Si estás leyendo esto en línea o por teléfono o… computadora portátilProbablemente tengas una contraseña. Las contraseñas han sido nuestros guardianes de confianza en el mundo digital, protegiendo todo, desde cuentas de redes sociales hasta información bancaria. Lo mismo ocurre en el ámbito empresarial, donde las empresas a menudo dependen de contraseñas para proteger sus archivos y procesos digitales. Con la creciente integración de IoT y sistemas de tecnología operativa en los sectores empresarial y manufacturero, surge una pregunta crítica: ¿Puede una simple contraseña mantener todo seguro?
Dilema de la contraseña
Érase una vez, todo lo que necesitaba para protegerse en línea era una contraseña segura. Pero hoy en día, creer eso es una fantasía. Es posible que las contraseñas hayan sido los guardianes de las computadoras durante años, pero ya no pueden ser el único guardián.
Piense en cualquier infraestructura crítica, como la red eléctrica o el sistema de metro de una ciudad importante. Una contraseña débil puede ser una grieta en la armadura que conduce a un santuario interior de control y abre el camino al caos destructivo por parte de malos actores. Los ataques de fuerza bruta pueden descifrar contraseñas débiles en un instante y las estafas de phishing son cada vez más sofisticadas. Un atacante que aproveche la naturaleza humana, como la confianza implícita o la curiosidad, puede desencadenar un efecto dominó, poniendo en riesgo sistemas enteros si alguien cae en la trampa de un correo electrónico inteligentemente disfrazado.
La verdad es que las ciberamenazas actuales son demasiado avanzadas para implementar un enfoque único para todos, como las contraseñas. Necesitamos defensas más fuertes y duraderas para mantener seguro nuestro mundo interconectado.
Ingeniero Técnico, aplicable.
El concepto de defensa de clases en la tecnología operativa.
Pospongamos por un momento nuestra discusión sobre las contraseñas; volveremos a eso. Detrás de las contraseñas se esconde un enfoque de seguridad de múltiples capas que protege los sistemas de IoT y la tecnología operativa. Las redes OT se han dividido durante mucho tiempo en “capas”, como se describe repetidamente en el modelo de Purdue. Este modelo divide la infraestructura en función de la funcionalidad proporcionada por una capa particular. Si lo miramos, el Nivel 0 representa las máquinas físicas y el Nivel 1 representa la capa “ciberfísica”, donde el mundo cinético se cruza con el mundo digital y viven los “controladores”. El nivel 2 es donde los humanos entran en juego y facilita el nivel de “interfaz hombre-máquina”, donde las personas controlan varios procesos. Finalmente, el Nivel 3 proporciona los servicios de los que dependen los otros dos niveles.
Obviamente, desde una perspectiva de seguridad, podemos beneficiarnos de estas divisiones. Generalmente, la mayor parte del tráfico debe fluir entre dos capas cualesquiera, por ejemplo, las Capas 1 y 2, y las Capas 2 y 3. Por supuesto, hay excepciones a esto, pero deberían ser muy limitadas. Si aprovechamos esta separación natural, podemos establecer reglas de seguridad para controlar qué tráfico puede ir a dónde. Esta partición restringe la comunicación entre regiones, lo que reduce el impacto potencial de un ataque. Llamaremos a la separación proporcionada por el modelo de Purdue “separación horizontal” porque los sectores se ejecutan horizontalmente.
Pero las instalaciones tecnológicas operativas son muy grandes. Imaginemos una central térmica de cuatro unidades o una instalación de fabricación de automóviles. Incluso si impusiéramos controles estrictos a la segregación horizontal, ¿qué sucede cuando alguien entra a la fábrica e intenta moverse de un lado a otro en lugar de arriba y abajo? En el ejemplo de una central térmica de cuatro unidades, si una unidad se ve comprometida, el atacante puede pasar a las otras tres unidades. Del mismo modo, en el ejemplo de la fábrica de automóviles, alguien que irrumpiera en la instalación de pintura podría entrar lateralmente en el taller de carrocería.
Por lo tanto, también se debe implementar la separación vertical. Para nuestro ejemplo de planta de energía, no debería haber forma de que el tráfico del Nivel 1 de Purdue en la Unidad 2 fluya hacia las Unidades 1, 3 y 4. De manera similar, si un atacante obtiene el control del taller de pintura de una fábrica de automóviles, se debe impedir que se traslade a otro lugar.
En definitiva, cada zona tiene su propia función, y el tráfico entre ellas debe estar estrictamente controlado. De esta forma, si un hacker logra infiltrarse en un área, no podrá pasar fácilmente a otra.
Las áreas de separación vertical y horizontal son mantenidas por “guardias de seguridad” en el mundo digital – Cortafuegos Y Permiso de control de acceso Listas de control de acceso (ACL). Son como porteros en las fiestas. Examinan cada mensaje y dato que intenta ingresar a un área específica y se aseguran de que exista una razón legítima para que esté allí. Solo se pasa la información permitida, lo que mantiene el sistema funcionando sin problemas.
La seguridad multicapa es como una red de transporte bien diseñada con puntos de control, intersecciones controladas y carriles exclusivos en todas las direcciones, lo que garantiza operaciones fluidas y seguras.
Uniéndolo todo: ¿2FA, claves y certificados digitales?
Con frecuencia se utilizan otros mecanismos de autenticación y autorización para mejorar la seguridad más allá de lo que es posible utilizando únicamente contraseñas. El tema general es “algo que tienes y algo que sabes”, y la autenticación más segura se produce cuando se utilizan dos factores (2FA).
