Gracias a los avances tecnológicos como las soluciones móviles y en la nube, hoy en día el control de acceso electrónico es más factible y conveniente. El teléfono inteligente, que antes solo servía para comunicarnos y obtener información, ahora también es una herramienta que nos permite desbloquear la entrada de una oficina e incluso abrir las puertas de nuestra casa.

Para las empresas que nunca antes habían podido invertir en infraestructura para ofrecer un control de acceso de clase mundial, hoy tienen la oportunidad de contar con tecnología de seguridad física como el control de acceso como servicio (ACaaS) basado en la nube.

Sin embargo, todos estos avances tecnológicos, como el control de acceso electrónico, las soluciones móviles y en la nube, y la variedad de dispositivos de hardware agregados a una red como lectores, controladores y bloqueos electrónicos; pueden hacer que una solución sea vulnerable a amenazas y a ataques cibernéticos. Por ello, un sistema de control de acceso no solo debe asegurar las puertas, sino que también debe protegerse de ataques cibernéticos.

Se estima que para el año 2025 existan más de 300 millones de dispositivos con acceso a las redes en México, 70% más de los 180 millones que ya existen. Este incremento rebasará la tasa de crecimiento de la población, que para el mismo periodo se estima de 8%, según la Asociación de Internetmx. Lo anterior representa un terreno fértil para los ciberdelincuentes que día con día buscan explotar nuevas vulnerabilidades. En México, tan solo en 2018 los delitos cibernéticos superaron al soborno, la corrupción y al robo.

¿Qué tan seguros son los dispositivos móviles en el control de acceso?

El uso de teléfonos inteligentes en una solución de control de acceso basada en la red, podría plantear preocupaciones sobre la ciberseguridad. Circulan rumores de que las nuevas tecnologías como Bluetooth o Near Field Communication (NFC) no son seguras. Sin embargo, cuando se configuran y mantienen correctamente, lo son. "Bluetooth y NFC son simplemente canales a través de los cuales se transmite la información. Creer que Bluetooth no es seguro sería como sugerir que Internet no es seguro", afirma Philippe Verrier, Gerente de Programas de Mercadeo de Genetec, proveedor líder en soluciones de seguridad unificada, operaciones e inteligencia. "En ambos casos, la seguridad de su comunicación depende de la tecnología, los protocolos y las salvaguardas establecidas", señala.

Al usar teléfonos móviles en el control de acceso, el enfoque debe estar en asegurar los dispositivos. Antes de implementar credenciales móviles, especialistas sugieren hacerse las siguientes preguntas: ¿Cómo se genera, almacena y protege la credencial en el dispositivo?, ¿cómo se comunica el dispositivo con el lector? y ¿cómo el lector accede de forma segura a la información de la credencial?

Uno de los estudios más recientes realizado por Kaspersky señala que los teléfonos inteligentes se han convertido en pequeños ordenadores conectados de manera permanente, y cerca del 30% de los usuarios ignoran sobre los software móviles maliciosos, lo que favorece a los cibercriminales.

Muestra de ello son las advertencias que recientemente han señalado investigadores de ciberseguridad sobre un software malicioso en mensajes de texto, en los que se hacen pasar por operadores de telecomunicaciones, lo que abre la puerta para que los piratas informáticos ataquen teléfonos inteligentes.

Las tarjetas inteligentes son seguras: si se elige la tarjeta correcta y se toman las precauciones adecuadas

A medida que avanzan las tecnologías de control de acceso, hemos aprendido que tecnologías más antiguas (como la banda magnética y las tarjetas de proximidad) pueden ser inseguras. Por ello, es recomendable que al elegir tarjetas inteligentes para una solución de control de acceso, se elija siempre la última generación con la tecnología más actualizada, incluyendo MiFARE DesFIRE EV1 o EV2 y HID iCLASS SEOS.

Lo mismo ocurre con las cerraduras electrónicas

El control de acceso tiene muchas facetas, pero la principal es la cerradura electrónica. Hoy en día, hay cerraduras electrónicas que se suman al mercado de los dispositivos que solo necesitan de una conexión a Internet, y no de cableado, para su funcionamiento. De acuerdo con la consultora Gartner, para el año 2020 serán alrededor de 20.000 millones de dispositivos los que formarán parte del IoT. Lo anterior puede ser el blanco perfecto para un ataque cibernético. Por ello, existen fabricantes acreditados de cerraduras electrónicas que han diseñado protocolos de seguridad como el cifrado y la autenticación para ayudar a prevenir ataques maliciosos (y accesos no autorizados).

Ciberseguridad: una prioridad al elegir una solución de control de acceso

La protección contra amenazas cibernéticas incluye comunicaciones cifradas de extremo a extremo para software y hardware, autenticación segura basada en notificaciones y certificados digitales. Sin embargo, se sugiere realizar pruebas periódicas para tratar de detectar vulnerabilidades antes de que se conviertan en una amenaza para los usuarios finales. "En soluciones de control de acceso es importante cerciorarse de que toda la infraestructura sea segura, desde el servidor hasta el lector", asegura Philippe Verrier.

La privacidad también es importante. Debido a que las credenciales de control de acceso pueden contener datos privados de los usuarios e información confidencial de las empresas, se recomienda un proveedor comprometido con la privacidad y la ciberseguridad que cuente con certificaciones de la industria (como ISO 27001) y que cumpla con las legislaciones diseñadas para proteger la privacidad (como GDPR).

En el caso de México, existe un marco legal para la protección de datos personales previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (para organismos no gubernamentales) y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (para organismos gubernamentales). Esta ley obliga a quienes manejan datos personales, a establecer y mantener medidas de seguridad administrativas, técnicas y físicas; lo que protege la información personal contra daño, pérdida, destrucción, uso, acceso o tratamiento no autorizado. El marco legal también especifica obligaciones de confidencialidad, que definen los casos específicos en los que se puede compartir información privada con otras entidades, y las precauciones debidas para esa transacción.

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) desarrolla y publica material para asistir a organismos que manejan datos personales. Cualquier organización que no se apegue a este marco legal está sujeta a sanciones.

"Una plataforma de seguridad física unificada es una solución de software integral que administra el control de acceso, intercomunicador, intrusión, video, ALPR y análisis a través de una arquitectura abierta centralizada creada para proporcionar acceso completo a todos los datos en una sola interfaz", comenta el Gerente de Genetec. Con soluciones unificadas, las protecciones de ciberseguridad para todos los sistemas se supervisan de forma continua. Los sistemas de monitoreo de salud dentro de soluciones unificadas pueden detectar y abordar amenazas antes de que se conviertan en problemas realmente serios.

Genetec incluye como parte de sus soluciones, un índice de seguridad que es una herramienta que sirve como guía y en la que es posible ver los pasos que se deben seguir, cuáles hacen falta por implementarse y cómo llevarlos a cabo. Al ser un entorno dinámico, la solución detecta alguna actualización crítica a nivel de firmware y lanza un aviso, previniendo así, el riesgo de ciberataques.

Al elegir un integrador para implementar un sistema de control de acceso, hay que asegurarse de preguntar acerca de la seguridad cibernética, pues hay proveedores que ofrecen pólizas de seguro para proteger contra el costo potencialmente devastador de un ciberataque.