Desde hace un par de semanas se ha incrementado la cantidad de preguntas y entrevistas que llegan al Laboratorio de Investigación de ESET Latinoamérica relacionadas con la seguridad en los dispositivos de uso cotidiano que forman parte del mundo interconectado; incluso en las últimas charlas en las que he tenido la oportunidad de participar, es un tema casi obligado del cual siempre se termina hablando. ¿Por qué? Al parecer, la industria todavía no da con los lineamientos adecuados para gestionar la seguridad en Internet de las Cosas (IoT).
En nuestro informe de Tendencias 2015 mencionamos que en nuestra cotidianidad nos encontramos con una amplia variedad de electrodomésticos que han llegado al punto de permitir total conectividad a Internet para consumir contenidos o intercambiar información -en muchos casos sensible, tal como datos de transacciones, secuencias de video o datos de control. Y las posibilidades siguen creciendo.
De una forma u otra, los datos que entran a la red dejan de ser controlables por el usuario y se propagan hasta límites insospechables. Ya lo decía Andrew Lee, CEO de ESET Norteamérica, al analizar el concepto de "enfermedad digital": ¿podemos combatir la inmortalidad de los datos? ¿Sabemos dónde quedan almacenados y en manos de quién?
Hacia un lineamiento confiable de seguridad en IoT
Sin lugar a dudas, lo que más preocupa cuando hablamos de IoT es cómo garantizar la confidencialidad de la información recolectada. Es una realidad que en muchos países recién se empieza a legislar en temas relacionados con seguridad de la información, por lo cual este asunto debería ingresar en nuevas normativas. Ya un grupo de trabajo asociado a la Unión Europea publicó finalizando el 2014 un documento sobre la seguridad de los datos asociada a Internet de las Cosas.
Esta recomendación gira alrededor de tres tipos de dispositivos relacionados con IoT:
- Los weareables, que refiere a los objetos de uso diario tales como relojes o anteojos que "vestimos"
- Los de uso personal para grabar información sobre hábitos de vida, dentro de los que se encuentran por ejemplo las pulseras para llevar un historial de las horas de sueño
- Aquellos dispositivos para la automatización del hogar como termostatos, alarmas o heladeras
En el documento se destaca una serie de aspectos que deberían observar las empresas que desarrollan este tipo de dispositivos y que podrían llegar a afectar la seguridad de los usuarios. Dentro de los más destacables está la importancia de que las empresas que desarrollan este tipo de productos implementen desde el diseño mecanismos de privacidad y protección de los datos que recolecten. Incorporando la seguridad de los datos desde el inicio del desarrollo, se pueden incoporar características por defecto sin que haga falta implementarlas puntualmente ante eventuales detecciones de vulnerabilidades.
Otro de los puntos que toca esta recomendación tiene que ver con el tipo de datos recolectados, que si bien parecen ser insignificantes, como por ejemplo los recolectados por el acelerómetro y el giroscopio de un smartphone, podrían ser recolectados para inferir otra información. Pensemos en los hábitos de manejo de un usuario en particular:podrían ser usados por una empresa aseguradora para establecer los montos de un seguro, basados en datos que fueron recolectados con un fin totalmente diferente.
También se hace énfasis en las formas por las cuales los datos son recolectados y tratados, ya que por la posibilidad de permitir individualizar a una persona, no deberían procesarse sin que el usuario sea totalmente consciente de lo que está ocurriendo.
Así que estamos frente a una amplia variedad de dispositivos, provistos de funcionalidades para registrar todo lo que hacemos en la vida cotidiana y generar un flujo de información sobre nuestros hábitos y estilos de vida. En algún lugar remoto, son almacenados y eventualmente podrían ser utilizados por aplicaciones o terceros, y en muchos casos compartidos sin que el usuario sea consciente de lo que está pasando.
¿Qué deben hacer los fabricantes?
Dentro de las sugerencias que aporta el documento, dado que la cantidad de datos que se recolecta es cada vez mayor y esta acumulación puede aportar información sensible, es pensar la seguridad desde el intercambio de datos entre los dispositivos y en donde es finalmente almacenada.
De esta manera, si los datos son recolectados por una pulsera y enviados a una tablet, es en este dispositivo donde debe almacenarse de forma segura, y una vez que se envíe a Internet, garantizar las condiciones para que no se puedan correlacionar con otros datos que permitan inferir conclusiones diferentes a las diseñadas para el producto específico.
Es claro que todo lo que estamos viendo relacionado a los wearables está en una fase de desarrollo y a medida que se siga masificando su uso, ocurrirá lo mismo con la cantidad y la importancia de la información que se intercambia a través de ellos. Por esta razón, es importante tomar conciencia del tipo de información que intercambiamos en Internet y tener conocimiento acerca de cómo funcionan estos dispositivos para entender qué pasa realmente con nuestra información y disfrutar de forma segura de la tecnología.
En tanto, los fabricantes deberán ajustar sus estándares para garantizar los niveles más altos posibles de seguridad y privacidad desde el inicio, es decir, desde la concepción de sus productos.
Sigue leyendo: Amenazas en IoT y dispositivos que no imaginabas conectados