Seguridad y privacidad en IoT: ¿estamos a tiempo?Miguel Martínez Revilla 17 junio, 2015 A medida que la tecnología evoluciona y avanza el proceso evangelizador del Internet de las cosas, empresas de todo tipo y en todas partes del mundo se lanzan a conectar masivamente cualquier dispositivo capaz de generar y transmitir información (relevante en muchas ocasiones y no tanto en muchas otras). El ritmo de despliegue aumenta año tras año, y la fiebre que genera IoT parece estar en lo más alto de su hype. Sin embargo, este crecimiento desmesurado ha hecho que integradores, desarrolladores de software y fabricantes de hardware se olviden de un elemento primordial que puede dar dolor de cabeza a clientes de todo tipo: la seguridad y privacidad. Las cosas claras. El problema de seguridad del mundo IoT no está en las neveras conectadas que actúan como botnets, tampoco en grabadores de vídeo CCTV usados fraudulentamente para minar bitcoins, ni siquiera en semáforos y sistemas de control de tráfico con importantes vulnerabilidades y desastrosas consecuencias. El problema de seguridad se encuentra en conseguir proteger correctamente la información almacenada, en la inteligencia que se pueda obtener de ella y, en definitiva, en el beneficio económico que grupos maliciosos puedan lograr. Porque, en el fondo, el negocio del hacking se rige por las mismas normas que cualquier otro; en este caso se basa en la venta a gran escala, desde bases de clientes con todo lujo de detalle, hasta históricos de consumos energéticos de barrios enteros. Y es que durante años hemos percibido que existían altos niveles de seguridad y privacidad por el hecho de estar desconectados de la Red. Mientras que el acceso a Internet suponía cruzar la línea de riesgo que nos exponía a innumerables peligros, la vida off line, tanto en comunicaciones personales como de máquinas, parecía ser un lugar seguro. Sin embargo, esta situación se vuelve en contra en un mundo hiperconectado con cada vez más objetos con una dirección IP: Televisiones conectadas que obtienen y procesan nuestra voz para suplantar identidades Coches conectados que reportan informes históricos de lugares visitados Termostatos inteligentes que revelan las horas que pasamos en casa Pulseras Fitbit que publican un historial médico de sus usuarios Todos ellos objetos del día a día que acaban conformando un pulcro y detallado perfil sobre usuarios y empresas. Información al instante sobre gustos, consumos, constantes vitales, patrones de movimiento… Los chicos malos. Pero la pregunta es: ¿realmente tiene valor descubrir lo que hay en la nevera de un usuario? O ¿cuál es el precio de conocer un histórico de consumos energéticos? Como en muchos otros aspectos, el dato aislado de un usuario no tiene valor si no es visto de forma agregada. Sólo contemplando la foto completa se entienden los detalles concretos, pero conviene preguntarse quién puede estar detrás de un ataque de este tipo y con qué fin lo realiza: Naif attack, liderado por aquellos defensores de una causa que precisamente busca concienciar a la gente para la adopción de una cultura de la privacidad. Sus objetivos son cualquier dispositivo de electrónica de consumo: desde routers hasta smartTVs, pasando por termostatos conectados o incluso vehículos. Palabras mayores son cuando nos referimos a ciberterrorismo: generadores de malware, expertos en intrusión de sistemas y, en definitiva, equipos organizados con mayor capacidad de actuación cuyos ataques pueden ir dirigidos contra redes de distribución de energía, cuencas hidrográficas e instalaciones gubernamentales. En un tercer bloque estarían los cibercriminales y los equipos de fraude, con el aspecto económico como único fin y con objetivos claros como las transacciones bancarias, las entidades comerciales, los negocios en Internet, utilities, operadores telco… ¿Cómo se mide la seguridad? Entendidos los riesgos y asumidas las potenciales consecuencias de un ataque, conviene cuantificar el coste de la defensa. Para ello, la teoría nos dice que un sistema es seguro cuando se cumplen los tres pilares básicos: autenticación (el emisor debe saber quién es el receptor), confidencialidad (nadie, salvo el receptor elegido, debe ser capaz de interpretar el mensaje) e integridad (el mensaje no debe poder ser manipulado). Por otro lado, el objetivo de una buena defensa consiste en hacer que los esfuerzos necesarios para el ataque superen a la motivación del atacante, y para ello existen las siguientes medidas que cada vez más se implementan en sistemas IoT: Sistemas propietarios de cifrado de los datos almacenados: supone una solución efectiva a corto y medio plazo, pero sobre todo implica un coste mayor (en tiempo, esfuerzos, recursos) para el atacante. Sistemas de autenticación: El proceso de autenticado ayuda a garantizar la integridad y autenticidad de la información transmitida. El uso de SMS seguro mediante tokens, o el empleo de protocolos IPSec para las comunicaciones entre dispositivos, son medidas esenciales para una correcta prevención. Empleo de protocolos seguros: Por último, protocolos como TLS o SSL se antojan necesarios en la capa de transporte. Conviene a su vez prestar atención a los últimos desarrollos en lightweight cryptography, que ofrecen soluciones igual de robustas con cada vez menor capacidad de computación (cifradores Spongent, por no hablar de las futurísticas opciones que brinda la post-quantum cryptography). Sea como fuere, es importante que la seguridad adquiera la relevancia que merece en el entorno tecnológico actual. Para ello, la constante repercusión en los medios sobre ataques a sistemas IoT, así como la creciente preocupación por parte de empresas que sufren pérdidas de información, hace que cada vez más las empresas y particulares entiendan los riesgos que supone exponer arquitecturas IoT sin una protección adecuada. ¿Seremos capaces de conseguir sistemas suficientemente seguros? La tecnología es, sin duda, una ayuda pero el eslabón más delicado no son las cosas, sino las personas. Imagen: elhombredenegro La transformación digital llega a la política: siete clavesMapfre, un ejemplo de excelencia en la experiencia de cliente
Alicia Díaz Sánchez Pódcast y audiolibros: una tendencia al alza para estar informados y entretenerse ¿A qué se debe el boom de los pódcast y los audiolibros? ¿Es un síntoma más de la necesidad de aprovechar al máximo cada momento o un signo de...
Cristóbal Corredor Ardoy Las soluciones de colaboración habilitan una cultura empresarial digital Recientemente escribía que si bien las reuniones virtuales han experimentado un boom durante la pandemia no nacen con ella. Tampoco las soluciones de colaboración son consecuencia del teletrabajo, ya...
Julio Jesús Sánchez García Inteligencia artificial y salud digital: su potencial de transformación y aplicaciones prácticas La inteligencia artificial es uno de los campos de mayor desarrollo en el ámbito de la tecnología aplicada a la transformación digital de la sanidad. En este blog ya...
Mercedes Núñez Tech cities 2021: la digitalización como herramienta competitiva “Profesionales TI, al alza: un sueldo hasta 11.000 euros superior a la media española y una demanda de perfiles que casi se duplica cada dos años”. Éste era el...
Danella Porras Esmeral Del liderazgo tradicional al MESSY He de confesar que cuando leí por primera vez el título de esta mesa redonda -“Del liderazgo tradicional al MESSY”- en la edición del Talent Day de este...
Martín Merino Eiró “Screen skills”: las nuevas habilidades digitales Recientemente se celebraba, de manera híbrida, la edición 2021 de DES-Madrid (Digital Entreprise Show), un evento especializado en la transformación digital de las organizaciones, del que Telefónica Empresas fue...
