Descubriendo el Shadow IoT con Chema Alonso en MWC

Auditorías para el Internet de las Cosas y Mobile Connect son las principales novedades de las que hablamos con Chema Alonso, CEO de Eleven Paths, empresa filial de Telefónica Digital.

Hace años, aunque no tantos como pudiera pensarse, que la seguridad gana protagonismo en el Mobile World Congress. Y más que lo hará. Es más, quizá habría que hablar de Mobile Security World Congress. ¿Por qué no? Al fin y al cabo el número de empresas de seguridad con presencia en el evento crece, y la seguridad es el elemento imprescindible en cualquier tecnología, se hable de redes, gadgets, pagos móviles, virtualización, plataformas…

Por eso hablar con Chema Alonso, CEO de Eleven Paths, empresa filial de Telefónica Digital, es casi obligado, además de una enorme oportunidad que no hay que desaprovechar.

Mobile ConnectLos dos grandes novedades que Telefónica ha mostrado en MWC 2016 ha sido la iniciativa Mobile Connect, además de un sistema de auditoría de seguridad para el IoT, el famoso Internet de las Cosas que se cuela en nuestro día a día sin darnos cuenta, y con más riesgos de los que nos creemos.

Sobre Mobile Connect, “que es una iniciativa no sólo de Telefónica sino de toda la industria de la GSMA”, explicar que se trata de una propuesta que quiere convertir el número de móvil como el estándar para autenticar a los usuarios, eliminando el uso de usuario y contraseña, nos dice Chema Alonso. No hace falta tener un Smartphone, sólo una SIM; y es a la zona segura de la SIM donde los operadores “pueden enviar un desafío cada vez que alguien quiere conectarse a un servicio”.

Quiere decir que para acceder a un servicio se pide aprobación enviando un mensaje a la SIM del usuario, que acepta o rechaza, garantizando su identidad. Se trata, en opinión de Chema Alonso, de “utilizar una de las verdaderas identidades digitales de las personas, que es su número de teléfono”.

La tecnología ya está disponible en España, puede utilizarse en el Canal Cliente de Movistar y cualquier web que quiera utilizalo “sólo tiene que ir a la web de Mobile Connect, darse de alta y empezar a integrar sus sistemas”.

Shadow IoT

Chema Alonso, Telefonica MWCOtro elemento que Telefónica está mostrando en Mobile World Congress es un sistema de auditoría para el IoT. Nos explica Chema Alonso que en las empresas “vemos que hay cada vez más Shadow IT, que es como se conoce a esa infraestuctura que los administradores no controlan”; para este Shadow IT la compañía cuenta con Pass, una solución que realiza auditorías de seguridad 365 días al año 24×7.

“Durante este año hemos trabajado para dotar a la plataforma de la inteligencia necesaria para descubrir los dispositivos IoT y las vulnerabilidades asociadas a esos dispositivos, y ahora estamos buscando el Shadow IoT”, dice el CEO de Eleven Paths.

¿Y habéis detectado alguna sorpresa? “Sí, aparecen cosas interesantes”, asegura Chema Alonso. Como por ejemplo que un técnico haya cambiado el cañón de vídeo de una sala de reuniones y de repente el aparato se conecta a Internet y tiene un panel de control con usuario y contraseña por defecto. “Al final la idea es sencilla. En una organización tienes un montón de puestos que a lo mejor el departamento de IT controla, pero los Edificios Inteligentes están trayendo un montón de dispositivos que se conectan a tu red y están exponiendo la infraestructura de tu compañía”, asegura Alonso.

Y lo peor es que la solución a veces no es fácil. “Coge el cacharro y tíralo”, dice el experto en seguridad, añadiendo que a veces los dispositivos se basan en un desarrollo low cost, no tienen mantenimiento, ni soporte… “Lo importante primero es detectarlos, saber que los tienes, y si los tienes, eliminarlos”.

Internet of Threats, Gaps y Cifrado

Hay quien se refiere al IoT como Internet of Threats. En realidad el interés por detectar el Shadow IoT, y descubrir aparatos que ponen en riesgo la seguridad de una empresa ya está poniendo de manifiesto los riesgos que generan los dispositivos conectados.

El Internet of Theats “es una frase curiosa”, dice Chema Alonso, añadiendo que por lo menos nos sirva para concienciar a la gente y las empresas. Es más, dice el experto en seguridad que “tenemos que preocuparnos de la seguridad en toda la cadena, no sólo del dispositivo sino del data lake que estamos generando con toda información que recogemos de todos nuestros sensores”, porque “puede que analizando los datos de manera colectiva estemos cayendo en riesgos de seguridad muy importante”.

¿Existe un gap entre la gestión de la movilidad y la seguridad de la movilidad? “Estamos trabajando para crear plataformas que gestionen la seguridad de los dispositivos móviles”, dice Chema Alonso, reconociendo al mismo tiempo que gestionar la seguridad de un ordenador no es lo mismo que la de un smartphone, “simplemente porque el acceso que tienen los responsables de IT a los permisos en un portátil no es el mismo que se tiene en un dispositivo móvil, donde no eres root, no eres administrador”.

Por último hablamos con Chema Alonso de Cifrado, esa nueva moda en Internet que pone los pelos de punta a las autoridades, y que impacta a la hora de saber si ese tráfico que entra, y sobre todo sale, es bueno o se está escapando información importante.

En todo caso, ¿con cifrar los datos tenemos la seguridad que necesitamos? “Bueno, dicen que el cifrado nunca se rompe, sino que se bypasea. Al final hay un punto en el que tienes que descifrarlo y es en ese punto en el que te lo capturan”.