Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido
Kastellet 30
2100 Copenhague Ø
Teléfono: + 45 3332 5580
Correo electrónico: cfcs@cfcs.dk
2
Machine Translated by Google
Introducción
La cantidad de dispositivos diferentes que pueden conectarse e intercambiar datos con otros dispositivos y sistemas a
través de Internet se ha disparado en los últimos años. Los dispositivos, también llamados Internet de las Cosas o
dispositivos IoT, pueden ser desde cargadores y termostatos hasta cámaras de vigilancia. Los dispositivos IoT
ofrecen una amplia gama de beneficios ya que pueden automatizar y agilizar tareas, pero deben estar asegurados
continuamente para evitar que se deterioren.
la ciberseguridad de la organización.
En la evaluación de amenazas Ciberamenaza contra dispositivos IoT (2023), el CFCS evalúa que la amenaza de
ciberataques contra dispositivos IoT es MUY ALTA. La amenaza se ve acentuada por el hecho de que los dispositivos
IoT en Dinamarca están continuamente expuestos a intentos de ciberataques, y que es muy probable que esto
continúe a largo plazo. Los dispositivos IoT suelen ser objetivos atractivos, ya que suelen estar menos protegidos que los
ordenadores normales y, por lo tanto, son más fáciles de piratear.
Particularmente vulnerables son los dispositivos IoT con vulnerabilidades conocidas que no están protegidos
adecuadamente (Centro de Seguridad Cibernética 2023a).
Por lo tanto, esta guía incluye recomendaciones concretas sobre cómo las organizaciones pueden proteger los
dispositivos de IoT de acuerdo con las mejores prácticas.
La guía es relevante para todas las organizaciones que tienen dispositivos IoT en el lugar de trabajo, independientemente
de si los dispositivos desempeñan un papel importante, como estaciones de carga para los coches de la empresa o
altavoces controlados por voz que reproducen música durante la pausa del almuerzo. La guía complementa los
principios básicos de seguridad cibernética de la guía del CFCS "Ciberdefensa que funciona".
(Centro de Seguridad Cibernética 2023b).
No todos los dispositivos de IoT ni todos los proveedores de IoT pueden cumplir con todas las recomendaciones
mencionadas en esta guía. Esto se debe a que muchos dispositivos de IoT tienen una estructura muy simple.
El propósito de la guía es presentar las mejores prácticas de protección y permitir a las organizaciones
tomar decisiones informadas sobre el uso de dispositivos IoT por parte de su organización, y evitar
unidades que no se pueden asegurar.
En función de su propia evaluación de riesgos, la organización debe decidir qué requisitos de seguridad impone a sus
dispositivos IoT y qué medidas debe implementar.
Los requisitos de seguridad de la organización pueden significar que la organización deba excluirse de algunos
dispositivos de IoT cuya funcionalidad no puede cumplir con los requisitos.
La evaluación de amenazas "Ciberamenaza contra dispositivos IoT" y esta guía, así como la guía de tarjetas IoT, se han
elaborado en diálogo con las empresas danesas y el Consejo para la Seguridad Digital en el marco del "Acuerdo sobre una
ciberdefensa reforzada", y el contenido tiene, entre otras cosas, ha sido discutido con miembros de la red de seguridad TI de
Dansk Erhverv. CFCS agradece al Consejo Empresarial Danés, al Consejo para la Seguridad Digital y a los
miembros de la red de seguridad de TI del Consejo Empresarial Danés por la cooperación con respecto a las
publicaciones.
3
Machine Translated by Google
Audiencia
La guía contiene recomendaciones para dos grupos objetivo: gestión empresarial y de TI, así como
operación e implementación. En cada capítulo, los iconos indican a quién van dirigidas las recomendaciones.
Operación e implementación
En esta guía, la operación e implementación es la parte de la organización responsable de la
adquisición, incluido el establecimiento de requisitos para los proveedores, la
configuración, la operación y la eliminación de dispositivos de IoT. También deben
proporcionar información a la gestión empresarial y de TI sobre cómo funciona la operación
e implementación de los dispositivos IoT en la organización.
IoT es un término colectivo para todos los dispositivos que están conectados a Internet con el fin de, p. control
remoto. Por ejemplo, una cámara que puede identificar automóviles según las matrículas y recibir pagos por
estacionamiento o una impresora que un proveedor de TI puede reparar rápidamente mediante acceso remoto.
En esta guía, el término no cubre ordenadores, servidores o teléfonos comunes, así como tecnologías operativas como,
por ejemplo, sistemas de control industriales.
4
Machine Translated by Google
Recomendaciones generales
La organización debe considerar la seguridad durante todo el ciclo de vida de los dispositivos IoT. Tanto durante
la compra, instalación y operación, como también durante la eliminación. Esta guía cubre todas las etapas del ciclo
de vida del dispositivo IoT. El siguiente resumen muestra las recomendaciones generales de la guía, así como qué
recomendaciones pertenecen a cada etapa. Cada organización debería utilizar su propia evaluación de riesgos al
proteger los dispositivos de IoT.
