seguro en escenarios reais, nos que a seguridade xoga un papel decisivo. Nesta liña, desenvolve tecnoloxías biométricas baseadas en recoñecemento facial, de sinatura ou de voz. Ademais, o centro traballa en tecnoloxías embarcadas en drons e UAV para evitar, por exemplo, o hackeo dos sinais GPS que guían os vehículos autónomos ou tripulados de maneira remota. Por outra banda, Gradiant tamén recorda que o procesado e a análise intelixente de vídeo que desenvolve permiten “automatizar e simplificar o seguimento e vixilancia en contornas complexas (por exemplo, vídeo vixilancia ou vídeo capturado en tempo real por drons ou UAV).