*Esta nota fue originalmente publicada el 4 de abril de 2018. Hoy la destacamos para celebrar el Día Internacional de la Protección de Datos Personales.
Hoy en día vivimos en un mundo donde todos los aparatos se están volviendo inteligentes, desde los electrodomésticos hasta los automóviles. Hoy es posible apagar y prender luces de nuestra casa desde el teléfono móvil, monitorear los signos vitales de una persona enferma a la distancia, que tu refrigerador administre listas de supermercado o que incluso realice las compras de manera automática.
Estos son solo ejemplos de cosas que hoy permite hacer la tecnología, algunas bastante sorprendentes. Definitivamente, de todos los avances tecnológicos que han permitido que esto suceda, el principal es el desarrollo de distintos tipos de redes de comunicación, entre ellos, Internet, que ha alcanzado un amplio nivel de cobertura y mucho más velocidad de la que solía tener.
Esto nos lleva al nombre con que se conocen todos estos dispositivos que hoy están conectados: el internet de las cosas o IoT por sus siglas en inglés (Internet of Things). Puede que hayan escuchado este nombre antes, o puede que no, pero lo que es seguro es que lo volverán a escuchar. Y es que muchos expertos están de acuerdo en que el internet de las cosas nos está trayendo lo que denominan “la cuarta revolución industrial”.
Este término fue usado por primera vez en 1999 por Kevin Ashton quien, al parecer, ya estaba visualizando de alguna manera lo que se venía. La consultora Gartner predice que en 2020 habrá 20 mil millones de objetos conectados en el planeta.
Las posibilidades que hoy nos ofrecen los niveles de conectividad y la tecnología son amplias, y están presentes en todos los ámbitos del desempeño humano como, por ejemplo, salud, transporte, industrias, entretención y variados tipos de servicios (como los medidores inteligentes, por dar otro ejemplo).
Pero así como el internet de las cosas puede facilitar y mejorar la vida de muchas personas, también puede ponerlas en riesgo.
Con peligros no me refiero a teorías que pueden ser discutibles o dudosas; como que los celulares producen cáncer o que los smartphones volverán a todos antisociales. Sino que a algo 100% real y comprobado: los ciber-ataques. Lo cierto es que esta nueva realidad, también ha provisto de nuevos recursos a criminales y estafadores. Y los están aprovechando.
La ciber-seguridad ha sido declarada una de las problemáticas claves que enfrenta hoy la humanidad, según el Foro Económico Mundial. Incluso, escuché a un profesional del área, decir en una conferencia en Inglaterra que es el segundo problema más grave luego del calentamiento global.
Lo cierto es que más allá del lugar que ocupe en un ranking, lo que hay que reconocer es que es un problema importante y parte de él tiene que ver con el amplio uso de internet y de sistemas computacionales, y también del poco conocimiento que se tiene respecto a la seguridad de la información. Incluso muchas empresas hoy en día carecen de las políticas adecuadas y del personal entrenado para proteger sus sistemas, donde guardan valiosa información tanto propia como de colaboradores y clientes. Tampoco hay regulaciones suficientes lo que llevó, por ejemplo, a cierta empresa en el extranjero a la que le robaron datos de clientes el 2015, a alegar que no tenían estos datos protegidos con encriptación, porque no estaban obligados por ley.
Hay distintas iniciativas que esperan cambiar esto, como las reglas generales de protección de datos o GDPR (General Data Protection Rules), que son obligatorias en la Unión Europea desde Mayo del 2018. Por nuestra parte, en Chile existe el decreto 83 respecto a la protección de información, y también una ley sobre ciber-delitos que está en proceso de ser actualizada, ya que data de 1993.
Una de las razones por las cuales muchas leyes y reglamentos vigentes en los distintos países no son lo suficientemente efectivos o están desactualizados, es que muchos delitos cibernéticos no se reportan y rara vez llegan a una acción legal, lo cual no permite poner a prueba las leyes y mejorarlas. Las razones de esto es que a las empresas no les conviene hacer público que sufrieron un ataque, dado a que daña su reputación.