5
Machine Translated by Google
La organización debe tener una política de seguridad de IoT. El objetivo es garantizar una continuidad,
seguridad coherente y adecuada para el uso de dispositivos IoT. La política de IoT debe garantizar la uniformidad para que el
uso de IoT esté en línea con los objetivos y estrategias de la organización, la normativa en la materia y los requisitos
contractuales. La dirección es responsable de establecer el marco general para la seguridad de la organización, incluida la
seguridad de los dispositivos IoT. Es responsabilidad de la gestión de TI comprender las amenazas y vulnerabilidades al
usar dispositivos IoT, evaluar cuál es un nivel de riesgo aceptable al usar dispositivos IoT y, en base a esto, preparar una
política interna para el uso de IoT en la organización. También es responsabilidad de la gestión de TI que la política
La política debe garantizar que existan procesos implementados para garantizar que no haya dispositivos de IoT
que infrinjan, estén configurados incorrectamente o procesen datos incorrectamente. La política también debe prever la
determinación de quién debe evaluar y aprobar los nuevos dispositivos de IoT, así como
Asegurar que las unidades estén integradas y actualizadas en el sistema existente. requiere que
todos los grupos de empleados e individuos relevantes de la organización conocen sus funciones y áreas de
responsabilidad. También necesitan conocer su función y responsabilidades en una situación de emergencia en la que
estén involucrados dispositivos de IoT. Las funciones y responsabilidades deben describirse en la política de IoT.
La política debe enumerar los requisitos de la organización para los datos hacia y desde dispositivos IoT, incluidos
qué datos pueden recopilar las unidades. Algunos dispositivos de IoT recopilan datos confidenciales a los que sólo las
personas relevantes deberían tener acceso. Es tarea de la organización evaluar qué datos son sensibles en función de la
evaluación de riesgos de la organización y de cualquier obligación legal en el área. Para algunas organizaciones, los datos
de las cámaras de vigilancia de su plataforma de producción son datos confidenciales, mientras que la mayoría de las
organizaciones consideran que los datos personales son particularmente dignos de protección.
La organización también debe decidir dónde se pueden almacenar y transmitir los datos. Si los datos se transmiten sin
protección entre un dispositivo IoT y los sistemas subyacentes, por ejemplo en el proveedor, existe el riesgo de que
personas no autorizadas puedan acceder a ellos.
los datos.
Además, los datos de algunos dispositivos IoT pueden procesarse en países donde la organización no puede controlar quién
tiene acceso a sus datos. Las empresas de ciertos países están sujetas a una legislación que otorga a las autoridades
gubernamentales del país el poder de recopilar información de las empresas de ese país. La organización debe evaluar
si el procesamiento de datos en países con dicha legislación puede suponer un riesgo para la organización.
La organización debe tener control sobre si se aplican leyes, requisitos de autoridad o estándares especiales, lo que
puede tener un impacto en los requisitos de seguridad que la organización debe establecer para los dispositivos de IoT.
Por ejemplo, pueden existir requisitos especiales para las certificaciones de equipos que deben utilizarse en un área
comercial específica.
La política de IoT debe ser aprobada y documentada por la administración para verificar que sea consistente con la
dirección de la administración y los objetivos organizacionales.
6
Machine Translated by Google
La política de seguridad de IoT de la organización debe ser evaluada y reevaluada por la dirección al menos una vez al año o si
se producen cambios significativos.
7
Machine Translated by Google
La organización debe establecer requisitos de seguridad para los proveedores de dispositivos y sistemas de
IoT y garantizar continuamente que se cumplan. Al establecer requisitos para el proveedor y garantizar su
cumplimiento, la organización garantiza que el proveedor cumpla con los requisitos de seguridad de
la organización. Es crucial para la organización prevenir posibles violaciones de seguridad en el
propio sistema de la organización.
CFCS recomienda que el proveedor de IoT pueda documentar una variedad de información, incluido cuánto tiempo
el dispositivo de IoT recibe actualizaciones de seguridad, la política de pruebas de seguridad del proveedor
y qué datos recopila el proveedor. La información ayuda a que la organización conozca el nivel de seguridad del
proveedor y le permite elegir un proveedor que cumpla con los requisitos de seguridad de la organización.
La organización debe garantizar que los proveedores prueben la seguridad y actualicen sus
productos, incluidos hardware y software, cuando tengan conocimiento de vulnerabilidades.
La organización debe investigar si las pruebas de seguridad del proveedor son apropiadas en relación con las
necesidades de seguridad que tiene la organización, incluso en relación con la minuciosidad y la frecuencia
con la que el proveedor realiza pruebas de seguridad. La organización también debe examinar si el período de
tiempo que tiene el proveedor desde que reconoce una vulnerabilidad hasta que responde a ella es
apropiado en relación con la evaluación de riesgos de la organización.
