Seguridad y privacidad en IoT: ¿estamos a tiempo?Miguel Martínez Revilla 17 junio, 2015 A medida que la tecnología evoluciona y avanza el proceso evangelizador del Internet de las cosas, empresas de todo tipo y en todas partes del mundo se lanzan a conectar masivamente cualquier dispositivo capaz de generar y transmitir información (relevante en muchas ocasiones y no tanto en muchas otras). El ritmo de despliegue aumenta año tras año, y la fiebre que genera IoT parece estar en lo más alto de su hype. Sin embargo, este crecimiento desmesurado ha hecho que integradores, desarrolladores de software y fabricantes de hardware se olviden de un elemento primordial que puede dar dolor de cabeza a clientes de todo tipo: la seguridad y privacidad. Las cosas claras. El problema de seguridad del mundo IoT no está en las neveras conectadas que actúan como botnets, tampoco en grabadores de vídeo CCTV usados fraudulentamente para minar bitcoins, ni siquiera en semáforos y sistemas de control de tráfico con importantes vulnerabilidades y desastrosas consecuencias. El problema de seguridad se encuentra en conseguir proteger correctamente la información almacenada, en la inteligencia que se pueda obtener de ella y, en definitiva, en el beneficio económico que grupos maliciosos puedan lograr. Porque, en el fondo, el negocio del hacking se rige por las mismas normas que cualquier otro; en este caso se basa en la venta a gran escala, desde bases de clientes con todo lujo de detalle, hasta históricos de consumos energéticos de barrios enteros. Y es que durante años hemos percibido que existían altos niveles de seguridad y privacidad por el hecho de estar desconectados de la Red. Mientras que el acceso a Internet suponía cruzar la línea de riesgo que nos exponía a innumerables peligros, la vida off line, tanto en comunicaciones personales como de máquinas, parecía ser un lugar seguro. Sin embargo, esta situación se vuelve en contra en un mundo hiperconectado con cada vez más objetos con una dirección IP: Televisiones conectadas que obtienen y procesan nuestra voz para suplantar identidades Coches conectados que reportan informes históricos de lugares visitados Termostatos inteligentes que revelan las horas que pasamos en casa Pulseras Fitbit que publican un historial médico de sus usuarios Todos ellos objetos del día a día que acaban conformando un pulcro y detallado perfil sobre usuarios y empresas. Información al instante sobre gustos, consumos, constantes vitales, patrones de movimiento… Los chicos malos. Pero la pregunta es: ¿realmente tiene valor descubrir lo que hay en la nevera de un usuario? O ¿cuál es el precio de conocer un histórico de consumos energéticos? Como en muchos otros aspectos, el dato aislado de un usuario no tiene valor si no es visto de forma agregada. Sólo contemplando la foto completa se entienden los detalles concretos, pero conviene preguntarse quién puede estar detrás de un ataque de este tipo y con qué fin lo realiza: Naif attack, liderado por aquellos defensores de una causa que precisamente busca concienciar a la gente para la adopción de una cultura de la privacidad. Sus objetivos son cualquier dispositivo de electrónica de consumo: desde routers hasta smartTVs, pasando por termostatos conectados o incluso vehículos. Palabras mayores son cuando nos referimos a ciberterrorismo: generadores de malware, expertos en intrusión de sistemas y, en definitiva, equipos organizados con mayor capacidad de actuación cuyos ataques pueden ir dirigidos contra redes de distribución de energía, cuencas hidrográficas e instalaciones gubernamentales. En un tercer bloque estarían los cibercriminales y los equipos de fraude, con el aspecto económico como único fin y con objetivos claros como las transacciones bancarias, las entidades comerciales, los negocios en Internet, utilities, operadores telco… ¿Cómo se mide la seguridad? Entendidos los riesgos y asumidas las potenciales consecuencias de un ataque, conviene cuantificar el coste de la defensa. Para ello, la teoría nos dice que un sistema es seguro cuando se cumplen los tres pilares básicos: autenticación (el emisor debe saber quién es el receptor), confidencialidad (nadie, salvo el receptor elegido, debe ser capaz de interpretar el mensaje) e integridad (el mensaje no debe poder ser manipulado). Por otro lado, el objetivo de una buena defensa consiste en hacer que los esfuerzos necesarios para el ataque superen a la motivación del atacante, y para ello existen las siguientes medidas que cada vez más se implementan en sistemas IoT: Sistemas propietarios de cifrado de los datos almacenados: supone una solución efectiva a corto y medio plazo, pero sobre todo implica un coste mayor (en tiempo, esfuerzos, recursos) para el atacante. Sistemas de autenticación: El proceso de autenticado ayuda a garantizar la integridad y autenticidad de la información transmitida. El uso de SMS seguro mediante tokens, o el empleo de protocolos IPSec para las comunicaciones entre dispositivos, son medidas esenciales para una correcta prevención. Empleo de protocolos seguros: Por último, protocolos como TLS o SSL se antojan necesarios en la capa de transporte. Conviene a su vez prestar atención a los últimos desarrollos en lightweight cryptography, que ofrecen soluciones igual de robustas con cada vez menor capacidad de computación (cifradores Spongent, por no hablar de las futurísticas opciones que brinda la post-quantum cryptography). Sea como fuere, es importante que la seguridad adquiera la relevancia que merece en el entorno tecnológico actual. Para ello, la constante repercusión en los medios sobre ataques a sistemas IoT, así como la creciente preocupación por parte de empresas que sufren pérdidas de información, hace que cada vez más las empresas y particulares entiendan los riesgos que supone exponer arquitecturas IoT sin una protección adecuada. ¿Seremos capaces de conseguir sistemas suficientemente seguros? La tecnología es, sin duda, una ayuda pero el eslabón más delicado no son las cosas, sino las personas. Imagen: elhombredenegro La transformación digital llega a la política: siete clavesMapfre, un ejemplo de excelencia en la experiencia de cliente
José Luis Rodríguez-Barbero Cloud Wifi: la nueva conectividad fruto de la endosimbiosis de Telefónica Empresas y HPE Aruba La científica estadounidense Lynn Margulis, junto con otros compañeros de profesión, recuperó en torno a 1980 una antigua hipótesis sobre el origen de las mitocondrias, que reformuló como teoría...
Belén Espejo González Administración pública española: ¿preparada para la nueva era digital? La transformación digital es ya una realidad que, en el caso de las Administraciones públicas, debe tener como objetivo la mejora de los servicios que se prestan al ciudadano...
José Carlos Martín Marco Silver surfers: un futuro laboral más longevo e intergeneracional ¿Qué es eso de los silver surfers? La esperanza media de vida actual de los españoles es de 83,4 años. Sin embargo, quien tenga en este momento entre 40...
María Teresa Nieto Galán La huella de blockchain en el sector de las telecomunicaciones Blockchain en telecomunicaciones despega. Desde el año pasado ha ido quedando demostrado en el ecosistema blockchain que esta tecnología ha llegado a un punto de inflexión. Su adopción estaba...
José Ramón Suárez Rivas La cultura corporativa y la motivación de los empleados En el diccionario de la RAE se define la motivación como un conjunto de factores internos y externos que determinan en parte las acciones de una persona. La pirámide de...
Juan Mateo Díaz Fundamentos de RPA Cuando aparecen nuevas tendencias en el mercado, como RPA (Automatización Robótica de Procesos), nos suele surgir una duda generada por la experiencia: ¿qué hay de verdad detrás de esa...
