Hoy en día estamos rodeados de dispositivos que graban el sonido del entorno sin nuestro consentimiento, hacen fotos sin que lo sepamos y transfieren datos sin pedir permiso. Dicho de otro modo, hay ojos y orejas digitales por todas partes. Por lo general, catalogamos estos dispositivos como parte del Internet de las cosas (o IoT, por sus siglas en inglés). Por ejemplo, los asistentes Amazon Alexa, las cámaras inteligentes Nest y los termostatos inteligentes están invadiendo nuestro espacio personal poco a poco.
Recientemente se ha descubierto que los dispositivos como Amazon Alexa pueden grabar los sonidos del entorno sin que el propietario lo sepa. Si bien esta capacidad amplía la gama de funciones del dispositivo, también plantea una serie de problemas. Para empezar, se pone en peligro la privacidad. Imaginemos que, desde un rincón de la cocina, Alexa pudiera grabar, almacenar y procesar nuestras conversaciones. En segundo lugar, podrían surgir problemas de seguridad, pues al grabar y reproducir comandos pronunciados por el propietario, Alexa podría activar o desactivar otros dispositivos IoT de la casa (por ejemplo, un sistema de seguridad).
Existen también otros problemas de privacidad relacionados con dispositivos como las aspiradoras robot, que pueden grabar y transmitir las dimensiones de la vivienda, lo cual conlleva el riesgo de que alguien consiga espiar al propietario mediante un ataque al robot. Este tipo de robots están configurados con una combinación predeterminada de nombre de usuario y contraseña, con lo que la autenticación es muy poco segura y facilita el trabajo a los posibles atacantes. Aparentemente son incontables los ejemplos de problemas de seguridad y violaciones de la privacidad que pueden tener lugar a través de los dispositivos del IoT de consumo.
En DigiCert Labs estamos probando distintos métodos para catalogar los dispositivos IoT según su nivel de invasión de la privacidad y los problemas detectados en materia de seguridad. En concreto, nos centramos en el uso de tecnologías como la IA y el reconocimiento de patrones para analizar el comportamiento de distintos dispositivos IoT en diversos entornos.
Lo que resulta claro hasta ahora es que se está subestimando su capacidad de grabar y transmitir datos sin el consentimiento del propietario, y se desconocen las muchas otras vulnerabilidades que pueden surgir debido a la falta de procesos de seguridad adecuados, como la autenticación. En consecuencia, es posible que en nuestra propia casa estemos rodeados de dispositivos que podrían ponernos en peligro, lo cual nos lleva a plantearnos si merece la pena sacrificar nuestra seguridad y privacidad personal a cambio de la utilidad de estos aparatos.
Tal como reveló recientemente la encuesta sobre el estado del IoT realizada en 2018 por DigiCert, la mayoría de las empresas consideran prioritaria la seguridad del IoT, pero muchas todavía no tienen claro qué hacer para garantizarla o no han invertido lo necesario. El resultado es una diferencia clara entre las empresas que gestionan correctamente la seguridad del IoT y las que no lo están haciendo bien, lo cual supone costes considerables para las segundas.
A algunas empresas les preocupa el costo de las prácticas de seguridad más eficaces (por ejemplo, el 65 % de las encuestadas consideran que el cifrado supone un gasto excesivo), pero la verdad es que dejar de lado la seguridad del IoT a veces sale mucho más caro: puede llegar a costar 34 millones de dólares o más en dos años, según se ha comprobado en los peores casos. Sinceramente, ignorar la seguridad de los dispositivos IoT tiene un precio demasiado alto como para no tenerlo en cuenta.
Sin duda, la presión no hará más que aumentar conforme la cantidad de ataques basados en el IoT lleve a cierres masivos de infraestructura crítica. Cuando estos ataques empiecen a afectar a las economías nacionales o a perjudicar la salud pública o personal, las empresas tendrán que actuar. De hecho, el estado de California, la Food & Drug Administration de EE. UU., la Comisión Europea y el Gobierno japonés están trabajando para endurecer las normativas relativas a los dispositivos del IoT.
Aunque resulta complejo proteger a los consumidores frente a los problemas de seguridad y de privacidad que pueden provocar los dispositivos del IoT, sí que contamos con la tecnología necesaria para evitar accesos no autorizados o problemas de autenticación en dichos dispositivos. Por ejemplo, una solución consiste en utilizar métodos de autenticación adecuados, como los certificados digitales y la PKI, en lugar del sistema tradicional basado en nombres de usuario y contraseñas. Asimismo, podemos usar la firma de código para proteger las actualizaciones de firmware inalámbricas y los arranques de dispositivos, así como para garantizar que los dispositivos ejecuten únicamente código firmado y eviten así las manipulaciones maliciosas.
En los próximos meses, DigiCert Labs publicará los resultados de los experimentos realizados sobre la seguridad y privacidad en el IoT. Nuestro objetivo es informar a los consumidores sobre cuestiones generales relativas a la seguridad y privacidad en el IoT, mientras ideamos soluciones innovadoras contra las vulnerabilidades detectadas.