Como regla general, los proveedores no deberían tener acceso ilimitado a los datos de la organización desde los
dispositivos IoT. Las excepciones deben requerir una necesidad empresarial aprobada por la dirección y deben
basarse en la evaluación de riesgos de la organización.
Al elegir dispositivos IoT, puede ser importante investigar si los dispositivos son fabricados por un fabricante
de equipos originales (OEM) y están incluidos en diferentes productos o
vendido bajo varias marcas. Si este es el caso, la misma tecnología y posibles vulnerabilidades se pueden
encontrar en diferentes dispositivos IoT (IPVM 2022).
CFCS recomienda que el proveedor de IoT pueda documentar el país de origen de los componentes del equipo,
así como la ubicación geográfica de la plataforma de almacenamiento en la que se almacenan los datos
fuera de la organización. Estos requisitos son relevantes para las organizaciones que han seleccionado en su
política de seguridad de IoT en qué países se pueden procesar sus datos. Los componentes deben considerarse
aquí tanto hardware como software, así como componentes que contienen firmware.
Además, la organización debe saber si un proveedor de un dispositivo IoT está cubierto por las regulaciones de
exportación de otros países. Esto puede afectar la capacidad del proveedor para entregar, respaldar y
actualizar el producto. El desafío puede surgir, por ejemplo, si un proveedor está registrado en la denominada
Lista de Entidades1 (BIS 2023) de la Oficina de Industria y Seguridad de EE. UU. (BIS). La lista de entidades es
una lista de restricciones comerciales de Estados Unidos contra, entre otras cosas, proveedores. Un proveedor
que esté en esta lista podría tener dispositivos IoT
1 La Lista de Entidades es una lista de restricciones comerciales de Estados Unidos contra las llamadas entidades, es decir. personas extranjeras, institutos
de investigación, gobiernos, organizaciones privadas, empresas y otros tipos de personas jurídicas. Las restricciones pueden significar que las empresas
estadounidenses no puedan exportar servicios o productos hacia o desde entidades que figuran en la Lista de Entidades.
8
Machine Translated by Google
con chips y software que se compraron en los EE. UU. antes de que entraran en vigor las restricciones comerciales
estadounidenses, pero que, debido a las restricciones comerciales, ya no es posible actualizarlos.
Es importante que la organización cuente con un proceso formalizado para manejar el diálogo con el proveedor
de dispositivos IoT, que incluya tanto el diálogo como la comunicación diaria.
así como la distribución de responsabilidades en caso de incidentes de seguridad y ante una situación de
emergencia. Un proceso formalizado ayuda a garantizar que tanto la organización como el proveedor
tengan claro qué obligaciones y acciones deben llevar a cabo cada una de las partes en caso de incidentes.
La organización debe seleccionar proveedores que puedan cumplir con los requisitos de seguridad establecidos
para el manejo de datos de dispositivos IoT en la política de IoT de la organización.
2 Las interfaces cubren tanto interfaces lógicas, por ejemplo VLAN, como interfaces físicas como USB.
9
Machine Translated by Google
La organización debe garantizar continuamente que se cumplan los requisitos de seguridad de la organización para
el proveedor.
Para más información sobre la gestión de proveedores, lea "Lineamientos de relación con proveedores"
(Centro de Ciberseguridad y Agencia Danesa para la Digitalización 2022).
10
Machine Translated by Google
Una vez que la organización haya adquirido un dispositivo de IoT, la organización debe reforzarlo. El
propósito de endurecer el dispositivo es reducir la superficie de ataque potencial del dispositivo. El
endurecimiento es un proceso que incluye una serie de medidas de seguridad, todas las
cuales contribuyen a que el dispositivo sea más robusto contra ataques. Puede, entre otras cosas, Se realiza
desactivando protocolos de red que no se deben utilizar, por ejemplo el protocolo telnet3 , que en algunos
casos puede utilizarse para llevar a cabo ciberataques contra dispositivos IoT.
Antes de realizar la compra, la organización debe haber decidido si es importante que el dispositivo IoT
esté conectado a Internet. Hace que el dispositivo sea mucho más seguro al no estar conectado
a Internet. CFCS recomienda que se apaguen todas las interfaces, protocolos, funciones, hardware y software
innecesarios. Esto también se aplica a los dispositivos que están fuera de línea.
Esta es una forma de reducir el riesgo de que se exploten las vulnerabilidades.
También es importante que solo se pueda acceder a las interfaces físicas si es necesario. Por ejemplo
una organización puede tener una cámara de vigilancia monitoreando un vestíbulo de acceso público.
Si la organización no quiere utilizar el puerto USB de la cámara deberá desactivarlo. Un puerto USB
abierto y no utilizado puede proporcionar acceso no deseado a la información de la organización.
red, por ejemplo insertando una llave USB infectada con malware en la cámara.
Una forma importante de proteger los dispositivos IoT es limitando la cantidad de información que se puede
obtener de los dispositivos. Existen herramientas que pueden escanear y recopilar metadatos de todos
los dispositivos conectados a Internet y que hacen que los datos estén disponibles públicamente en sitios web.
