No es sorprendente que la gente se sienta nerviosa con respeto a la seguridad de nuevas tecnologías, muchas de las cuales son parte de Internet de las cosas (IoT). Si bien ofrecen una mayor eficiencia y conectividad, a algunas personas les generan dudas. Después de todo, parece haber un flujo constante de noticias acerca de corporativos multinacionales que han sufrido violaciones a sus sistemas, o bien, piratas informáticos que toman el control de dispositivos inteligentes.
Ambos escenarios pueden parecer familiares. A nadie le gusta la idea de que sus datos caigan en manos criminales. Y, sobre todo, no es grata la idea de que alguien pueda, incluso virtualmente, entrar en espacios privados. Sin embargo, la realidad es que cuando elegimos la tecnología adecuada y realizamos los procedimientos adecuados, los dispositivos basados en IoT son increíblemente seguros.
Una vez dicho esto, uno de los espacios donde observamos una confusión permanente, es en torno a los sistemas de control de acceso (ACS) que se implementan a través de redes, particularmente con acceso móvil, tarjetas inteligentes y cerraduras electrónicas. Estas tecnologías a menudo se perciben como menos seguras y, por lo tanto, más vulnerables a los ataques que los sistemas o dispositivos ACS más antiguos.
Con base en información de analistas en temas de seguridad de varias firmas, la lista de los países de América Latina con más intentos de ataques cibernéticos, la encabeza Brasil, seguido por México, y ambos se ubican entre los 20 países más afectados por malware en todo el mundo (7o. y 11vo. lugar, respectivamente).
Es sabido que los ciberdelincuentes producen un poco más de 230 mil muestras de malware cada día. Por ello, cuando una compañía es atacada, le toma en promedio cuatro meses y medio para darse cuenta del ataque.
En aras de aclarar cualquier confusión, y con experiencia como proveedor líder en soluciones de seguridad basadas en IP resistentes y conectadas que ayudan a las empresas a proteger, comprender y mejorar el mundo que las rodea, e ir más allá al proporcionar información operativa, es importante eliminar algunos mitos sobre la seguridad en ACS:
Mito # 1: Las credenciales móviles no son seguras
El primer mito existente está en torno a credenciales móviles. Las credenciales móviles permiten a los titulares de tarjetas acceder a puertas y áreas seguras con sus dispositivos móviles. Por el hecho de que estos dispositivos se comunican con las tarjetas lectoras a través de Bluetooth o Near Field Communication (NFC), existe la creencia persistente de que estos medios de comunicación no son seguros. En particular, las personas parecen estar preocupadas de que el uso de credenciales móviles hace que su organización sea más vulnerable a los skimming attacks (es un método utilizado por los ladrones de identidad para capturar información de un titular de tarjeta).
Si bien centrarse en el medio de comunicación es una consideración importante cuando una organización implementa un sistema de credencialización móvil, las preocupaciones sobre Bluetooth fallan. Bluetooth y NFC son simplemente canales a través de los cuales se transmite información. Creer que Bluetooth no es seguro sería lo mismo que sugerir que Internet no es seguro. En ambos casos, la seguridad de su comunicación depende de la tecnología, los protocolos y los tipos de protecciones que se tengan implementados.
Entonces, en lugar de preguntarse sobre la seguridad del Bluetooth o NFC, los usuarios deberían centrarse en la seguridad de los dispositivos mismos. Antes de implementar credenciales móviles, deberían preguntarle a sus proveedores:
- Cómo la credencial es generada, almacenada y protegida en el dispositivo.
- Cómo se comunica el dispositivo con el lector
- Cómo el lector accede de forma segura a la información de la credencial.
Mito # 2: Todas las tarjetas inteligentes son igualmente seguras
La pregunta “¿qué tan seguras son las tarjetas inteligentes?” es una cuestión seria. Y la respuesta depende de la generación de las tarjetas en sí. Por ejemplo, a pesar de que las tarjetas inteligentes más antiguas, como MiFare Classic y HID iClass Classic, ofrecen una mejor encriptación que las tarjetas de proximidad y las credenciales de banda magnética, éstas se han visto comprometidas. El uso de estas tecnologías más antiguas puede hacer a una organización vulnerable.
Como resultado, cuando se implementa la tecnología de tarjeta inteligente como parte de su ACS, se debe elegir tecnología de última generación, como MiFare DesFire EV1 o EV2 y HID iClass SEOS. De esta manera, se estará protegiendo el sistema de acceso, así como los edificios e instalaciones.
Algunos lectores y controladores tradicionales también pueden representar un riesgo grave para su organización si utilizan el protocolo Weigand, que no ofrece seguridad. Si bien se puede actualizar hacia un protocolo más seguro, como el OSDP, las cerraduras electrónicas son una alternativa muy segura que vale la pena considerar.
Mito # 3: Las cerraduras electrónicas son más vulnerables
Actualmente, todavía hay muchos que creen que las cerraduras electrónicas, sobre todo las inalámbricas, son más vulnerables a la actividad cibercriminal, en comparación con los lectores y controladores tradicionales. La preocupación aquí es que las cerraduras electrónicas pueden permitir a los ciberdelincuentes acceder a su red para obtener datos e interceptar comandos desde la puerta de enlace, o bien, desde los nodos por aire, lo cual les permitiría acceder a sus edificios o instalaciones.
La realidad es que el uso de cerraduras electrónicas puede ayudar a proteger las instalaciones y redes a través de varios protocolos de seguridad, incluidos la encriptación y autenticación.
Además, debido a que muchas de estas cerraduras permanecen en operación, independientemente del estado de la red, proporcionan monitoreo en tiempo real de las puertas. Esto significa que muchas cerraduras electrónicas no solo evitan el acceso no autorizado, sino que también mantienen a los operadores informados sobre su estado en todo momento, incluso si una red se cae.
Cuando se trata de implementar bloqueos electrónicos, es importante recordar que, como cualquier dispositivo conectado a la red, deben tener características de seguridad integradas que permitirán mantener la información, personas e instalaciones a salvo.
Esté preparado para desbloquear beneficios futuros
En última instancia, la información en sistemas de control de accesos basados en IP no tiene más riesgos que cualquier otra información transmitida a través de la red. Solo se requiere ser inteligente acerca de cómo se conectan, transmiten y almacenan los datos. Al final, mantener el status quo y negarse a alejarse de la tecnología anterior no es una opción viable. La tecnología obsoleta y los sistemas analógicos antiguos son más vulnerables a los ataques que nunca. Esta es la razón por la cual es tan importante desacreditar los mitos sobre ACS y, al mismo tiempo, hacer que las personas piensen en la seguridad de la red de la manera correcta, dado que los sistemas basados en la red ofrecen hoy en día mayores beneficios.
Hoy existen sistemas que, sin importar si se requiere asegurar una instalación grande de múltiples sitios, o una localidad más pequeña con unas pocas puertas, tienen la flexibilidad necesaria para adaptarse a un entorno de seguridad específico; asimismo, ahora es posible combinar necesidades determinadas de control de acceso con otras aplicaciones de seguridad como la videovigilancia.
Hoy por hoy, es una realidad que las empresas quieren ir más allá de administrar puertas y están buscando maneras más inteligentes de resolver otros problemas del negocio.
Cuando se implementa nueva tecnología utilizando las mejores prácticas de la industria y se adquieren dispositivos de proveedores confiables, se pone a las personas y a las redes en la mejor posición posible para aprovechar al máximo todo lo que el mundo, cada vez más conectado, tiene para ofrecer.
Por: Philippe Verrier, Gerente de cuentas estratégicas, Genetec México.