Articles

News

Minimize

¿Cómo eliminar el riesgo de falsificación de productos electrónicos con la fabricación segura?

abril 12, 2022 | Categories: Seguridad

Los productos electrónicos falsificados o fraudulentos constituyen un enorme problema para los fabricantes de equipos originales y de dispositivos, especialmente para aquellos que dependen de una cadena de suministro global y de la programación y el montaje en fabricantes externos por contrato. Esto se debe a que la cadena de suministro de dispositivos electrónicos no es fundamentalmente segura y resulta fácil de desviar por terceros que clonan productos, sobreproducen dispositivos, roban propiedad intelectual durante el proceso de fabricación o reemplazan los circuitos integrados que originalmente especificó el fabricante de equipos originales por otros de menor calidad o falsificados.
 
La inseguridad de la cadena de suministro tiene evidentes repercusiones financieras para los fabricantes de equipos originales: según los informes, las empresas industriales y de consumo pierden unos 250.000 millones de dólares cada año debido a la falsificación de componentes electrónicos.

No menos preocupante es el impacto que estos dispositivos falsificados tienen sobre la seguridad y la funcionalidad. En 2016, los investigadores de la empresa de ciberseguridad de Georgia BorderHawk descubrieron fallos de seguridad en un dispositivo de red común llamado gestor de energía remoto (RPM) que había sido comprado a un fabricante chino. Según el Christian Science Monitor, los investigadores de BorderHawk estaban trabajando en un proyecto diferente en una gran empresa de energía cuando detectaron un tráfico de red inusual en la red de su cliente. Su investigación reveló que el dispositivo RPM contenía enlaces a un dominio conocido y malicioso ubicado en China; el firmware del dispositivo también contenía comandos ocultos que podían utilizarse para obtener listas de cuentas de usuario y contraseñas para acceder al dispositivo y dar a los hackers con malas intenciones acceso directo a los centros de datos y las aplicaciones empresariales.

"Por desgracia, los investigadores de seguridad dicen que este tipo de vulnerabilidades son comunes y a menudo son difíciles de detectar", escribió el Christian Science Monitor. "El problema es un derivado de los cambios en la forma en que las empresas tecnológicas se abastecen y construyen sus productos, que a menudo dependen de redes remotas de fabricantes y proveedores que trabajan con poca supervisión o control de calidad".

Según la publicación Military Embedded Systems, incluso la cadena de suministro del Departamento de Defensa de Estados Unidos tiene riesgo de falsificación de piezas: El Departamento de Defensa calcula que hasta el 15% de todas las piezas de repuesto y de recambio para la electrónica militar resultan ser falsas.
 
Lo que se necesita es una cadena de suministro de productos electrónicos más fiable, basada en procesos y herramientas de fabricación seguros que controlen y gestionen mejor las prácticas de fabricación en las fábricas de terceros. El objetivo de la fabricación segura es garantizar que los dispositivos de los fabricantes de equipos originales se produzcan de acuerdo con las especificaciones del hardware, el firmware y los datos del fabricante, y sin que se pierda la propiedad intelectual del fabricante. Asimismo, los procesos de fabricación segura están diseñados para autenticar los circuitos integrados como prueba de origen del proveedor de silicio antes de su suministro, con el fin de evitar la producción de dispositivos falsificados o fraudulentos.

Cómo incorporar seguridad y fiabilidad a los dispositivos

Es necesario incorporar la seguridad y la confianza a los dispositivos con seguridad basada en hardware para implementar la integridad de la cadena de suministro y la fabricación segura. Para conseguir esto es necesario instaurar una serie de elementos clave. En primer lugar, los fabricantes de equipos originales deben emplear elementos de circuitos integrados o unidades de microcontroladores (MCU) seguros con almacenamiento protegido por una raíz de confianza basada en hardware y un entorno de ejecución de confianza. Estos elementos o unidades de microcontroladores también deben disponer de una ruta de arranque inmutable y de un verdadero mecanismo de generación de números aleatorios para permitir que se genere y utilice una identidad de dispositivo única.