Estos metadatos de fácil acceso pueden revelar vulnerabilidades, como datos desactualizados.
versiones de software.
La organización debe ser consciente de si los protocolos que se ejecutan en los dispositivos IoT están
desactualizados. La razón de esto es que la tecnología de escaneo de red ha madurado lo suficiente como para
informar qué servicios tienen vulnerabilidades. Algunos servicios pueden aceptar el uso de TLS versión 1.0, 1.1 y
1.2. Aquí es imprescindible configurar el dispositivo IoT para que solo acepte como mínimo TLS 1.2. Al mismo
tiempo, la organización puede comprobar si el dispositivo es compatible con la versión 1.3 de TLS
en una actualización. Si la organización tiene dispositivos IoT que, por ejemplo, solo admiten TLS versión 1.0 o
conexión WiFi con WEP, entonces la organización debe evaluar si vale la pena correr el riesgo de conectar el
dispositivo a la red de la organización, o si el dispositivo IoT debe ser aislado o reemplazado.
El refuerzo de los dispositivos IoT lo puede realizar tanto la organización como el proveedor del
dispositivo, si a la organización no le es posible acceder, por ejemplo, al software o a los protocolos.
Los dispositivos de IoT pueden ser propiedad de una empresa externa, como una empresa de seguridad, que
instala y monitorea equipos de vigilancia en la ubicación de la organización. Si este es el caso, la organización
debe garantizar que el propietario externo de IoT cumpla con los requisitos de la organización para reforzar
los dispositivos de IoT.
• si el dispositivo IoT se conecta a través de WiFi, WEP y WPA están deshabilitados. Utilice WPA2 o WPA3
• las interfaces físicas solo ofrecen la funcionalidad prevista
• limitar la cantidad de información que se puede obtener del dispositivo cuando no está
conectado. Lo siguiente no debería estar disponible:
• Información sobre la configuración del dispositivo IoT
• Información sobre el sistema operativo del dispositivo IoT, incluido el kernel (kernel)4
• Información sobre la versión de software del dispositivo IoT
4 Un kernel es parte de un sistema operativo. Un kernel conecta el software con el hardware, asigna memoria, controla el
procesador y también controla la seguridad mediante, por ejemplo, el control de acceso.
12
Machine Translated by Google
La organización debe mantener una descripción completa de los dispositivos de IoT. Los dispositivos IoT
desatendidos representan un riesgo de seguridad para la organización ya que, sin el conocimiento de la
organización, pueden constituir superficies de ataque vulnerables si no se protegen adecuadamente. Por eso es
importante una documentación adecuada de los dispositivos.
La descripción general ayuda a garantizar que se designe un propietario para cada unidad, que las unidades estén
actualizadas y que haya una descripción general completa de todas las unidades. La visión general es relevante,
por ejemplo, cuando los dispositivos IoT deben eliminarse de forma segura, dependiendo de qué datos
la unidad ha procesado5 .
Una documentación insuficiente puede llevar a situaciones en las que la organización no sea consciente de que hay
un dispositivo IoT que ya no está actualizado, o en las que el fabricante hace tiempo que dejó de dar soporte al
dispositivo. Un dispositivo olvidado puede ser vulnerable a ataques y, por lo tanto, hacer posible que los piratas
informáticos obtengan acceso a los datos del dispositivo y a otras redes de la organización.
Si los dispositivos IoT son propiedad de una empresa externa, entonces la organización aún debe tener
la unidad documentada.
• fecha de instalación
• Dirección MAC del dispositivo IoT, si corresponde
• La ubicación física del dispositivo IoT.
• La ubicación lógica del dispositivo IoT en la red de la organización.
• firmware y otro software instalado en el dispositivo IoT, incluidas las versiones
• fecha de la última actualización
• el período de mantenimiento garantizado por el fabricante
• cualquier rutina de soporte interno o acuerdo de soporte con proveedores
• configuración de fábrica para el dispositivo y sistema individual
• qué datos procesa el dispositivo IoT
La organización debe garantizar que la documentación esté actualizada y sea precisa, y que se actualice al
menos una vez al año o en caso de cambios importantes.
5
El tratamiento puede ser la recogida, registro, organización, sistematización, almacenamiento, adaptación o modificación,
recuperación, búsqueda, utilización, transmisión por transmisión, difusión o cualquier otra forma de encomienda, cotejo o
combinación, restricción, supresión o destrucción.
13
Machine Translated by Google
La organización debe documentar los flujos de datos hacia y desde los sistemas de IoT, incluidos
qué otros sistemas, redes y accesos utilizan los dispositivos de IoT.
14
Machine Translated by Google
Control de acceso
Proteger el acceso a los dispositivos de IoT es importante y la organización debe tener control sobre el acceso. El control
de acceso garantiza que solo los empleados autorizados puedan acceder a los dispositivos y a los sistemas subyacentes.
