El Internet de las Cosas no deja de ser un concepto idealizado de lo que cada uno pretende obtener de un conjunto de tecnologías que aglutinan unas presuntas bondades y que el entusiasmo que genera, unido a esa atracción que sentimos por el vacío, lo convierte un concepto preñado de aquellas funcionalidades maravillosas que nos resolverían problemas o nos facilitarían tareas cotidianas. Pero hay un lado oscuro en la posible perversión del buen funcionamiento del Internet de las Cosas, y de ello vamos a tratar.
He repasado el informe que la Comisión Federal del Comercio de los Estados Unidos (FTC) ha publicado en enero de 2015 sobre el Internet de las Cosas, con el título “Internet of Things, Privacy & Security in a Connected World” con la intención de contrastarlo con el informe que Sogeti High Tech, junto a Cap Gemini Consulting ha emitido sobre la seguridad en el Internet de las Cosas y que se encuentra disponible en la página web de Sogeti.
Las cifras, según la FTC, son de vértigo: Ya en 2009, las “cosas” conectadas a internet superaban la población mundial, se estima que éste mismo año se sitúen en veinticinco mil millones y que para 2020 superen los cincuenta mil millones, corrigiendo la previsión que el pasado año hacía Goldman Sachs de veintiocho mil millones. Esto es un indicativo del uso creciente de estos dispositivos y del aumento de las expectativas del mercado en cuanto a la utilidad indiscutible de sus bondades, pero… ¿Qué seguridad nos ofrecen frente a usos inadecuados o agentes imprevistos?
La FTC, siempre hablando de las “cosas” de Internet dirigidas al mercado de consumo, hace una división en tres grupos: los dispositivos personales, los dispositivos para vehículos y aquellos cuyo ámbito de acción se sitúa en el hogar.
Independientemente del incremento de áreas de aplicación, la FTC comienza a enumerar los posibles riesgos del uso de dispositivos que no se ajusten a un patrón de “security by design” y aconseja sobre las medidas a adoptar desde la concepción de los citados dispositivos.
Los beneficios que cita el informe son solamente una muestra de lo que pueden llegar a ser, pues seguramente están por llegar beneficios que ni siquiera imaginamos, pero se pueden citar, por ejemplo, control del consumo de energía en edificios para ayudar a un consumo eficiente de energía, control de parámetros de salud que ayuden a afinar tratamientos y hacerlos más precisos y eficaces, sensores en vehículos que permitan alertar al conductor de condiciones adversas o peligrosas y en consecuencia reaccionar convenientemente.
Obviamente, la llegada de estos beneficios de la mano de dispositivos que monitorizan nuestra casa, nuestro coche y nuestra vida suponen una serie de riesgos potenciales que conviene evitar. Tenemos la posibilidad de que cualquier ladrón pueda acceder a nuestros datos de consumo doméstico y pueda determinar con precisión los momentos en los que estamos ausentes para planificar un asalto, que un atacante pueda acceder al ordenador de a bordo del coche sin siquiera estar cerca, o que un marcapasos digital pueda divulgar información sensible sobre el paciente que lo lleva, o que se pueda inducir un mal funcionamiento que provoque al paciente un problema de salud. Son posibilidades inquietantes, pero son pocas comparadas con la cantidad de riesgos potenciales que describe la FTC en su documento.
Pero no nos vamos a quedar con el análisis de los problemas que nos puede provocar la tecnología. Nuestro trabajo es dotar de seguridad las cosas con las que trabajamos y nuestra intención es que las “cosas” del “Internet de las Cosas” dispongan también de esa seguridad que permite disfrutar de sus beneficios evitando los riesgos a los que puedan estar expuestas.
La FTC propone la aplicación de principios de privacidad que se contemplan dentro de los “Principios razonables del uso de información” que son: notificación, elección, acceso, precisión, minimización de datos y responsabilidad. De esta manera, la FTC establece unas reglas de autorregulación para la industria, considerando que es pronto para establecer medidas legislativas y las leyes existentes, dentro del ámbito estadounidense, son suficientes para proteger a los consumidores de las cosas de Internet.
La propuesta de la FTC en cuanto a los principios mencionados incluye, respecto a la seguridad de datos que los fabricantes adopten “security by design”, que se notifique al consumidor sobre los datos que serán usados y se le permita elegir si desea que sus datos se destinen a servicios adicionales al propio del dispositivo, que se utilicen los datos precisos y siempre el conjunto mínimo de datos que permita el funcionamiento o servicio del dispositivo de manera eficaz. A esto, se añade un debido control del acceso a los datos y un funcionamiento responsable, de manera que el consumidor esté protegido en todo momento y ante las circunstancias más inesperadas.
El enfoque del informe de la FTC queda complementado con el informe de Sogeti de manera que nos proporciona una visión completa, no solamente de los esfuerzos que se están realizando para conseguir una base sólida de seguridad en IoT, sino de lo que realmente está ocurriendo en la industria y de las medidas que se proponen para reconducir la situación, de manera que los fabricantes de dispositivos conectables logren una ventaja competitiva gracias a la seguridad que ahora tienen la oportunidad de incorporar en sus dispositivos.
