Procedimientos recomendados de seguridad para Internet de las cosas (IoT)Security best practices for Internet of Things (IoT)

La protección de una infraestructura de Internet de las cosas precisa de una estrategia de seguridad rigurosa y detallada.Securing an Internet of Things (IoT) infrastructure requires a rigorous security-in-depth strategy. La eficacia de esta estrategia se basa en la protección de los datos en la nube, la protección de la integridad de los datos en su tránsito por la red pública de Internet y el aprovisionamiento de dispositivos de forma segura.This strategy requires you to secure data in the cloud, protect data integrity while in transit over the public internet, and securely provision devices. Cada capa genera mayor garantía de seguridad en toda la infraestructura.Each layer builds greater security assurance in the overall infrastructure.

Protección de una infraestructura de IoTSecure an IoT infrastructure

Esta estrategia de seguridad detallada puede desarrollarse y ejecutarse con la participación activa de diversas personas implicadas en la fabricación, el desarrollo y la implementación de infraestructura y dispositivos IoT.This security-in-depth strategy can be developed and executed with active participation of various players involved with the manufacturing, development, and deployment of IoT devices and infrastructure. A continuación verá una descripción de alto nivel de estos participantes.Following is a high-level description of these players.

  • Integrador o fabricante de hardware de IoT: habitualmente, estos actores son los fabricantes del hardware de IoT implementado, integradores que ensamblan hardware de diversos fabricantes o proveedores que proporcionan hardware para una implementación de IoT que fabrican o integran otros proveedores.IoT hardware manufacturer/integrator: Typically, these players are the manufacturers of IoT hardware being deployed, integrators assembling hardware from various manufacturers, or suppliers providing hardware for an IoT deployment manufactured or integrated by other suppliers.

  • Desarrollador de soluciones de IoT: el desarrollo de soluciones de IoT suelen realizarlo los desarrolladores de soluciones.IoT solution developer: The development of an IoT solution is typically done by a solution developer. Este desarrollador puede formar parte de un equipo interno o ejercer como integrador de sistemas especializado en esta actividad.This developer may part of an in-house team or a system integrator (SI) specializing in this activity. El desarrollador de soluciones de IoT puede desarrollar diversos componentes de la solución de IoT desde cero, integrar varios componentes de serie o de código abierto o adoptar aceleradores de soluciones mediante adaptaciones menores.The IoT solution developer can develop various components of the IoT solution from scratch, integrate various off-the-shelf or open-source components, or adopt solution accelerators with minor adaptation.

  • Implementador de soluciones de IoT: una vez que se desarrolla una solución de IoT, es preciso implementarla sobre el terreno.IoT solution deployer: After an IoT solution is developed, it needs to be deployed in the field. Este proceso implica la implementación de hardware, la interconexión de dispositivos y la implementación de soluciones en dispositivos de hardware o en la nube.This process involves deployment of hardware, interconnection of devices, and deployment of solutions in hardware devices or the cloud.

  • Operador de soluciones de IoT: una vez que la solución de IoT se implementa, requiere operaciones, supervisión, actualizaciones y mantenimiento a largo plazo.IoT solution operator: After the IoT solution is deployed, it requires long-term operations, monitoring, upgrades, and maintenance. De estas tareas puede encargarse un equipo interno formado por especialistas en tecnología de la información, equipos de operaciones de hardware y mantenimiento y especialistas en dominios que supervisan que la infraestructura IoT funciona de manera correcta globalmente.These tasks can be done by an in-house team that comprises information technology specialists, hardware operations and maintenance teams, and domain specialists who monitor the correct behavior of overall IoT infrastructure.

En las secciones que siguen se proporcionan los procedimientos recomendadas para cada uno de los implicados a fin de desarrollar, implementar y poner en funcionamiento una infraestructura de IoT segura.The sections that follow provide best practices for each of these players to help develop, deploy, and operate a secure IoT infrastructure.

