Artículos Especiales

Ciberseguridad en Seguridad Electrónica

La convergencia entre seguridad física y ciberseguridad es cada día más relevante para las empresas, principalmente por el aumento en los últimos años de ataques donde los ciberdelincuentes aprovechan el eslabón más débil para poder vulnerar las redes. Y son precisamente los dispositivos IoT los que representan grandes riesgos para la seguridad, clasificación en la que, por supuesto están incluidos cámaras IP, ruteadores, grabadores, controladores y cualquier otro dispositivo de seguridad electrónica, domótica o automatización que sea conectado a Internet.

Al respecto, Carlos Ortiz Bortoni, Country Manager de F5 México, explicó que los dispositivos IoT son el blanco preferido de los ciberdelincuentes para ser vulnerados, porque son difíciles de bloquear sin afectar directamente al cliente que lo posee y porque son un portal físico que conecta al mundo virtual. Además, se multiplican por miles, actualmente hay 20 millones de dispositivos IoT en el mundo, y se espera que en 10 años el número ascienda a un trillón.

Por otro lado, la empresa Check Point en su Cyber Security Report 2020, destacó que 1 de cada 4 ataques están dirigidos contra dispositivos IoT, ya que son fácilmente hackeables debido a sus bajos niveles de seguridad (sistemas operativos no actualizados, no cuentan con herramientas de protección, etc.).

Puntualmente las cámaras IP son dispositivos IoT que atraen más el interés de los atacantes, cuando son comparados con impresoras o switches. De hecho, hace unas semanas, el sitio de Bloomberg hizo público un referente al respeto, se trata de un ataque perpetrado a la empresa Verkada donde los ciberdelincuentes tuvieron acceso en vivo a 150 mil cámaras de video vigilancia ubicadas en hospitales, empresas, instituciones policiacas, prisiones y escuelas.

En este caso el ataque se relacionó al uso de contraseñas de ‘superadministrador’ al que los atacantes tuvieron acceso, tema que puede tener varias aristas, sin embargo, se ha dejado claro que contar con políticas más robustas donde se exija el uso de contraseñas individuales o un doble factor de autenticación podrían haber evitado el incidente.

Soluciones y acciones

Diversos jugadores del mercado de seguridad electrónica han establecido estrategias de ciberseguridad para apoyar con estos desafíos. En el caso de Vivotek, la empresa estableció una alianza con Trend Micro para integrar a las cámaras un software que ayuda a detectar ataques de fuerza bruta, detección y prevención de intrusiones, entre otras cosas.

Por otro lado, el fabricante Axis Communications compartió recientemente que la mejor estrategia debe incluir dos temas, reconocer que las redes tienen vulnerabilidades y que se necesita tener medidas de mitigación para evitar que el problema se convierta en un riesgo grave.

Bajo esta visión el fabricante insta a los integradores a tener en cuenta cuatro recomendaciones para mantener seguras sus implementaciones de videovigilancia.

Asegurar las contraseñas:

Al tratarse de la primera línea de defensa, es importante asegurarnos de que las claves de los sistemas de video sean seguras, resistentes y frecuentemente actualizadas. En ciberseguridad, las amenazas hacia las contraseñas se describen como un mal uso accidental o deliberado del sistema, lo cual es una situación potencialmente riesgosa, por lo que la solución es implementar políticas y procesos de contraseñas estrictos y confidenciales.

Actualizar las plataformas de video:

Es común que las empresas utilicen sistemas de video obsoletos porque consideran que siguen funcionando. La realidad es que cuanto más antiguo es un sistema, más probable será que los ciberdelincuentes encuentren vulnerabilidades. En este punto resulta necesario actualizar los dispositivos, ya que la mayoría de las debilidades son encontradas por los fabricantes, quienes ejecutan escaneos y pruebas para localizar estos puntos débiles.

No exceder los dispositivos más allá de sus necesidades:

Las plataformas de videovigilancia con exceso de cámaras pueden ser más delicadas. Por ello, es fundamental que cuente con los equipos específicos para sus necesidades, además de gestionar criterios de seguridad que impidan que personas no autorizadas accedan a los sistemas con aparatos personales, por ejemplo, celulares o tabletas.

Capacitar al equipo de trabajo:

Es crucial capacitar a los empleados en las mejores prácticas de seguridad cibernética. Es indispensable enseñarlos a buscar y detectar amenazas hasta en un correo electrónico.

En cuanto a políticas internas, Dahua Technology pone el ejemplo al contar con un enfoque de ciberseguridad basado en siete pilares:

Estructura organizativa:

Para lograr una mayor eficiencia y efectividad, Dahua Technology opera un sistema integral para hacer frente a todos los problemas relacionados con la ciberseguridad. El sistema, dirigido por un comité, también incluye un grupo de cumplimiento de ciberseguridad y protección de datos, un instituto de ciberseguridad y un equipo de respuesta a incidentes de seguridad enfocado a productos (PSIRT). El comité de ciberseguridad, ubicado por encima de todos los departamentos o equipos, puede solicitar recursos de toda la empresa, desde el centro de I + D, al departamento legal, cadena de suministro, departamento comercial exterior, etc., cuando sea necesario. El Instituto de Ciberseguridad está a cargo de construir el proceso sSDLC e implementarlo en todas las series de productos Dahua, asegurándose de que todos los productos Dahua sean fuertes contra los ciberataques.