Los dispositivos IoT con control de acceso débil pueden ser, por ejemplo, dispositivos IoT con contraseñas débiles. Las
contraseñas débiles suponen un gran riesgo, ya que los piratas informáticos podrán descifrarlas más fácilmente mediante
ataques de fuerza bruta. Un ataque de fuerza bruta es un ataque en el que el hacker
Intenta repetidamente adivinar una contraseña combinando todas las letras, números y caracteres posibles que se pueden
incluir en una contraseña. Un programa de computadora puede hacer esto muy rápidamente si la contraseña no es lo
suficientemente larga. Para que sea más difícil adivinar las contraseñas, recomienda
Contraseñas CFCS largas de al menos 15 caracteres, así como autenticación multifactor cuando sea posible (Centro de
Seguridad Cibernética 2023d). Si la organización desea proteger aún más las contraseñas contra ataques de fuerza bruta,
puede ventajosamente tener caracteres alfanuméricos, es decir, números, letras, caracteres gráficos y caracteres
especiales, en la contraseña.
Otra forma en que los piratas informáticos pueden obtener acceso a los dispositivos IoT es si el dispositivo
tiene credenciales de inicio de sesión predefinidas que no se pueden cambiar. De este modo, los piratas informáticos tienen
la oportunidad de buscar los datos de inicio de sesión en Internet y probar suerte con los inicios de sesión estándar.
Por ejemplo, muchos enrutadores domésticos tienen un inicio de sesión estándar donde tanto el nombre de usuario
como la contraseña son "admin". Por lo tanto, CFCS recomienda que las organizaciones no adquieran dispositivos
IoT que tengan información de inicio de sesión predefinida que no se pueda cambiar.
Además del acceso digital, la organización debe considerar cómo asegurar el acceso físico al dispositivo IoT. Esto es para
garantizar que solo las personas relevantes puedan acceder a las pantallas y los mecanismos de interacción. Los mecanismos
de visualización e interacción significan, respectivamente, una pantalla en la que se muestra información y mecanismos donde
un usuario puede interactuar con el dispositivo IoT. Pueden ser botones, pantallas táctiles o similares. Las pantallas y los
mecanismos de interacción se pueden proteger, por ejemplo, protegiéndolos físicamente o mediante protección con
contraseña. Para los dispositivos de IoT en los que muchos usuarios utilizan pantallas y mecanismos de interacción,
como los teléfonos de puerta, la organización debe garantizar que solo las personas relevantes puedan realizar cambios
administrativos a través de pantallas y mecanismos de interacción.
Si los dispositivos IoT son propiedad de una empresa externa, entonces la organización debe garantizar que el control de
acceso del dispositivo cumpla con los requisitos de control de acceso de la organización.
15
Machine Translated by Google
• los derechos de acceso a los dispositivos de IoT solo se otorgan a personas y sistemas relevantes,
cuyas funciones se describen en la política de seguridad de IoT
• Los dispositivos IoT no tienen información de inicio de sesión predefinida que no se pueda cambiar.
• Las contraseñas de los dispositivos IoT se cambian durante la configuración.
• la autenticación multifactor está activada siempre que sea posible
• los accesos de usuarios para dispositivos IoT tienen contraseñas únicas • los
accesos de usuarios no se comparten con otros usuarios • las
contraseñas para dispositivos IoT tienen al menos 15 caracteres
• cualquier acceso remoto a dispositivos IoT se realiza a través de una conexión segura
• Los dispositivos IoT y los sistemas subyacentes limitan el tiempo de intentos de inicio de sesión después de 3
intentos fallidos con los valores mínimos de 5, 15 y 30 minutos entre o después del número de intentos considerado
suficiente según las evaluaciones de riesgos
de las unidades
• Se bloquea el acceso a los dispositivos IoT después de 12 intentos fallidos o después de ese número
Pruebas que se consideran suficientes según la evaluación de riesgos de la organización.
• La organización debe considerar si debería haber protección física en los dispositivos de IoT, incluido el acceso a la red y
a los puertos USB, y de ser así, qué protección debería
ser
Para obtener más información sobre la seguridad de las contraseñas, lea la guía del CFCS sobre seguridad de las contraseñas (Centro
Segmentación de redes
En la medida de lo posible, la organización debería segmentar los dispositivos IoT del resto de la red
de la organización. Al segmentar las redes, la organización reduce la probabilidad de que un posible
ataque se propague, y la segmentación puede facilitar el seguimiento y la reacción ante desviaciones de
la imagen normal.
CFCS recomienda que la organización tenga su red mapeada y documentada, por ejemplo a través de
un diagrama de flujo de datos. Entre otras cosas, el mapeo ayuda a crear una visión general de qué
datos fluyen a través de qué sistemas. La descripción general facilita la separación de los dispositivos
y sistemas de IoT que procesan datos confidenciales de otros dispositivos y sistemas de IoT.
Ayuda a proteger los datos confidenciales.
17
Machine Translated by Google
Actualizaciones y gestión de
vulnerabilidades.
