La integración de la Ciberseguridad y el IoT (Internet of Things) en las industrias es la principal responsable de la creación de sistemas ciberfísicos. Están formados por la combinación de estructuras físicas en red, con componentes cibernéticos, sensores y actuadores. Estos elementos interactúan en un ciclo de monitoreo de procesos, proporcionando información para respaldar las intervenciones humanas que afectan el funcionamiento de una máquina o sistema determinado.
La creciente preocupación por la ciberseguridad está directamente relacionada con la evolución tecnológica y la integración de los sistemas IoT en la industria. Esto se debe a que la combinación de estos elementos amplía la superficie de ataque para los ciberdelincuentes, abriendo la puerta para que las empresas sean atacadas.
Los ciberataques, presentes en sistemas gestionados por software, se han sofisticado desde su aparición, lo que potencia el área de la Seguridad Ciberfísica (CPS). La ciberseguridad tiene como objetivo proteger los sistemas informáticos, las aplicaciones, los dispositivos y los datos del ransomware y otros programas maliciosos, las estafas de phishing, el robo de datos y otras amenazas.
Según Sheilla Valverde, Máster en Ingeniería Informática, Seguridad de la Información y Mecanismos de Detección de Intrusos por la UFP (Universidad Fernando Pessoa) y Posgrado en Criptografía y Seguridad de Redes por la Universidad Federal Fluminense, «para garantizar la seguridad, es necesario pensar en una estrategia que abarque las siete capas cibernéticas. Esto abarca el mundo digital y físico», son:
- Capa física: protege la infraestructura de accesos no autorizados y daños físicos;
- Capa de red: se centra en la seguridad de las comunicaciones de red, utilizando firewalls y VPN;
- Capa perimetral: protección de los bordes de la red, prevención de amenazas externas;
- Endpoint Layer: protege los dispositivos finales contra malware y otras amenazas;
- Capa de aplicación: utiliza prácticas de desarrollo seguras, pruebas de penetración y supervisión continua;
- Capa de datos: protección de los datos almacenados y en tránsito, mediante cifrado y control de acceso;
- Capa humana: incluye la formación y concienciación de los usuarios;
«La protección comienza en el nivel físico y termina en la capa de aplicación, y cada una de ellas puede sufrir un ataque diferente. Por lo tanto, la seguridad comienza en la estructura física de la empresa hasta la ejecución de las tareas.» — Sheilla Valverde, postgrado en Criptografía y Seguridad de Redes.
Visión general de la ciberseguridad y el IoT en la industria
Las soluciones innovadoras de IoT están ganando cada vez más fuerza dentro de las fábricas y plantas industriales, contribuyendo a la búsqueda de mejoras operativas. A pesar de los innumerables beneficios, la adopción de estas tecnologías no está ocurriendo a la velocidad esperada por el mercado. Esto está influenciado por los posibles problemas de seguridad que pueden ocurrir si no se tiene el cuidado adecuado.
Las industrias buscan conectar todas las áreas de fabricación para lograr un mejor rendimiento. Sin embargo, en este proceso, es posible encontrar líneas que utilizan tecnologías más antiguas, lo que resulta en una falta de estándares. Por lo tanto, al implementar sistemas de IoT, se pueden encontrar dificultades para mantener la ciberseguridad de extremo a extremo.
Para resolver el problema de la difícil integración de los sistemas heredados con las nuevas tecnologías, un estudio de McKinsey (2017) sugiere la implementación de nuevas soluciones. Pueden basarse en el uso de redes aisladas, que funcionan de forma independiente, o a través de sensores redundantes, que toman el control en caso de fallos.
Motivadas por estos desafíos, muchas industrias están desarrollando sus propias soluciones internamente, con el objetivo de lograr un monitoreo integrado incluso con sistemas heredados. Sin embargo, es importante tener en cuenta que este es un proceso que requiere un alto nivel de experiencia, conocimiento de seguridad y mantenimiento continuo para generar valor. A menudo, la dificultad para incluir herramientas enfocadas a la ciberseguridad se debe al aumento del coste de las soluciones.
Para cambiar este panorama, cuando se desarrolla un IoT, este debe enfocarse en aplicaciones de seguridad robustas para garantizar la transmisión de datos sin ataques, independientemente de la madurez tecnológica. De esta manera, hay integración entre sistemas sin comprometer la seguridad.
