El denominado Internet de las cosas (Internet of Things – IoT) ya está aquí. Aunque parezca mentira, el IoT no es únicamente el tener en la muñeca un bonito reloj táctil conectado a Internet, sincronizado con el correo electrónico y la agenda, y que pueda usarse para mostrar los billetes de avión o ver quién nos llama para no sacar el móvil del bolsillo.  Esta nueva forma de interconexión digital va muchísimo más allá y es parte de una tendencia global que cambiará la forma con la que los seres humanos nos relacionamos con los dispositivos, sistemas, maquinaria e incluso edificios, vehículos, infraestructuras y gran cantidad de elementos cuya interacción actualmente consideramos -a priori- inverosímiles. Adicionalmente al IoT, la comunicación m2m (machine to machine), entre los propios dispositivos, será la tendencia predominante. Es más, estas máquinas tendrán la potestad de pensar, decidir y actuar en consecuencia.

En el futuro –y no tan futuro- del mundo civil, tendremos ciudades inteligentes en las que se ubicarán casas inteligentes abastecidas por redes de suministro inteligentes (luz, agua, gas, telecomunicaciones). Por nuestras ciudades del futuro (Smart cities), circularán coches inteligentes, que interactuarán “inteligentemente” entre ellos y con los seres humanos, que a su vez emplearán dispositivos inteligentes móviles o los vestirán (wearables). Incluso formarán parte de nuestros cuerpos: chips implantados bajo la piel, dispositivos biotecnológicos integrados en el organismo…y todos estos dispositivos estarán conectados a Internet de uno u otro modo.

La intervención humana cada vez será menor; la autogestión y el control de los centros de control serán gestionados a su vez por otro sistema “superior”

Este escenario que describimos, inspirado en el más puro modelo industrial, estará basado en sondas o receptores de toda índole que recogerán la información para luego almacenarla y procesarla lo más rápidamente posible (se prevé que en 2020 habrán 50 mil millones de estas sondas o receptores). A su vez, esta información será  utilizada en dispositivos superiores para la toma de decisiones y actuaciones ulteriores. Así, la intervención humana cada vez será menor, hasta tal punto en el que incluso la autogestión y el control de los centros de control serán gestionados a su vez por otro sistema “superior”.

ciudades inteligentes internet of things

Al aproximarnos a este escenario, me pregunto: ¿qué pasaría si se llega a comprometer la seguridad de algún elemento de esta compleja arquitectura? Las opciones son infinitas. Desde inocentes situaciones: que nos quedemos sin suficiente suministro eléctrico en casa porque ha fallado el control adaptativo inteligente; que la temperatura del agua de la ducha salga excesivamente fría una mañana de enero, o que no podamos entrar en casa porque nuestra pulsera RFID –pulseras de identificación a través de un chip- no funciona; a auténticas situaciones de riesgo ciudadano o personal, como que semáforos que dan paso o no en función de la detección de movimiento sean alterados y provoquen accidentes o atropellos; robos masivos en oficinas o viviendas por fallos de seguridad en los mecanismos de acceso; bomberos que no lleguen a la dirección correcta o a tiempo por error en el sistema de automático de avisos, un ascensor descontrolado… Los fallos son ilimitados y con consecuencias muy graves en casos extremos. Algunas de estas situaciones ya son una realidad, pero con la evolución del IoT podrían convertirse en fenómenos globales. Por descontado, seguro que a todos y cada uno de nosotros se nos pueden ocurrir muchas más de estas situaciones que pueden implicar brechas en la privacidad, integridad o en la disponibilidad de los sistemas y de su información, y que podrían afectar muy seriamente a los seres humanos y a su modo de vida.

¿Qué hacemos entonces?, ¿bloqueamos el progreso?, ¿retrocedemos y nos anclamos en los albores de la explosión de la era digital donde convivíamos con redes cuasi-aisladas, sin teléfonos móviles inteligentes y sin todos aquellos avances tecnológicos que hoy ya forman parte casi indisoluble de nosotros y más si cabe de las nuevas generaciones?

Obviamente no, pero es necesario que, desde el inicio, desde el diseño y la planificación, cada componente que va a formar parte de este nuevo ecosistema disponga de una serie de medidas de seguridad técnicas, lógicas y arquitectónicas. Desde los chips, pasando por el software que controle (por ejemplo) los sensores de temperatura del agua de la ducha, los protocolos de comunicación, los elementos de almacenamiento, etc.). Cada componente, por separado, debería pasar rigurosos controles. No sólo de calidad, si no también de puntos de ataque o fallo, para construir las piezas de ese ecosistema. Como otros colegas ya apuntan desde hace tiempo, hay que pensar en la ingeniería civil como modelo a seguir, en la que se aplican rigurosos controles de diseño y construcción (resistencia de las vigas, grosor del hormigón, cargas máximas, etc.) a todos los elementos que conforman una obra de ingeniería.

internet de las cosas iot

Por supuesto, no podemos dejar de lado las medidas organizativas y de control interno, puesto que todos los posibles proveedores de este hipotético ecosistema deberían también pasar esos rigurosos y necesarios controles para garantizar la seguridad del proceso de desarrollo de sus productos.

De igual manera que los dispositivos serán inteligentes para actuar respecto a su función, deberíamos preguntarnos si serán suficientemente inteligentes para protegerse por ellos mismos frente a ataques o errores.

casas inteligentes iot seguridad

Una vez “construida” esta nueva forma de vida basada en los dispositivos inteligentes, deberíamos asegurarnos de que el nuevo ecosistema esté sujeto a un mantenimiento preventivo exhaustivo (revisiones técnicas, pruebas de penetración, análisis de vulnerabilidades, etc.), además de a un proceso correctivo en caso necesario. Es muy importante también contar con medidas alternativas de continuidad para aportar una resiliencia mínima al ecosistema, de manera que no se pueda pasar del funcionamiento óptimo, al apagado total o black-out sin más.

En resumen, todos los componentes y proveedores de la cadena de suministro deben aportar unas garantías de seguridad individualmente, y se debe comprobar que la suma de todos esos componentes también sean lo suficientemente seguros. Adicionalmente, de igual manera que los dispositivos serán inteligentes para actuar respecto de la función que se les ha asignado, deberíamos preguntarnos si serán suficientemente inteligentes para protegerse por ellos mismos frente a ataques o errores, o si otro dispositivo superior debería ser el encargado de aplicar las medidas de seguridad preventivas o correctivas necesarias. En cualquier caso, siempre tendremos la eterna duda, pero aplicada a la inteligencia artificial. ¿Quién controla al controlador?

 

 

About Author

José Miguel Cardona Pastor

Socio en el Área de Seguridad de la Información de AUREN. Ingeniero de Telecomunicación en la Universidad Politécnica de Valencia. Máster en Seguridad Informática por la UOC. Perito Judicial en Sistemas Informáticos. Más de 13 años de experiencia en el campo de los Sistemas de Información y Comunicaciones, de los cuales 12 años específicamente en Auditorias Informáticas y asesoramiento en seguridad de la información. Áreas de Especialización: Continuidad de Negocio, Planes Directores de Seguridad, Auditorías Técnicas de seguridad informática, PKI, ENS/ENI, ISO 27001, ISO 20000, Protección de Datos, en múltiples sectores como el financiero, seguros, farmacéutico, automoción, distribución, etc.

Deja un comentario