Todo el software, incluido el firmware, tendrá continuamente errores y vulnerabilidades que potencialmente abrirán la
puerta
a los piratas informáticos. La falta de actualizaciones en los dispositivos IoT los hace vulnerables. Por lo tanto,
la organización debe garantizar que los dispositivos de IoT estén actualizados y que se aborden las vulnerabilidades.
Las actualizaciones de los dispositivos IoT se pueden utilizar para corregir errores en el software del dispositivo o agregar
nuevas funciones. Sin embargo, el tipo de actualización más importante para una organización normalmente será
actualizaciones de seguridad. Se puede emitir una actualización de seguridad basada en un error encontrado en el código
fuente, un error en las bibliotecas de software subyacentes o una nueva versión del protocolo.
con el objetivo de proteger el dispositivo IoT, o si el propio proveedor ha recibido o descubierto un fallo de seguridad en un
dispositivo. La organización también debe garantizar que todo el firmware de los dispositivos IoT tenga la última versión.
Siempre que sea posible, CFCS recomienda que las organizaciones activen la actualización automática. Los dispositivos
IoT que se consideren adecuados para la actualización automática deben priorizar las actualizaciones de
seguridad, mientras que las actualizaciones de funciones son opcionales.
No todas las vulnerabilidades se pueden abordar de inmediato. Podría ser una vulnerabilidad tan complicada que
la actualización no llega lo suficientemente rápido. También puede ocurrir que haya un error en la construcción del
dispositivo IoT, lo que significa que la vulnerabilidad no se puede reparar. La organización
Por lo tanto, debe tener pautas sobre cuándo se debe instalar una actualización a más tardar y cuándo se debe
manejar una vulnerabilidad a más tardar. Las directrices deben describir un procedimiento sobre lo que debe hacer la
organización si la actualización no llega lo suficientemente rápido. Esto puede ser, por ejemplo, desconectando el
dispositivo de Internet hasta que llegue la actualización de seguridad, o quitando o reemplazando el dispositivo IoT.
Todos los empleados relevantes también deben conocer sus funciones y responsabilidades en una situación de
emergencia en la que se deben manejar las vulnerabilidades, de acuerdo con la política de seguridad de IoT
de la organización.
Para garantizar un manejo eficaz de las vulnerabilidades y actualizaciones de los dispositivos de IoT, es importante
que la organización tenga una ubicación central desde la cual se puedan recibir y actuar en consecuencia.
Podría ser, por ejemplo, un responsable de gestión de parches en operaciones de TI. Esto es para garantizar que
todos los dispositivos IoT se actualicen continuamente.
18
Machine Translated by Google
19
Machine Translated by Google
Registro y monitoreo
El monitoreo y registro de dispositivos y sistemas de IoT permite a la organización detectar, rastrear y
analizar anomalías y eventos en dispositivos y sistemas de IoT.
La monitorización es la capacidad que tiene la organización de observar la actividad en las redes,
sistemas y dispositivos IoT con el fin de detectar posibles incidentes de seguridad y actuar sobre ellos. El registro
es la capacidad de la organización para registrar eventos en redes, sistemas y dispositivos IoT para
luego investigar los eventos. La organización debe registrar estados, eventos y tráfico de red desde dispositivos
y sistemas de IoT.
CFCS a menudo observa que las organizaciones que han experimentado incidentes de TI no han mantenido
registros durante el tiempo suficiente. Registrar y monitorear registros de redes, sistemas y dispositivos
de IoT en la infraestructura de la organización es fundamental para su capacidad de detectar un ciberataque,
detenerlo y descubrir de manera efectiva la secuencia de eventos posteriores. El registro puede revelar
objetivos, métodos y técnicas de los hackers que utilizan. Los registros también pueden ayudar a
Descubra dónde ingresaron los piratas informáticos a la infraestructura de TI de la organización, lo que puede
permitirle a la organización remediar sus vulnerabilidades. La organización también puede ver si los piratas
informáticos se han movido por otras infraestructuras de la organización y qué acciones,
fue hecho. De esta forma, la organización también puede descubrir si existe un riesgo para más personas.
Incidentes de seguridad informática.
CFCS recomienda controlar si se superan los valores límite en las unidades de sensores o actuadores. Por
ejemplo, podrían ser sensores físicos que alertan sobre determinadas temperaturas. CFCS también
recomienda monitorear actividades anómalas. Actividad anómala es cualquier actividad que se desvía de la
imagen normal sin ningún motivo, por ejemplo, una entrada que normalmente recibe solo números pero donde
comienzan a aparecer letras.
Para obtener más información, lea la guía del CFCS sobre el registro (Centro de Seguridad Cibernética 2023e).
20
Machine Translated by Google
Criptografía y comunicación
en uso por dispositivos IoT
La organización debe cifrar las comunicaciones de los dispositivos IoT, ya que esto ayuda a garantizar
una protección adecuada y eficaz de los datos de la organización. Esto se aplica tanto al tráfico hacia y
desde las unidades, como correspondientemente a todos los demás servicios a través de los cuales se
puede acceder a las unidades. El cifrado protege los datos contra el acceso y la lectura no
autorizados. Esto es esencial para evitar la exposición de datos confidenciales.
Si los piratas informáticos tienen acceso a las claves de los mecanismos de autenticación, pueden obtener
un acceso aparentemente legítimo a los dispositivos de IoT. Por lo tanto, CFCS recomienda que se
utilicen claves únicas que estén protegidas con criptografía.
Los algoritmos criptográficos pueden quedar obsoletos con el tiempo, con lo que se puede romper el
cifrado. Por lo tanto, debe ser posible actualizar, por ejemplo, algoritmos criptográficos y
llaves.
• los mecanismos de autenticación deben utilizar claves únicas para cada dispositivo IoT individual
• las claves están protegidas con criptografía
• Las funciones criptográficas deben ser actualizables.
• Las funciones criptográficas utilizadas en dispositivos IoT utilizan implementaciones
estándar de bibliotecas criptográficas bien probadas.
• el tráfico se cifra y se autentica • Los
dispositivos IoT que no tienen suficiente cifrado se reemplazan o se aíslan completamente del
resto de la red
21
Machine Translated by Google
Los dispositivos IoT suelen tener un bajo consumo de energía porque normalmente no realizan el
procesamiento de datos por sí mismos. En cambio, los dispositivos de IoT transfieren principalmente datos de
sensores, por ejemplo, transmisiones de video desde la lente de la cámara o mediciones de temperatura del
termómetro, a un sistema que maneja el procesamiento. La organización debe llevar a cabo una evaluación
de riesgos de las consecuencias si otros empleados distintos de los aprobados pueden procesar o tener acceso a
esos datos. Es importante que cualquier procesador tenga el permiso del propietario del sistema para procesar datos
o tenga el permiso que la organización considere necesario sobre la base de su evaluación de riesgos.
La organización debe tener una visión completa de qué datos se almacenan y dónde
así como una descripción general de los flujos de datos en dispositivos y sistemas de IoT. El
almacenamiento y la transmisión de datos en un dispositivo IoT o sistema asociado debe realizarse de manera
responsable y debería ser fácil para la organización eliminar datos que ya no sean necesarios. Si este no es el caso, la
organización corre el riesgo de que los datos confidenciales se almacenen en sistemas que no son adecuados para este
tipo de manejo de datos y, por lo tanto, son más vulnerables.
La organización debe ser consciente de que puede verse obligada por ley a eliminar ciertos tipos de datos después
de un período determinado para cumplir con las normas sobre procesamiento y almacenamiento de datos.
Para preguntas sobre el RGPD, CFCS se remite a la Autoridad Danesa de Protección de Datos.
• puede dar cuenta de quién procesa qué datos en los dispositivos IoT de la organización
y sistemas, y de qué manera se lleva a cabo
• garantiza que se han obtenido los permisos necesarios para el procesamiento de datos en
Los dispositivos y sistemas de IoT de la organización.
• es capaz de eliminar datos seleccionados de los dispositivos y sistemas de IoT de la organización
22
Machine Translated by Google
Eliminación y reciclaje de
dispositivos de iot
Cuando los dispositivos de IoT ya no se utilizan, la organización debe decidir si los dispositivos deben destruirse o reciclarse
dentro o fuera de la organización. La organización debe decidir qué datos ha procesado el dispositivo y garantizar que la
eliminación solo se realice después de que los datos del dispositivo se hayan eliminado de forma segura. En caso de que
los datos no se eliminen de forma segura, la organización puede correr el riesgo de que personas no autorizadas
puedan acceder a datos de usos anteriores, que pueden ser recreados y copiados con diversas técnicas (forense).
En esta recomendación, CFCS divide los datos en dos categorías: no confidenciales y confidenciales.
La propia organización debe valorar qué datos son sensibles para ella. Algunas autoridades están legalmente obligadas a
clasificar la información según la circular de seguridad del Ministerio de Justicia.
Los datos se dividen en categorías, ya que los diferentes tipos de datos requieren un procesamiento diferente. Si un dispositivo
IoT ha recopilado y procesado datos no confidenciales, el dispositivo se puede reutilizar o eliminar reiniciándolo o eliminando
todos los datos. Si, por el contrario, el dispositivo tiene
manejó datos confidenciales, no debe dejar la organización intacta. Por el contrario, debe ser destruido. Si se van a
destruir los dispositivos de IoT, la organización debe garantizar que todos los datos se destruyan correctamente. Por ejemplo,
los campos magnéticos pueden destruir datos en tipos de almacenamiento magnético, pero no en transistores en unidades
de estado sólido. Si la organización quiere destruir el almacenamiento de datos, es importante que el dispositivo se rompa en
pedazos lo suficientemente pequeños como para garantizar que se destruyan incluso los chips flash más pequeños.