«Pensar en la industria es pensar en la ciberseguridad y la privacidad. Es para asegurar el buen funcionamiento de la operación, sin errores ni fugas.» — Sheilla Valverde, postgrado en Criptografía y Seguridad de Redes
De la capa al código: integración de la ciberseguridad en la arquitectura de IoT
La adopción de IoT en la industria ha evolucionado desde aplicaciones puntuales hasta entornos altamente conectados, impulsando la digitalización de las fábricas. Sin embargo, aprovechar al máximo esta tecnología depende de la integración con la ciberseguridad desde el diseño hasta la implementación. Según McKinsey (2023), esta convergencia es fundamental para acelerar la adopción de IoT de forma segura e inteligente.
Los principales desafíos incluyen la interoperabilidad, la complejidad y las vulnerabilidades, especialmente en el software de aplicaciones y las interfaces hombre-máquina. Con el aumento de la interconectividad entre la TI y los sistemas operativos, crece la necesidad de entornos ciberfísicos seguros basados en la autenticación, la confidencialidad, la integridad y la resiliencia.
Las empresas están dispuestas a invertir entre un 20% y un 40% más en soluciones seguras de IoT, lo que podría llevar al mercado a alcanzar los 500.000 millones de dólares en 2030. Así, la ciberseguridad deja de ser un diferencial y se convierte en una condición fundamental para habilitar soluciones más integradas, protegidas y preparadas para el futuro industrial.
También según McKinsey (2023), la convergencia entre IoT y ciberseguridad debería darse en tres niveles: arquitectura, diseño paralelo y software. En la capa arquitectónica, se recomienda incrustar código seguro en todas las capas tecnológicas, desde el hardware hasta el firmware.
En el diseño paralelo, se adopta el principio de privacidad desde el diseño, lo que garantiza la protección desde la plataforma hasta la nube. A nivel de software, las soluciones integradas deben proteger el ecosistema en su conjunto. Para mitigar los riesgos en el entorno IIoT, destacan prácticas como la autenticación multifactor y el control de acceso basado en roles, el uso de cifrado, las actualizaciones continuas de firmware y software con parches de seguridad, la monitorización en tiempo real con detección de intrusos, la protección frente a ataques DDoS con firewalls y limitación de tráfico, así como el cumplimiento de normativas como la LGPD y la IoT Cybersecurity Improvement Act.
Estas medidas son esenciales para garantizar operaciones seguras y resilientes en línea con los requisitos reglamentarios.
Convergencia entre Ciberseguridad y IoT: Marco y Oportunidades
Para las empresas que desarrollan tecnologías de IoT, además del cumplimiento normativo, es posible aplicar normas de cumplimiento voluntario para reforzar aún más la ciberseguridad. Un ejemplo es el SOC 2, desarrollado por el Instituto Americano de Contadores Públicos Certificados (AICPA). Aunque no es obligatorio, el cumplimiento de SOC2 demuestra que los responsables cuentan con controles internos adecuados de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Este es un diferencial competitivo importante, los certificados SOC 2 deben estar siempre actualizados y adaptando sus prácticas de acuerdo con la evolución tecnológica.
Además, este tipo de certificación garantiza el cumplimiento de los estándares internacionales, lo que indica solidez para servir a industrias de diversos sectores a escala. Del mismo modo, se necesita experiencia interna para comprender e implementar los requisitos de cumplimiento, que son complejos. Este conocimiento evita fallos en la implementación y mantenimiento de estos estándares.
En el contexto de los proveedores de tecnología IoT, contar con estas certificaciones significa ofrecer un servicio que reduce el riesgo y aumenta la eficiencia operativa. Para las industrias, es esencial, ya que garantiza la privacidad de los datos confidenciales y fortalece una cultura de seguridad.
«Para proporcionar soluciones IoT es necesario que quienes las producen sean conscientes de la importancia de la seguridad y, sobre todo, de que ya crezcan y se desarrollen con políticas de seguridad bien establecidas. A partir de esto, es posible ver los próximos pasos, identificar lo que hay que mejorar, es un proceso de mejora continua.» — Sheilla Valverde, postgraduada en Criptografía y Seguridad de Redes.
Más información sobre ST-One.