También muchas veces es difícil identificar con certeza o detener al atacante, ya que este puede encontrarse literalmente al otro lado del mundo. A este ya complejo escenario, vienen a sumarse los problemas de seguridad que introduce el internet de las cosas.
¿Y qué es lo que hace que los objetos inteligentes sean particularmente vulnerables? Hay varias razones:
El gran número de aparatos conectados a Internet es grande, lo cual los hace atractivos para un atacante que quiera utilizarlos como parte de su “ejercito de robots” o botnet, robots que funcionan de manera autónoma y pueden ser controlados remotamente. Eso se conoce como ataque de denegación de servicio distribuido (DDoS), y es cuando muchos dispositivos hacen intentos de conexión falsos a un sitio, haciendo que este colapse y deje de funcionar.
Además, a diferencia de los computadores, las cosas conectadas muchas veces se mantienen encendidas las 24 horas, por ejemplo, las cámaras de vigilancia, máquinas expendedoras, sistemas de iluminación inteligentes, impresoras y routers.
Cuando hablamos de IoT, nos referimos a sistemas que no necesariamente se componen de un dispositivo, sino que pueden ser varios, incluso decenas o miles, los cuales se distribuyen en un amplio perímetro. Tal es el caso, por ejemplo, de los controles de transito inteligentes o sistemas con sensores utilizados en industrias. Esto hace mucho más difícil mantener el control sobre todos ellos.
Si bien el nivel de complejidad varia de un sistema a otro (no olvidemos que IoT es un concepto muy amplio), en general IoT tiene la característica de poseer todos los problemas de seguridad de un sistema computacional y más, puesto que funcionan con programas que permiten al usuario conectarse con los aparatos desde su computador o celular. Pero por otro lado, tienen además la componente física, esto significa que la denominada “superficie de ataque” es mayor, es decir, un agente malicioso puede acceder a ellos de más formas.
Mientras que los sistemas informáticos, en general, tienen formas estándar de comunicarse -lo cual facilita aplicar medidas de seguridad también estándar- el internet de las cosas se comunica de muchas maneras. Existen diversos protocolos de comunicación, distintas formas en que estos dispositivos envían y reciben la información, en muchos casos de forma inalámbrica. Esta variedad hace más difícil diseñar soluciones y, además, muchas de estas formas de comunicarse son intrínsecamente inseguras.
Muchas veces los dispositivos IoT son extremadamente simples y no poseen las capacidades computacionales (memoria y procesamiento de datos) para aplicar ciertas medidas de seguridad. Ejemplos de estas medidas de seguridad son la autenticación segura y la encriptación. Si bien antes dije que los sistemas IoT son complejos, me refería al sistema completo (incluyendo las aplicaciones y programas que los controlan), pero el dispositivo inteligente en sí, generalmente tiene capacidades mucho más limitadas que un computador.
Este último punto es uno de los más relevantes, dado que para buscar soluciones respecto a los otros problemas, primero hay que querer hacerlo desde el diseño de los sistemas IoT.
Muchos fabricantes tienen como prioridad sacar los productos rápido al mercado y lo más barato posible, por lo cual no invierten en seguridad y, por ahora, nadie los obliga. Además, hay mucha menos experiencia en seguridad en el rubro de los dispositivos electrónicos, de la que hay en el mundo informático.
Como dije en un comienzo, los ciber-ataques a objetos inteligentes no son especulación ni ciencia ficción, sino que una realidad que está aconteciendo. Existen cientos de casos conocidos en la última década y se cree que casi la totalidad de las empresas no está preparada para enfrentar un delito de este tipo.
A veces, es más sabio esperar un poco y ver qué pasa. Con suerte, en unos años aparecerá una nueva generación de IoT con dispositivos más seguros. Por ahora, el llamado es a que si bien es fantástico que las cosas se vuelvan inteligentes, las personas nunca debemos dejar de serlo. ¡Toma las precauciones necesarias!