Integrador/fabricante de hardware IoTIoT hardware manufacturer/integrator

Estos son los procedimientos recomendados para los fabricantes de hardware de IoT e integradores de hardware.The following are the best practices for IoT hardware manufacturers and hardware integrators.

  • Acotar el hardware a unos requisitos mínimos: el diseño del hardware debe incluir únicamente las características mínimas necesarias para su funcionamiento.Scope hardware to minimum requirements: The hardware design should include the minimum features required for operation of the hardware, and nothing more. Un ejemplo es la inclusión de puertos USB únicamente si es necesario para el funcionamiento del dispositivo.An example is to include USB ports only if necessary for the operation of the device. Estas características adicionales abren el dispositivo para vectores de ataques no deseados, los cuales deben evitarse.These additional features open the device for unwanted attack vectors that should be avoided.

  • Crear hardware a prueba de manipulaciones: mecanismos integrados para detectar la alteración física del hardware; por ejemplo, abrir la cubierta del dispositivo o quitar una parte de este.Make hardware tamper proof: Build in mechanisms to detect physical tampering, such as opening of the device cover or removing a part of the device. Estas señales de alteración pueden formar parte de la transmisión de datos que se carga en la nube y que podría alertar a los operadores sobre estos eventos.These tamper signals may be part of the data stream uploaded to the cloud, which could alert operators of these events.

  • Basarse en hardware seguro: si COGS lo permite, cree características de seguridad como el almacenamiento seguro y cifrado, o la funcionalidad de arranque basada en el Módulo de plataforma segura (TPM).Build around secure hardware: If COGS permits, build security features such as secure and encrypted storage, or boot functionality based on Trusted Platform Module (TPM). Estas características crean dispositivos más seguros y ayudan a proteger la infraestructura de IoT general.These features make devices more secure and help protect the overall IoT infrastructure.

  • Hacer que las actualizaciones sean seguras: las actualizaciones del firmware son inevitables durante la vigencia del dispositivo.Make upgrades secure: Firmware upgrades during the lifetime of the device are inevitable. La creación de dispositivos con rutas de acceso seguras para las actualizaciones y la garantía criptográfica de la versión del firmware permitirá la protección del dispositivo durante y después de las actualizaciones.Building devices with secure paths for upgrades and cryptographic assurance of firmware versions will allow the device to be secure during and after upgrades.

Desarrollador de soluciones de IoTIoT solution developer

Estos son los procedimientos recomendados para los desarrolladores de soluciones de IoT:The following are the best practices for IoT solution developers:

  • Seguir una metodología de desarrollo de software seguro: el desarrollo de software seguro requiere pensar bien la seguridad, desde la concepción del proyecto hasta su implementación, prueba y desarrollo.Follow secure software development methodology: Development of secure software requires ground-up thinking about security, from the inception of the project all the way to its implementation, testing, and deployment. Esta metodología influye en la elección de plataformas, idiomas y herramientas.The choices of platforms, languages, and tools are all influenced with this methodology. El Ciclo de vida de desarrollo de seguridad de Microsoft proporciona un enfoque paso a paso para la creación de software seguro.The Microsoft Security Development Lifecycle provides a step-by-step approach to building secure software.

  • Elegir software de código abierto con cuidado: el software de código abierto ofrece una oportunidad para desarrollar soluciones con rapidez.Choose open-source software with care: Open-source software provides an opportunity to quickly develop solutions. Al elegir software de código abierto, tenga en cuenta el nivel de actividad de la comunidad para cada componente de código abierto.When you're choosing open-source software, consider the activity level of the community for each open-source component. Una comunidad activa garantiza la compatibilidad con el software; se detectarán problemas, a los que se hará frente.An active community ensures that software is supported and that issues are discovered and addressed. La otra opción es que no se admita un proyecto de software de código abierto complejo e inactivo, y así es probable es que no se detecten problemas.Alternatively, an obscure and inactive open-source software project might not be supported and issues are not likely be discovered.