Aunque es necesario utilizar elementos o unidades seguras para la seguridad del dispositivo final, es necesario realizar operaciones adicionales para ampliar y mejorar la seguridad proporcionada por las raíces de confianza basadas en hardware.  
Esto se logra en la fabricación mediante el proceso de aprovisionamiento seguro que establece las raíces de confianza del hardware en un dispositivo y, por lo tanto, crea la identidad del dispositivo y las credenciales de seguridad específicas del dispositivo y vincula estos elementos de seguridad al circuito integrado responsable de la seguridad del dispositivo.  

Las credenciales de seguridad, como las claves, los certificados, la cadena de confianza, el firmware y los datos que se introducen en el circuito integrado de un dispositivo son secretos muy importantes para un fabricante de equipos originales.  En caso de que un tercero con malas intenciones acceda a estas credenciales de seguridad durante el proceso de fabricación, se puede poner en peligro la seguridad implementada en los dispositivos. Por lo tanto, para proteger las credenciales de seguridad que deben introducirse en los dispositivos durante la fabricación, es fundamental que el propio proceso de implantación sea seguro.

Autenticación de circuitos integrados antes del aprovisionamiento

Data I/O ha desarrollado la plataforma de despliegue de seguridad como servicio SentriX® para cumplir los requisitos de la fabricación segura. Gracias a SentriX, los fabricantes de equipos originales tienen ahora la posibilidad de proteger su cadena de suministro y fabricar dispositivos seguros a gran escala, sin riesgo de falsificación, utilizando un servicio de despliegue de seguridad de confianza.

El proceso de programación de SentriX está diseñado para autenticar los circuitos integrados como prueba de origen del proveedor de silicio antes de introducir credenciales de seguridad adicionales en el dispositivo, con el fin de evitar la fabricación de dispositivos falsificados o de calidad inferior. Los circuitos integrados de elementos seguros y las unidades de microcontroladores proporcionan un proceso de autenticación seguro basado en la criptografía que se basa en un certificado de identidad del circuito integrado del proveedor de silicio que se aprovisiona previamente en el circuito integrado durante el proceso de fabricación. Durante el proceso de autenticación SentriX para circuitos integrados individuales, se leen del circuito integrado un ID de proveedor de silicio, un ID de producto y un número de serie y se comparan con una lista de dichos datos proporcionada por el proveedor de silicio. Si los datos leídos del circuito integrado no se encuentran en la lista proporcionada por el proveedor de silicio, el dispositivo se marca como falso y se elimina del proceso de fabricación.

SentriX se ha diseñado con el objetivo primordial de asegurar y simplificar el proceso de aprovisionamiento de circuitos integrados y ayudar a eliminar el riesgo de que entren en el mercado dispositivos falsificados. La plataforma de despliegue de seguridad SentriX ayuda a los fabricantes de equipos originales a superar los retos clave de la definición de la seguridad de los dispositivos, la fabricación y el aprovisionamiento seguros de la confianza en los dispositivos durante la fabricación, para mejorar la seguridad, reducir los costes, acelerar el tiempo de comercialización y aumentar la integridad de la cadena de suministro.

Para obtener más información sobre SentriX IoT Security as-a-Service (seguridad como servicio en el Internet de las cosas), descargue nuestro nuevo libro electrónico titulado Securing the Electronics Supply Chain with SentriX IoT Security as-a-Service (Proteger la cadena de suministro de productos electrónicos con SentriX IoT Security as-a-Service) o visite nuestro sitio web en www.dataio.com/SentriX. 

Theme picker

Footer Logo

Minimize

Footer Contact

Minimize

Data I/O Corporation
6645 185th Avenue NE, Suite 100
Redmond, WA 98052 USA

Telephone: +1 425-881-6444
Toll Free in USA: 800-426-1045
FAX: +1 425-867-6972