Se espera que la cantidad de dispositivos de IoT en todo el mundo aumente de 15.100 millones en 2020 a más de 29.000 millones en 2030, por lo que la protección contra ataques cibernéticos e intrusiones no deseadas en las redes es una batalla constante. La International Electrotechnical Commission (IEC) ha publicado el documento ISO/IEC 27071: Recomendaciones de seguridad para establecer conexiones confiables entre dispositivos y servicios, con el objetivo de ayudar a las organizaciones a configurar sus módulos de seguridad de hardware (HSM) en ordenadores y dispositivos móviles o IoT.
Los protocolos de seguridad como SSL (capa de conexión segura) y TLS (seguridad de la capa de transporte) son importantes para proteger la confidencialidad y la integridad de los datos, pero no son suficientes. Los dispositivos conectados deben poder distinguir las fuentes confiables de entrada de las falsas o maliciosas, cada vez.
Para garantizar conexiones confiables, se deben abordar varios elementos, como los módulos de seguridad de hardware (HSM) para establecer la raíz de confianza confiable, la identidad de los dispositivos y servicios proviene de partes confiables, el establecimiento de autenticación mutua entre dispositivos y servicios, así como la identidad de datos para garantizar la integridad y autenticidad de los datos a largo plazo.
Aspectos claves del documento ISO/IEC 27071
En base a esto, el documento ISO/IEC 27071 proporciona un marco para establecer una conexión confiable, que cubre elementos clave como el HSM, la raíz de confianza, la identidad y autenticidad de los datos, así como recomendaciones de seguridad para cada una de estas áreas. También proporciona un ejemplo de cómo establecer una conexión de confianza y soluciones para los componentes de una conexión de confianza.
Asimismo, el documento presenta una amplia gama de ejemplos de diferentes tipos de amenazas y ofrece posibles soluciones, incluyendo amenazas desde la perspectiva del usuario, así como amenazas contra el dispositivo, el servicio y los canales de seguridad; además de ataques de phishing contra los canales de seguridad, utilizando certificados falsificados o comprometidos, o donde el dispositivo se suplanta y el atacante puede interactuar con el servicio.