Ir al contenido principal
Seguridad: ¿Es Ubidots Seguro?

Cómo Ubidots gestiona la seguridad y cuáles son algunas mejores prácticas para mantener tus datos seguros.

David Sepúlveda avatar
Escrito por David Sepúlveda
Actualizado hace más de 2 meses

La seguridad es importante en todos los aspectos de la vida: conducir un automóvil, volar en un avión y subir contenido a las redes sociales. Lo mismo ocurre con los datos de sus sensores que se envían a Ubidots. Ubidots es una plataforma optimizada diseñada para facilitar su uso y rápida implementación, con las mejores prácticas de seguridad integradas en el proceso. Para añadir capas adicionales de seguridad, recomendamos utilizar su propio firmware mientras utiliza las bibliotecas de Ubidots como referencia. A continuación, encontrará algunas de las mejores prácticas de la API de Ubidots y algunas medidas preventivas que puede tomar para mantener sus datos seguros.

Mejores Prácticas de la API

HTTP con Cifrado SSL

HTTPS implica el uso de un certificado SSL - "SSL" significa capa de sockets seguros - que crea una conexión segura y cifrada entre nuestros servidores y sus dispositivos. HTTPS nos ayuda a garantizar confidencialidad, autenticidad e integridad.

Para activar su certificado SSL, consulte sus cuentas de Ubidots y solicite el SSL de forma gratuita; Ubidots responderá dentro de 48 horas actualizándole sobre la activación de HTTPS en su aplicación. Haga clic aquí para aprender más sobre cómo solicitar el certificado SSL de su aplicación.

MQTT con Cifrado TLS

Ubidots admite el protocolo MQTT, un transporte de mensajería ligero de publicación/suscripción optimizado para IoT que admite cifrado TLS. TLS (Seguridad de la Capa de Transporte) proporciona un canal de comunicación seguro entre un cliente y un servidor. Al igual que SSL, TLS es un protocolo criptográfico que utiliza un mecanismo de apretón de manos para crear una conexión segura entre el cliente y el servidor. Una vez completado el apretón de manos, se establece una comunicación cifrada entre el cliente y el servidor, y ningún atacante podría entender el contenido de la comunicación.

Autenticación Basada en Token

A diferencia de la autenticación tradicional basada en servidor, donde un nombre de usuario y una contraseña deben enviarse en cada solicitud (exponiéndolos constantemente a posibles atacantes), la autenticación basada en token asigna un token firmado después de la primera solicitud, que luego puede usarse para solicitudes posteriores. Así es como se lleva a cabo la autenticación basada en token:

  1. Un Cliente solicita un token de seguridad utilizando una API Key

  2. Nuestra Aplicación valida la API Key

  3. Nuestra Aplicación proporciona un token firmado de vuelta al cliente

  4. El Cliente almacena ese token y lo envía junto con cada solicitud

  5. El servidor verifica el token y acepta las solicitudes

  6. Si el Cliente no utiliza el token durante más de 6 horas, deberá solicitar un nuevo token utilizando la API key.

La autenticación basada en token se ha convertido en el estándar para las API web y Ubidots también la ha adoptado como una mejor práctica. El token, que no es una cookie, se envía en cada solicitud, y al no enviarse ninguna cookie, se pueden prevenir ataques de CSRF. También admitimos revocación de tokens que le permite invalidar un token específico de su cuenta.

Token en los Encabezados HTTP

Ubidots admite un medio alternativo para la autenticación, que es especificar el Token en la URL como un parámetro en la forma de "token=". Habilitamos esto para ayudarle a construir prototipos más rápido, ya que algunos dispositivos pueden requerir codificación adicional para establecer encabezados HTTP, lo que hace más simple usar el Token en la URL.

Sin embargo, cuando pase a producción, tenga en cuenta que recomendamos enviar el token en los encabezados HTTP, utilizando el campo de encabezado HTTP "X-Auth-Token" en lugar del parámetro de consulta "token=" ya que proporciona un nivel adicional de seguridad.

Aunque utilizamos HTTPS para garantizar que todas las solicitudes estén cifradas para el transporte de red, existe la posibilidad de que la URL en texto plano, con el valor del token, pueda aparecer en los registros de los servidores HTTP que procesan las solicitudes. Además, hay exploits de spyware mediante los cuales ciertas extensiones de navegador rastrean y agregan el comportamiento de navegación y venden esos datos a terceros. Nuevamente, el uso de un token como parámetro de consulta podría dar lugar a una exposición no intencionada de su token.

Protección de Datos

Trabajando con Proveedores de Nube Líderes

Las licencias de Ubidots se alojan por defecto en el Centro de Datos de Toronto de IBM. Los usuarios industriales pueden solicitar la implementación en un centro de datos diferente o en un proveedor de nube líder.

Trabajar con proveedores de nube reconocidos nos ayuda a minimizar el riesgo de interrupciones, dado su enfoque en la fiabilidad y el tiempo de actividad. La nube de IBM cumple con más de 15 directrices, incluyendo:

  • ISO 270001: Un estándar de seguridad global ampliamente adoptado que describe los requisitos para los sistemas de gestión de seguridad de la información y proporciona un enfoque sistemático para gestionar la información de la empresa y del cliente basado en evaluaciones de riesgo periódicas.

  • SAS 70: La Declaración sobre Normas de Auditoría (SAS) No. 70, es un estándar de auditoría ampliamente reconocido desarrollado por el Instituto Americano de Contadores Públicos Certificados (AICPA). Representa que una organización de servicios ha pasado por un examen en profundidad de sus objetivos de control y actividades de control, que a menudo incluyen controles sobre tecnología de la información y procesos relacionados.

Gestión de Usuarios Multi-AAA

La autenticación, autorización y contabilidad (AAA) es un término utilizado para describir un marco que controla con éxito el acceso a los recursos informáticos, hace cumplir políticas, audita el uso y proporciona la información necesaria para facturar por servicios.

Una licencia de Ubidots le permite tener control sobre quién puede acceder a los datos de su dispositivo en diferentes niveles: aplicaciones, clientes y usuarios finales.

  • Permisos de Aplicaciones: Establecer qué organizaciones pueden acceder a una aplicación específica.

  • Permisos de Organización: Establecer qué dispositivos, paneles de control y usuarios pertenecen a una Organización específica y pueden acceder a ella.

  • Permisos de Usuario: Agregar usuarios a organizaciones, establecer contraseñas o revocar el acceso cuando sea necesario.

Ubidots se ha comprometido a ser un lugar seguro para su desarrollo, exploración y despliegues de IoT. Utilizando las mejores prácticas proporcionadas en este artículo y limitando el acceso con la gestión de usuarios Multi-AAA de Ubidots, puede proteger sus valiosos conocimientos de intrusos maliciosos.


¿Ha quedado contestada tu pregunta?