  • Integrar con cuidado: muchas de las brechas de seguridad del software aparecen en el límite de las bibliotecas y las API.Integrate with care: Many software security flaws exist at the boundary of libraries and APIs. Es posible que la funcionalidad que puede no requerirse para la implementación actual siga estando disponible a través de un nivel de API.Functionality that may not be required for the current deployment might still be available via an API layer. Para garantizar la seguridad general, asegúrese de comprobar que no existen errores de seguridad en todas las interfaces de los componentes que se están integrando.To ensure overall security, make sure to check all interfaces of components being integrated for security flaws.

Implementador de soluciones de IoTIoT solution deployer

A continuación se muestran los procedimientos recomendados para los implementadores de soluciones de IoT:The following are best practices for IoT solution deployers:

  • Implementar hardware de forma segura: las implementaciones de IoT pueden requerir la implementación de hardware en ubicaciones no seguras; por ejemplo, en espacios públicos o configuraciones regionales no supervisadas.Deploy hardware securely: IoT deployments may require hardware to be deployed in unsecure locations, such as in public spaces or unsupervised locales. En este tipo de situaciones, asegúrese de que la implementación de hardware sea lo más resistente posible a las manipulaciones.In such situations, ensure that hardware deployment is tamper-proof to the maximum extent. Si hay puertos USB o de otro tipo disponibles en el hardware, asegúrese de que estos se tratan de forma segura.If USB or other ports are available on the hardware, ensure that they are covered securely. Muchos vectores de ataques pueden usarlos como punto de entrada.Many attack vectors can use these as entry points.

  • Mantener seguras las claves de autenticación: durante la implementación, cada dispositivo requiere identificadores de dispositivo y claves de autenticación asociadas generadas por el servicio en la nube.Keep authentication keys safe: During deployment, each device requires device IDs and associated authentication keys generated by the cloud service. Mantenga seguras estas claves físicamente incluso después de la implementación.Keep these keys physically safe even after the deployment. Un dispositivo malintencionado puede usar cualquier clave en peligro para su enmascaramiento como dispositivo existente.Any compromised key can be used by a malicious device to masquerade as an existing device.

Operador de soluciones de IoTIoT solution operator

Estos son los procedimientos recomendados para los operadores de soluciones de IoT:The following are the best practices for IoT solution operators:

  • Mantener el sistema actualizado: asegúrese de que los sistemas operativos y todos los controladores de los dispositivos están actualizados con las versiones más recientes.Keep the system up-to-date: Ensure that device operating systems and all device drivers are upgraded to the latest versions. Si activa las actualizaciones automáticas en Windows 10 (IoT u otras SKU), Microsoft mantiene el equipo actualizado, ofreciendo a los dispositivos de IoT un sistema operativo seguro.If you turn on automatic updates in Windows 10 (IoT or other SKUs), Microsoft keeps it up-to-date, providing a secure operating system for IoT devices. En el caso de otros sistemas operativos (como Linux), el hecho de mantenerlos actualizados garantiza también su protección contra ataques malintencionados.Keeping other operating systems (such as Linux) up-to-date helps ensure that they are also protected against malicious attacks.

  • Proteger contra la actividad malintencionada: si el sistema operativo lo permite, instale las funcionalidades antivirus y antimalware más recientes en el sistema operativo de todos y cada uno de los dispositivos.Protect against malicious activity: If the operating system permits, install the latest antivirus and antimalware capabilities on each device operating system. Esta práctica puede ayudar a mitigar las amenazas más externas.This practice can help mitigate most external threats. Puede proteger los sistemas operativos más modernos contra amenazas realizando los pasos adecuados.You can protect most modern operating systems against threats by taking appropriate steps.

