Seguridad y privacidad en IoT: ¿estamos a tiempo?Miguel Martínez Revilla 17 junio, 2015 A medida que la tecnología evoluciona y avanza el proceso evangelizador del Internet de las cosas, empresas de todo tipo y en todas partes del mundo se lanzan a conectar masivamente cualquier dispositivo capaz de generar y transmitir información (relevante en muchas ocasiones y no tanto en muchas otras). El ritmo de despliegue aumenta año tras año, y la fiebre que genera IoT parece estar en lo más alto de su hype. Sin embargo, este crecimiento desmesurado ha hecho que integradores, desarrolladores de software y fabricantes de hardware se olviden de un elemento primordial que puede dar dolor de cabeza a clientes de todo tipo: la seguridad y privacidad. Las cosas claras. El problema de seguridad del mundo IoT no está en las neveras conectadas que actúan como botnets, tampoco en grabadores de vídeo CCTV usados fraudulentamente para minar bitcoins, ni siquiera en semáforos y sistemas de control de tráfico con importantes vulnerabilidades y desastrosas consecuencias. El problema de seguridad se encuentra en conseguir proteger correctamente la información almacenada, en la inteligencia que se pueda obtener de ella y, en definitiva, en el beneficio económico que grupos maliciosos puedan lograr. Porque, en el fondo, el negocio del hacking se rige por las mismas normas que cualquier otro; en este caso se basa en la venta a gran escala, desde bases de clientes con todo lujo de detalle, hasta históricos de consumos energéticos de barrios enteros. Y es que durante años hemos percibido que existían altos niveles de seguridad y privacidad por el hecho de estar desconectados de la Red. Mientras que el acceso a Internet suponía cruzar la línea de riesgo que nos exponía a innumerables peligros, la vida off line, tanto en comunicaciones personales como de máquinas, parecía ser un lugar seguro. Sin embargo, esta situación se vuelve en contra en un mundo hiperconectado con cada vez más objetos con una dirección IP: Televisiones conectadas que obtienen y procesan nuestra voz para suplantar identidades Coches conectados que reportan informes históricos de lugares visitados Termostatos inteligentes que revelan las horas que pasamos en casa Pulseras Fitbit que publican un historial médico de sus usuarios Todos ellos objetos del día a día que acaban conformando un pulcro y detallado perfil sobre usuarios y empresas. Información al instante sobre gustos, consumos, constantes vitales, patrones de movimiento… Los chicos malos. Pero la pregunta es: ¿realmente tiene valor descubrir lo que hay en la nevera de un usuario? O ¿cuál es el precio de conocer un histórico de consumos energéticos? Como en muchos otros aspectos, el dato aislado de un usuario no tiene valor si no es visto de forma agregada. Sólo contemplando la foto completa se entienden los detalles concretos, pero conviene preguntarse quién puede estar detrás de un ataque de este tipo y con qué fin lo realiza: Naif attack, liderado por aquellos defensores de una causa que precisamente busca concienciar a la gente para la adopción de una cultura de la privacidad. Sus objetivos son cualquier dispositivo de electrónica de consumo: desde routers hasta smartTVs, pasando por termostatos conectados o incluso vehículos. Palabras mayores son cuando nos referimos a ciberterrorismo: generadores de malware, expertos en intrusión de sistemas y, en definitiva, equipos organizados con mayor capacidad de actuación cuyos ataques pueden ir dirigidos contra redes de distribución de energía, cuencas hidrográficas e instalaciones gubernamentales. En un tercer bloque estarían los cibercriminales y los equipos de fraude, con el aspecto económico como único fin y con objetivos claros como las transacciones bancarias, las entidades comerciales, los negocios en Internet, utilities, operadores telco… ¿Cómo se mide la seguridad? Entendidos los riesgos y asumidas las potenciales consecuencias de un ataque, conviene cuantificar el coste de la defensa. Para ello, la teoría nos dice que un sistema es seguro cuando se cumplen los tres pilares básicos: autenticación (el emisor debe saber quién es el receptor), confidencialidad (nadie, salvo el receptor elegido, debe ser capaz de interpretar el mensaje) e integridad (el mensaje no debe poder ser manipulado). Por otro lado, el objetivo de una buena defensa consiste en hacer que los esfuerzos necesarios para el ataque superen a la motivación del atacante, y para ello existen las siguientes medidas que cada vez más se implementan en sistemas IoT: Sistemas propietarios de cifrado de los datos almacenados: supone una solución efectiva a corto y medio plazo, pero sobre todo implica un coste mayor (en tiempo, esfuerzos, recursos) para el atacante. Sistemas de autenticación: El proceso de autenticado ayuda a garantizar la integridad y autenticidad de la información transmitida. El uso de SMS seguro mediante tokens, o el empleo de protocolos IPSec para las comunicaciones entre dispositivos, son medidas esenciales para una correcta prevención. Empleo de protocolos seguros: Por último, protocolos como TLS o SSL se antojan necesarios en la capa de transporte. Conviene a su vez prestar atención a los últimos desarrollos en lightweight cryptography, que ofrecen soluciones igual de robustas con cada vez menor capacidad de computación (cifradores Spongent, por no hablar de las futurísticas opciones que brinda la post-quantum cryptography). Sea como fuere, es importante que la seguridad adquiera la relevancia que merece en el entorno tecnológico actual. Para ello, la constante repercusión en los medios sobre ataques a sistemas IoT, así como la creciente preocupación por parte de empresas que sufren pérdidas de información, hace que cada vez más las empresas y particulares entiendan los riesgos que supone exponer arquitecturas IoT sin una protección adecuada. ¿Seremos capaces de conseguir sistemas suficientemente seguros? La tecnología es, sin duda, una ayuda pero el eslabón más delicado no son las cosas, sino las personas. Imagen: elhombredenegro La transformación digital llega a la política: siete clavesMapfre, un ejemplo de excelencia en la experiencia de cliente
Alejandro de Fuenmayor Veintiuna tendencias tecnológicas para 2021 Hace poco más de un año en este mismo blog hacía una pequeña predicción sobre las tecnologías que predominarían en 2020. Hoy es el turno de las tendencias tecnológicas...
Mercedes Núñez Imascono: “Nuestro camino siempre ha sido un viaje al futuro” En España tenemos un gran talento digital. Debemos reforzar la colaboración público-privada y entre grandes empresas y pymes para impulsar la exportación de nuestra tecnología Imascono es una pequeña empresa...
Félix Hernández Herramientas digitales para complementar la estrategia de vacunación del COVID Esta vacuna es el paradigma del progreso científico-técnico del siglo XXI. Si hacemos memoria, el coronavirus fue identificado genéticamente en Wuhan hace apenas un año, a finales de...
Antonio Moreno Aranda Smart Grids: el papel clave de las redes inteligentes en la transición energética “La mejor energía es la que no se consume”: ésta fue una de las reflexiones que se escuchó en el VII Congreso Smart Grids, que se celebró, de forma...
Fernando Rodríguez Cabello La automatización inteligente despega En el marco del impulso a la digitalización, 2020 también ha supuesto un importante avance para la automatización inteligente. Así lo recoge el informe de Deloitte “Automation with intelligence”. Frente...
Mercedes Núñez Competencias digitales… para hacer vida normal Según la Unión Europea, una de cada dos ofertas de trabajo en España ya son empleos digitales y para el año que viene el 45 por ciento de las...