Si se restablece un dispositivo IoT, la organización debe tener en cuenta que restablecer el dispositivo (restablecimiento de
fábrica) normalmente solo elimina datos de la memoria local. Es decir, el reinicio no elimina datos en los sistemas ni en otros
dispositivos de almacenamiento conectados al dispositivo IoT, como llaves USB o tarjetas SD.
Las recomendaciones no se relacionan con el procesamiento de datos personales. Para preguntas sobre el RGPD, CFCS se
remite a la Autoridad Danesa de Protección de Datos.
La organización debe ser consciente de si está cubierta por requisitos especiales para la eliminación y el reciclaje
de dispositivos IoT, por ejemplo, requisitos especiales de destrucción para dispositivos que hayan procesado datos clasificados.
CFCS recomienda que la organización se asegure de que la eliminación y el reciclaje de los dispositivos
de IoT se produzcan después de la eliminación segura de los datos.
La organización debe ser consciente del tipo de datos que ha procesado el dispositivo IoT, ya que esto tiene implicaciones sobre
cómo se debe procesar el dispositivo. El tratamiento debe ser aprobado por la dirección. Si la organización limpia
un dispositivo, se deberá verificar posteriormente la limpieza.
23
Machine Translated by Google
• Los dispositivos que no se van a reutilizar deben limpiarse de datos en todos los almacenes de memoria. Esto se
puede hacer eliminando la clave de cifrado (borrado criptográfico) o sobrescribiendo los datos tres veces con
datos aleatorios. Si no es posible borrar o sobrescribir, el dispositivo debe destruirse
Para dispositivos IoT que han procesado datos confidenciales a los que otros no deberían tener acceso:
24
Machine Translated by Google
Lista de referencia
Oficina de Industria y Seguridad. (2023). Suplemento No. 4 de la Parte 744 del Reglamento de Administración
de Exportaciones. https://www.bis.doc.gov/index.php/policyguidance/listsofpartyofconcern/entitylist
Centro de Seguridad Cibernética. (2023a). Evaluación de amenazas: la ciberamenaza a los dispositivos IoT
https://www.cfcs.dk/da/cybertruslen/trusselsvurderinger/cybertruslenmodiotenheder/
Centro de Seguridad Cibernética. (2023d). Seguridad de contraseña: guía de contraseñas para usuarios,
desarrolladores, operadores y administradores de TI.
https://www.cfcs.dk/da/forebyggelse/vejledninger/passwords/
Centro de Seguridad Cibernética. (2023e). Registro: parte de una buena ciberdefensa https://
www.cfcs.dk/da/prevällninger/vejledninger/logning/
https://www.cfcs.dk/da/forebyggelse/vejledninger/informationssikkerhedileverandorforhold/
ETSI EN 303 645:2020 Ciberseguridad para el Internet de las cosas del consumidor: línea de base
Requisitos
Forbes. (2017). Los delincuentes piratearon una pecera para robar datos de un casino. http://
www.forbes.com/sites/leemathews/2017/07/27/criminalshackedafishtanktostealdatafromacasino/
25
Machine Translated by Google
ISO/IEC DIS 27402:2022 Ciberseguridad – Seguridad y privacidad de IoT – Requisitos básicos del dispositivo
NIST IR 8228 Consideraciones para la gestión de la ciberseguridad y la Internet de las cosas (IoT)
Riesgos de privacidad
Swanson, Steven. (2011). Destruir dispositivos de almacenamiento basados en memoria flash. UC San Diego: Departamento de
Ingeniería y Ciencias de la Computación. https://escholarship.org/uc/
item/0f02d3bm
26
Machine Translated by Google
Anexo 1
El Apéndice 1 describe los requisitos técnicos para los dispositivos IoT, que se han abordado en varios
capítulos de la guía. El apéndice contiene una descripción general de los requisitos técnicos a los que
CFCS recomienda que la empresa preste especial atención al adquirir nuevos dispositivos IoT. CFCS
recomienda que la organización cumpla con los requisitos, independientemente de si el dispositivo se adquiere
directamente o a través de un proveedor.
CFCS recomienda que los dispositivos IoT cumplan con los siguientes requisitos técnicos:
• Debe ser posible realizar el refuerzo de los dispositivos IoT requerido en relación
a los requisitos de seguridad del dispositivo de la organización (consulte la Política de seguridad de IoT y
Endurecimiento de dispositivos IoT)
• Los dispositivos IoT no deben tener información de inicio de sesión predefinida (codificada) que no se pueda
cambiar (consulte la sección Control de acceso)
• Debe ser posible crear contraseñas con un mínimo de 15 caracteres (ver sección
control de acceso)
• Se deben realizar actualizaciones continuas en el dispositivo IoT (consulte la sección Actualizaciones y
gestión de vulnerabilidad)
• Debe ser posible cifrar los datos (ver sección Criptografía y comunicación)
• La organización debe poder eliminar datos seleccionados de los dispositivos IoT y
sistemas (ver apartado Tratamiento y eliminación de datos)
27