Es casi inevitable. Vivimos en un mundo IoT. Uno en el que en la mayoría de los casos comienza en una televisión inteligente, pero que en los últimos años han seguido todo dispositivos, desde termostatos, a altavoces; desde cámaras de seguridad a sistemas de info-entretenimiento en nuestros coches; por no hablar de bombillas, lámparas, cerraduras, frigoríficos y hasta cafeteras. Y esta tendencia por supuesto, va a ir a más.
No hay que llevarse las manos a la cabeza. En muchos aspectos, los dispositivos IoT han conseguido que nuestra vida sea más sencilla y a la vez ha democratizado el acceso a unas posibilidades tecnológicas (como por ejemplo la domótica) que hasta hace no demasiado tiempo, solo estaban disponibles para las carteras más abultadas.
Pero siendo esto así, conviene recordar que además que todos esos datos que recogen los dispositivos IoT y que simplifican nuestra vida, tienen una segunda vida: una que normalmente implica viajar hasta un servidor en el que se almacenan y se analizan sí, pero también se reempaquetan, se trocean y se reutilizan por otras compañías que quieren saber quiénes somos, cómo nos comportamos y de qué forma pueden vendernos más.
En el peor de los casos, si el dispositivo IoT que hemos introducido en nuestra vida no es lo suficientemente seguro, o si no hemos tomado algunas medidas básicas de seguridad, como cambiar la contraseña que ofrece por defecto, lo que habremos hecho es introducir en nuestro hogar o en nuestra empresa un auténtico caballo de Troya, el eslabón más débil en nuestra seguridad informática, con todo lo que ello conlleva.
Hacia un IoT más seguro
Ante esta situación, algunos Gobiernos comienzan hacer recomendaciones (a veces más que eso) a los fabricantes de estos dispositivos, de modo que sean las propias empresas y no los usuarios finales los que se preocupen por la seguridad. Por ejemplo, en el caso del Reino Unido, todos los dispositivos IoT que llegan al consumidor final deben cumplir por ley, con estas tres premisas básicas.
Casa dispositivo tiene que tener una contraseña única y está no podrá “resetearse” hacia una contraseña universal.
Los fabricantes de dispositivos IoT deberán proporcionar un punto único de contacto, de modo que cualquier persona o empresa pueda reportar vulnerabilidades o problemas de seguridad.
Los dispositivos deben indicar claramente el periodo mínimo de tiempo durante el cual seguirán recibiendo actualizaciones de seguridad.
Es un comienzo. Pero como indican en ZDNet se puede y se debe ir mucho más allá. Así en un mundo IoT idealmente seguro, estos dispositivos deberían cumplir además con lo siguiente:
- Cada dispositivo IoT debería incluir una descripción precisa que explicase de qué forma se crean y transmiten los datos, dónde se almacenan y durante cuánto tiempo.
- Cada dispositivo IoT debería dejar claro si los datos con los que trabaja y envía están encriptados (y de qué forma) y quién tiene acceso a esos datos y/o claves de encriptación.
- Los fabricantes de dispositivos IoT deberían mantener una base de datos que reflejase qué datos recopilados están analizando, monetizando o revendiendo, incluso si están anonimizados y quién los ha comprado.
- Los usuarios de estos dispositivos deberían poder comprobar qué datos personales están en manos de los fabricantes y tener un canal sencillo para eliminarlos de forma rápida y segura si así lo desean.
- Todos los dispositivos IoT deberían incorporar un mecanismo que les permitiese actualizar su firmware de forma sencilla en el caso en el que se detecte un problema de seguridad.
Pocos por no decir ningún dispositivo invade tanto nuestra vida privada y personal como un altavoz inteligente o una cámara de video-vigilancia que podemos controlar desde Internet. Y no es que hasta ahora no hayamos asistido a casos de malas prácticas, en los que ese factor de IA o machine learning que nos prometen por ejemplo, no tenga en realidad un “componente humano” mucho más elevado del que cabría esperar.
Y sin embargo en estos momentos, pocas empresas, por no decir ninguna, estaría dispuesta a cumplir con condiciones como el tener que explicar de forma pública qué es lo que hacen con nuestros datos, si los venden y a quién los venden. Pero tras la aprobación de medidas como la GDPR no debería ser tan descabellado que una actualización de este cuerpo legal obligase en un futuro a los fabricantes a hacerlo y no solo en el ámbito doméstico, también en el industrial.