El uso de certificados digitales o códigos de acceso de un solo uso (basados en aplicaciones o FOB), cuando se combinan con contraseñas, cumple con el requisito de “algo que tienes, algo que sabes” para la autenticación de dos factores. Y/o la biometría ofrece una alternativa más sólida a las contraseñas. Además, en las comunicaciones de máquina a máquina, los certificados digitales permiten la autenticación mutua y una gran seguridad. Cifrado Finalmente, los certificados digitales se utilizan para “firmar” digitalmente mensajes en comunicaciones seguras, evitando interferencias con el contenido del mensaje durante su transmisión. Vemos esta aplicación en uso todos los días cuando usamos la web usando HTTPS.
Por lo tanto, las contraseñas siguen siendo una parte importante de la autenticación, pero usarlas solas se vuelve cada día más peligroso. Es por eso que muchos proveedores de servicios en línea están recurriendo a “claves de acceso”. Estas claves actúan como un segundo factor en la autenticación de dos factores. En lugar de utilizar un número de una aplicación o una clave, sus datos biométricos (cara/huella digital) se utilizan para confirmar que es usted quien utiliza el sistema. Piensa en las contraseñas como la llave de tu puerta de entrada. Te deja entrar, pero cualquiera que tenga una copia también puede abrir la puerta. Dado que el robo de credenciales es algo frecuente, las contraseñas ya no son seguras.
Por lo tanto, es necesario reforzarlos con métodos de autenticación más sólidos que incluyan algo más. Si un certificado o 2FA es relevante, es absolutamente esencial. De hecho, incluso si alguien obtiene una contraseña, es imposible usarla con 2FA implementado correctamente: el sistema necesita el segundo factor para autenticarse, de lo contrario se denegará el acceso. Falsificar una clave RSA con una longitud de 1024 o 2048 bits sigue siendo computacionalmente inviable. Lo mismo ocurre con tu cara o tu huella digital.
Avanzando hacia un futuro basado en claves: desafíos y consideraciones
Aunque las claves de cifrado ofrecen ventajas innegables, persisten desafíos. En primer lugar, los sistemas heredados imponen inercia y estos sistemas pueden permanecer en servicio hasta que resulte económicamente imposible operarlos.
La gestión de claves requiere habilidades especializadas y un certificado de validez. Es fundamental una gestión cuidadosa para evitar la caducidad de los certificados y posibles interrupciones del sistema. Las complejidades adicionales requieren un análisis de riesgo-beneficio para determinar los escenarios de implementación apropiados. El cambio a un sistema basado en claves también implica costos asociados con nuevas tecnologías, capacitación del personal y desarrollo de políticas. Sin embargo, los beneficios a largo plazo superan la inversión inicial, lo que da como resultado un entorno más seguro y resiliente.
Estamos atrapados con contraseñas (por ahora)
Las contraseñas siguen siendo una realidad desafortunada para algunos dispositivos OT más antiguos que carecen de soporte para claves criptográficas. Reemplazarlos por completo puede no ser una opción; Nos sentimos cómodos con lo que sabemos y, a veces, el costo de cambiar las cosas es demasiado alto. Además, algunos pueden cuestionar la propuesta de valor de la seguridad avanzada en niveles inferiores del modelo de seguridad en capas, especialmente cuando estos niveles están bien protegidos por múltiples capas superiores. ¿Entonces, qué podemos hacer? En tales escenarios, una buena higiene de las contraseñas es crucial. Esto incluye hacer cumplir requisitos de complejidad, rotación regular e implementar autenticación multifactor (MFA) cuando sea posible. Los administradores de contraseñas mejoran aún más la seguridad al almacenar y administrar contraseñas de forma segura, lo que reduce los riesgos asociados con prácticas deficientes en materia de contraseñas.
El futuro de la seguridad de IoT/OT: un enfoque integral
Con la integración de la TI y la tecnología operativa, la gestión de la exposición y la protección de la evidencia activa se vuelven… Desconfianza La arquitectura (ZTA) está adquiriendo cada vez más importancia. Esto es excelente para mejorar la eficiencia, pero también crea nuevos desafíos de seguridad. La regla de oro es ver el panorama completo, no sólo sistemas aislados.
La gestión de la exposición implica el seguimiento y la evaluación continuos de la superficie de ataque para identificar y mitigar las vulnerabilidades. Proteger Active Directories garantiza que sólo los usuarios autorizados puedan acceder a sistemas importantes, mientras que ZTA impone estrictos controles de acceso. La proliferación de sistemas de tecnología operativa y de TI, a pesar de los riesgos de seguridad, también presenta oportunidades para modernizar las estrategias de seguridad. Al adoptar un enfoque integral, las organizaciones pueden proteger sus activos críticos y mejorar la resiliencia operativa.
Construye una fortaleza para el mundo conectado
Las contraseñas nos han sido de gran utilidad, pero el cambiante panorama de seguridad de IoT/OT requiere más. Con tantos dispositivos nuevos conectados a Internet, necesitamos una importante actualización de seguridad. Las claves criptográficas, la seguridad en capas y el compromiso con la educación continua sobre las mejores prácticas en materia de contraseñas son fundamentales para una defensa sólida. Esto requiere vigilancia y adaptación constantes, pero las recompensas de una defensa sólida contra los ciberataques son inconmensurables. El mundo en constante expansión de los dispositivos interconectados requiere nuestro compromiso inquebrantable de protegerlos.
Enumeramos los mejores administradores de contraseñas para empresas.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no reflejan necesariamente los puntos de vista de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/Envíe su historia a techradar-pro