Sogeti muestra en su informe los datos relevantes sobre la seguridad en el Internet de las Cosas. Comienza centrándose en el ataque sufrido por la red de tiendas Target debido a la curiosa naturaleza del ataque, ya que se basó en la conexión a internet de los sistemas de climatización inteligente de las tiendas. El citado ataque a la cadena de tiendas se saldó con el robo de los datos de 40 millones de tarjetas de crédito.
Las estadísticas mostradas por el informe dejan claro que los esfuerzos de la FTC por implantar modelos de seguridad en la producción de dispositivos conectados no ha logrado su objetivo, ya que ante la pregunta sobre la resiliencia de los productos a ciberataques, los correspondientes a automatismos del hogar y a dispositivos médicos solamente alcanzaron el 18% y el 10% respectivamente. Las respuestas en cuanto al desafío clave en la seguridad, el acceso a los dispositivos era el reto del 60%, para un 55% lo era el canal de comunicación y para ambos casos el reto del despliegue de actualizaciones de seguridad en dispositivos remotos solamente alcanzaba un 50%.
Los resultados del informe dejan claro que únicamente para un 48% de las organizaciones la seguridad es una prioridad en el desarrollo de sus productos de IoT mientras que solamente el 49% proporcionan actualizaciones remotas para sus dispositivos IoT.
En una industria estratificada, en la que existen unos proveedores especializados se observan unas tendencias que no favorecen la seguridad, ya que solamente un 20% de las encuestadas contratan expertos de seguridad en IoT, un 35% han designado expertos para la seguridad de los datos, un 36% han modificado sus productos para enfocar mejor la seguridad y el porcentaje de aquellas que invierten en seguridad en el proceso de I+D es solamente de un 43%.
La búsqueda de seguridad para aquellos que no la tienen construida en casa tampoco es muy alta. Solamente un 19% de los encuestados manifiesta acudir a firmas especializadas de seguridad para sus dispositivos IoT, un 28% realiza prácticas orientadas a la búsqueda de vulnerabilidades en sus productos y un 35% han establecido acuerdos con firmas especializadas en seguridad.
En resumen, los informes que hemos estudiado aportan una visión de conjunto sobre la seguridad de IoT en la que se muestran las iniciativas de autorregulación de la industria, pero también los tímidos intentos por conseguir una IoT segura en la práctica. Sogeti aporta la visión necesaria para conseguir que la seguridad de los dispositivos sea la característica más importante que haga confiable el Internet de las Cosas y anima a desarrolladores y fabricantes a adoptar una actitud favorable al “security by design”.
Como colofón, me gustaría completar estas reflexiones con una pequeña investigación que he realizado por mi cuenta y que representa un pequeño ramillete de las soluciones que existen orientadas a IoT ya en nuestro ámbito de uso. Así, sin grandes esfuerzos, he encontrado apps disponibles que permiten controlar rutinas de entrenamiento, miden distintos parámetros corporales y de salud, como la frecuencia cardíaca, evolución del peso, rutinas y circuitos de entrenamiento, se pueden adquirir complementos con los que se comunican, como tensiómetros digitales, algunas permiten acceder a datos clínicos e información altamente sensible. La mayoría permiten establecer y registrar la geolocalización e inferir hábitos.
He encontrado también básculas inteligentes que controlan peso, grasa corporal, ritmo cardiaco, calidad del aire e incluso sistemas de análisis del descanso que registran los ciclos de sueño y patrones ambientales. Para rematar la investigación, existen también apps que permiten llevar control de la medicación en casos de diabetes y determinar parámetros relativos a la dosificación de insulina que permiten mejorar la eficacia de los tratamientos y los hábitos del paciente.
No quisiera dejar pasar la ocasión de referirme a los sistemas de gestión del hogar, con la información de las protecciones y ausencias accesibles a través de una app que además es capaz de activar o desactivar protecciones y alarmas, o la recientemente publicitada actualización de software de BMW que permitía a un atacante abrir las puertas de sus vehículos y que ha dado tanto que hablar a los medios.
Creo que después de tanta información sobre la autorregulación de la industria, las tendencias de los fabricantes y los usos de la incipiente tecnología del IoT, resulta urgente hacer notar que la tecnología es atacable, y no es que los atacantes hayan adelantado a la tecnología, es que estos dispositivos ya eran atacables hace varios años. El famoso hacker “Barnaby Jack”, asesor de una importante compañía de dispositivos farmacéuticos, documentó en 2011 las vulnerabilidades a través de redes inalámbricas de las bombas de insulina y en 2012 volvió a realizar la misma demostración a una distancia de 30 metros sobre los dispositivos cuyos fallos se suponían subsanados. Jack dedicó varias sesiones en 2012 a demostrar las vulnerabilidades de tensiómetros digitales, implantes cardiacos y marcapasos.
Creo que después de estas lecturas buscaré aquellos dispositivos, wearables, monitores domésticos o coches inteligentes que atiendan debidamente la seguridad y protejan a sus usuarios. A los que no lo hagan, aún están a tiempo de diferenciarse de sus competidores, pues Sogeti puede asesorar a fabricantes de IoT en un proceso de desarrollo seguro de sus productos.
Conoce más sobre los servicios de Internet of Things de Sogeti España y los informes publicados por el laboratorio de tendencias VINT.
Tu centro de expertise en España sobre Quality Engineering y Testing 
Pingback: IoTrust: Una buena noticia | QA:news