  • Auditar con frecuencia: la auditoría de los problemas relacionados con la seguridad de la infraestructura de IoT es clave a la hora de responder a incidentes de seguridad.Audit frequently: Auditing IoT infrastructure for security-related issues is key when responding to security incidents. La mayoría de los sistemas operativos proporciona un registro de eventos integrado que se debe revisar con frecuencia para asegurarse de que no se haya producido ninguna infracción de seguridad.Most operating systems provide built-in event logging that should be reviewed frequently to make sure no security breach has occurred. La información de la auditoría se puede enviar como transmisión independiente de telemetría al servicio en la nube, donde puede analizarse.Audit information can be sent as a separate telemetry stream to the cloud service where it can be analyzed.

  • Proteger físicamente la infraestructura de IoT: los peores ataques contra la seguridad de la infraestructura de IoT se inician mediante el acceso físico a los dispositivos.Physically protect the IoT infrastructure: The worst security attacks against IoT infrastructure are launched using physical access to devices. La protección contra el uso malintencionado de puertos USB y otros accesos físicos es una importante práctica de seguridad.One important safety practice is to protect against malicious use of USB ports and other physical access. Una clave para descubrir las infracciones que pudieran haberse producido es registrar el acceso físico, como el uso del puerto USB.One key to uncovering breaches that might have occurred is logging of physical access, such as USB port use. Una vez más, Windows 10 (IoT y el resto de SKU) habilita el registro detallado de estos eventos.Again, Windows 10 (IoT and other SKUs) enables detailed logging of these events.

  • Proteger las credenciales en la nube: es posible que las credenciales de autenticación en la nube usadas para configurar y manejar una implementación de IoT sean la forma más fácil de obtener acceso a un sistema IoT y ponerlo en peligro.Protect cloud credentials: Cloud authentication credentials used for configuring and operating an IoT deployment are possibly the easiest way to gain access and compromise an IoT system. Proteja las credenciales cambiando la contraseña con frecuencia y no usándolas en equipos públicos.Protect the credentials by changing the password frequently, and refrain from using these credentials on public machines.

Las funcionalidades de los distintos dispositivos IoT varían.Capabilities of different IoT devices vary. Algunos dispositivos pueden ser equipos que ejecutan sistemas operativos de escritorio comunes, y otros pueden estar ejecutando sistemas operativos muy ligeros.Some devices might be computers running common desktop operating systems, and some devices might be running very light-weight operating systems. Los procedimientos recomendados de seguridad descritos anteriormente pueden ser aplicables a estos dispositivos en diverso grado.The security best practices described previously might be applicable to these devices in varying degrees. En caso de proporcionarse, deben seguirse las prácticas recomendadas de seguridad e implementación facilitadas por el fabricante de estos dispositivos.If provided, additional security and deployment best practices from the manufacturers of these devices should be followed.

Puede que algunos dispositivos heredados y limitados no se hayan diseñado de forma específica para la implementación de IoT.Some legacy and constrained devices might not have been designed specifically for IoT deployment. Estos dispositivos pueden carecer de la funcionalidad para cifrar datos, conectarse a Internet o proporcionar auditoría avanzada.These devices might lack the capability to encrypt data, connect with the Internet, or provide advanced auditing. En estos casos, una puerta de enlace de campo moderna y segura puede agregar datos desde dispositivos heredados y proporcionar la seguridad necesaria para la conexión a Internet de estos dispositivos.In these cases, a modern and secure field gateway can aggregate data from legacy devices and provide the security required for connecting these devices over the Internet. Las puertas de enlace de campo proporcionan una autenticación segura, una negociación de sesiones cifradas, la recepción de comandos desde la nube y muchas otras características de seguridad.Field gateways can provide secure authentication, negotiation of encrypted sessions, receipt of commands from the cloud, and many other security features.

Otras referenciasSee also

Para más información acerca de cómo proteger una solución creada por un acelerador de soluciones de IoT, consulte Secure your IoT deployment (Protección de su implementación IoT).To learn more about securing a solution created by an IoT solution accelerator, see Secure your IoT deployment.

Puede informarse sobre la seguridad en IoT Hub en Control del acceso a IoT Hub en la Guía del desarrollador de IoT Hub.Read about IoT Hub security in Control access to IoT Hub in the IoT Hub developer guide.