Ciclo de vida de desarrollo de seguridad:

Dahua adopta una gran cantidad de software de seguridad sSDLC (Security Development Lifecycle) para mejorar la seguridad del producto. Durante la fase de diseño de seguridad, STRIDE + Attack Tree + PIA se adapta para mejorar el modelado de amenazas. Durante la fase de diseño de seguridad, se utilizan el Top10 OWASP y más de 150 CWE para lograr un análisis del código estático. Durante la fase de prueba de seguridad, se aplican más de 20 herramientas en 7 campos para realizar las múltiples pruebas de seguridad. CompTIA PenTest + / Security + se utiliza para llevar a cabo pruebas de penetración profesionales, mientras que el cumplimiento de las normas ISO 30111 y 290147 y MITRE org CAN se siguen durante la gestión de vulnerabilidades después de la venta de los productos.

Sistema de respuesta a emergencias:

La cooperación con profesionales de todo el mundo es una excelente manera de mejorar la detección de vulnerabilidades. Por lo tanto, Dahua Cybersecurity Center (DHCC) se establece para resolver problemas de ciberseguridad con informes de vulnerabilidades de seguridad, anuncios / avisos e intercambio de conocimientos sobre ciberseguridad con nuestra base de clientes global para brindarles productos / soluciones más robustos y seguros. El Equipo de Respuesta a Incidentes de Seguridad del Producto (PSIRT) es una parte integral de DHCC. Compuesto por profesionales de marketing, cadena de suministro, servicio y representantes legales, PSIRT es responsable de recibir, procesar y divulgar las vulnerabilidades de seguridad relacionadas con los productos y soluciones de Dahua. Los miembros del equipo están de servicio los 7 días de la semana y garantizan responder a una emergencia en 48 horas. Se alienta al usuario final, socio, proveedor, agencia gubernamental, asociación de la industria e investigador independiente a informar el riesgo potencial o la vulnerabilidad a PSIRT por correo electrónico.

Protección de datos personales y privacidad:

Dahua también concede gran importancia a la protección de la privacidad y los datos personales. Cumpliendo con las leyes y regulaciones aplicables, como el Reglamento General de Protección de Datos de la UE, las Directrices de EDPB sobre los conceptos control y procesamiento basado en GDPR, Seguridad cibernética para el Internet de las cosas del consumidor: Requisitos básicos del ETSI EN 303645, así como la Ley de Privacidad del Consumidor de California en EE. UU., la empresa estableció el Estándar de Protección de Datos Personales y Privacidad. El estándar estipula que los métodos de protección de datos, como la desidentificación, el cifrado, el control de acceso sistemático, la configuración amigable con la privacidad, etc., se adaptan completamente al ciclo de vida completo de los datos, desde la recopilación, transmisión, almacenamiento, uso compartido, copia y eliminación. Además, al trabajar con instituciones de terceros de renombre mundial, Dahua Technology ha recibido la Protected Privacy IoT Product Certification y la ETSI Certification de TÜV Rheinland, así como la Certificación ISO 27018 y la Certificación ISO 27701 de BSI, que ayudan a demostrar su capacidad en la gestión de datos personales y de las normas de privacidad en todo el mundo.

Línea de base de seguridad en iteración continua:

Centrada en los principios básicos de Seguridad por Diseño y por Defecto, la iniciativa de línea de base de seguridad de Dahua aprovecha la tecnología del producto para brindar a los usuarios las garantías más adecuadas. Basado en y practicando los principios de diseño de seguridad y privacidad, la línea de base de seguridad construye un diseño de elementos de seguridad de “AAA + CIA + P”, formando un marco de protección sistemático que cubre la seguridad física, la seguridad del sistema, la seguridad de las aplicaciones, la seguridad de los datos, la seguridad de la red y la privacidad. Se han desarrollado 7 versiones de la línea de base y más de 100 principios para adaptar la autenticación, autorización, auditoría, confidencialidad, integridad, disponibilidad y protección de privacidad para proteger plenamente el sistema que asegura la calidad del producto, de esta manera podemos garantizar que todos los productos Dahua disfruten de seguridad predeterminada desde fábrica.

Centro de Seguridad del Producto:

Para ayudar a los usuarios a comprender claramente el estado de seguridad y las capacidades del dispositivo, el centro de seguridad del producto ayudará a los usuarios a configurar de manera conveniente y rápida la seguridad más adecuada para los diversos escenarios. Las capacidades de seguridad general incluyen protección de privacidad (oclusión facial, información oculta, etc.), cifrado de video, alarma de seguridad, protección confiable, administración de certificación de CA, servicio de administración de claves, defensa contra ataques, etc.

Ecosistema de ciberseguridad:

Adhiriéndose a la apertura y la cooperación, Dahua Technology sigue trabajando con instituciones de seguridad internacionales autorizadas para construir conjuntamente un ecosistema de seguridad. Al comunicarse y cooperar de manera rica y profunda con instituciones como TÜV Rheinland, BSI, DNV • GL, Intertek EWA-Canada y el laboratorio de seguridad brightsight, la compañía mantiene avanzadas sus capacidades y sistemas de seguridad.

Como se ha podido ver las problemáticas de ciberseguridad en seguridad electrónica son inherentes a todo tipo de proyectos, por esta razón hay que acercarse a las marcas para conocer más de cerca sus estrategias y buenas prácticas, a fin de reducir las vulnerabilidades que puedan poner en riesgo tanto a los clientes como sus organizaciones.

Artículos relacionados: