Seguridad y privacidad en IoT: ¿estamos a tiempo?Miguel Martínez Revilla 17 junio, 2015 A medida que la tecnología evoluciona y avanza el proceso evangelizador del Internet de las cosas, empresas de todo tipo y en todas partes del mundo se lanzan a conectar masivamente cualquier dispositivo capaz de generar y transmitir información (relevante en muchas ocasiones y no tanto en muchas otras). El ritmo de despliegue aumenta año tras año, y la fiebre que genera IoT parece estar en lo más alto de su hype. Sin embargo, este crecimiento desmesurado ha hecho que integradores, desarrolladores de software y fabricantes de hardware se olviden de un elemento primordial que puede dar dolor de cabeza a clientes de todo tipo: la seguridad y privacidad. Las cosas claras. El problema de seguridad del mundo IoT no está en las neveras conectadas que actúan como botnets, tampoco en grabadores de vídeo CCTV usados fraudulentamente para minar bitcoins, ni siquiera en semáforos y sistemas de control de tráfico con importantes vulnerabilidades y desastrosas consecuencias. El problema de seguridad se encuentra en conseguir proteger correctamente la información almacenada, en la inteligencia que se pueda obtener de ella y, en definitiva, en el beneficio económico que grupos maliciosos puedan lograr. Porque, en el fondo, el negocio del hacking se rige por las mismas normas que cualquier otro; en este caso se basa en la venta a gran escala, desde bases de clientes con todo lujo de detalle, hasta históricos de consumos energéticos de barrios enteros. Y es que durante años hemos percibido que existían altos niveles de seguridad y privacidad por el hecho de estar desconectados de la Red. Mientras que el acceso a Internet suponía cruzar la línea de riesgo que nos exponía a innumerables peligros, la vida off line, tanto en comunicaciones personales como de máquinas, parecía ser un lugar seguro. Sin embargo, esta situación se vuelve en contra en un mundo hiperconectado con cada vez más objetos con una dirección IP: Televisiones conectadas que obtienen y procesan nuestra voz para suplantar identidades Coches conectados que reportan informes históricos de lugares visitados Termostatos inteligentes que revelan las horas que pasamos en casa Pulseras Fitbit que publican un historial médico de sus usuarios Todos ellos objetos del día a día que acaban conformando un pulcro y detallado perfil sobre usuarios y empresas. Información al instante sobre gustos, consumos, constantes vitales, patrones de movimiento… Los chicos malos. Pero la pregunta es: ¿realmente tiene valor descubrir lo que hay en la nevera de un usuario? O ¿cuál es el precio de conocer un histórico de consumos energéticos? Como en muchos otros aspectos, el dato aislado de un usuario no tiene valor si no es visto de forma agregada. Sólo contemplando la foto completa se entienden los detalles concretos, pero conviene preguntarse quién puede estar detrás de un ataque de este tipo y con qué fin lo realiza: Naif attack, liderado por aquellos defensores de una causa que precisamente busca concienciar a la gente para la adopción de una cultura de la privacidad. Sus objetivos son cualquier dispositivo de electrónica de consumo: desde routers hasta smartTVs, pasando por termostatos conectados o incluso vehículos. Palabras mayores son cuando nos referimos a ciberterrorismo: generadores de malware, expertos en intrusión de sistemas y, en definitiva, equipos organizados con mayor capacidad de actuación cuyos ataques pueden ir dirigidos contra redes de distribución de energía, cuencas hidrográficas e instalaciones gubernamentales. En un tercer bloque estarían los cibercriminales y los equipos de fraude, con el aspecto económico como único fin y con objetivos claros como las transacciones bancarias, las entidades comerciales, los negocios en Internet, utilities, operadores telco… ¿Cómo se mide la seguridad? Entendidos los riesgos y asumidas las potenciales consecuencias de un ataque, conviene cuantificar el coste de la defensa. Para ello, la teoría nos dice que un sistema es seguro cuando se cumplen los tres pilares básicos: autenticación (el emisor debe saber quién es el receptor), confidencialidad (nadie, salvo el receptor elegido, debe ser capaz de interpretar el mensaje) e integridad (el mensaje no debe poder ser manipulado). Por otro lado, el objetivo de una buena defensa consiste en hacer que los esfuerzos necesarios para el ataque superen a la motivación del atacante, y para ello existen las siguientes medidas que cada vez más se implementan en sistemas IoT: Sistemas propietarios de cifrado de los datos almacenados: supone una solución efectiva a corto y medio plazo, pero sobre todo implica un coste mayor (en tiempo, esfuerzos, recursos) para el atacante. Sistemas de autenticación: El proceso de autenticado ayuda a garantizar la integridad y autenticidad de la información transmitida. El uso de SMS seguro mediante tokens, o el empleo de protocolos IPSec para las comunicaciones entre dispositivos, son medidas esenciales para una correcta prevención. Empleo de protocolos seguros: Por último, protocolos como TLS o SSL se antojan necesarios en la capa de transporte. Conviene a su vez prestar atención a los últimos desarrollos en lightweight cryptography, que ofrecen soluciones igual de robustas con cada vez menor capacidad de computación (cifradores Spongent, por no hablar de las futurísticas opciones que brinda la post-quantum cryptography). Sea como fuere, es importante que la seguridad adquiera la relevancia que merece en el entorno tecnológico actual. Para ello, la constante repercusión en los medios sobre ataques a sistemas IoT, así como la creciente preocupación por parte de empresas que sufren pérdidas de información, hace que cada vez más las empresas y particulares entiendan los riesgos que supone exponer arquitecturas IoT sin una protección adecuada. ¿Seremos capaces de conseguir sistemas suficientemente seguros? La tecnología es, sin duda, una ayuda pero el eslabón más delicado no son las cosas, sino las personas. Imagen: elhombredenegro La transformación digital llega a la política: siete clavesMapfre, un ejemplo de excelencia en la experiencia de cliente
Mercedes Núñez Cero emisiones: una hoja de ruta insoslayable Los expertos coinciden en que el cambio climático ya es la mayor amenaza a la que se enfrenta el planeta en los próximos años. De ahí que se hable de...
Mercedes Núñez Realidad virtual o machine learning contra la violencia de género Hoy 25 de noviembre se celebra desde hace 22 años ya el Día Internacional de la eliminación de la violencia contra la mujer. Es un problema universal -tanto que...
Javier Lorente La digitalización de los espacios físicos, clave para un retail data driven Uno de los aspectos fundamentales del proceso de digitalización de los espacios físicos es la capacidad de registrar lo que ocurre en el mundo real. Todo lo que ocurre...
Víctor Deutsch FEINDEF: el nuevo paradigma de la defensa nacional Recientemente se celebró en Madrid IFEMA la Feria Internacional de Defensa y Seguridad. No se trata de un encuentro exclusivamente militar. FEINDEF se define como un foro de referencia...
Javier Rosado López Medir lo que importa: debilidades de MBO y fortalezas de OKR La gestión por objetivos y resultados clave, que es la traducción al español de OKR (“Objectives and Key Results”), suena cada vez con mayor fuerza. Son muchas las empresas que...
Félix Hernández Retos, buenas prácticas y factores críticos de un futuro sostenible en la industria El Smart Energy Congress & EXPO (SEC), organizado por EnerTIC, cobra cada vez mayor consistencia. Busca favorecer el intercambio de conocimiento y opiniones sobre cómo pueden contribuir las nuevas...
