Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Internet de las cosas: pase hasta la cocina

Francisco Lázaro, CISO de Renfe, director del Centro de Estudios de Movilidad e IoT y miembro de la Junta Directiva de ISMS Forum

Paloma Llaneza, Comité Operativo del CEM

04/03/2016
Internet de las cosas, Internet de las casas, Internet de las personas, Internet de la web, Internet del todo, Internet de los servicios, ciudades inteligentes, industria 4.0… Tantos términos para extender la visión de un mundo conectado, absolutamente conectado.

Y no hablamos de otros mundos, todos y cada uno están en éste, con un grado de conexión sin precedentes, con un grado de riesgos sin precedentes, con una inseguridad sin precedentes.

Nuevos collares, el mismo perro

Los profesionales de la seguridad somos la Casandra pelma de las organizaciones, de la sociedad en su conjunto, la agorera que no hace más que anunciar los peligros mientras el resto sigue jugando en su teléfono inteligente o discutiendo cuestiones estratégicas de la compañía por Whatsapp. Y aquí estamos de nuevo advirtiendo de que seguimos usando las viejas formas de enfrentarnos a la tecnología (ignorando la seguridad por defecto en el diseño, la fabricación, despliegue, uso y mantenimiento de la tecnología) mientras los riesgos que identificamos no tienen precedente. Cuando aún nos enfrentamos con pereza al desafío del entorno SCADA industrial, un entorno imprescindible y en muchas ocasiones estratégico o crítico, aparece un hiper-conjunto de nuevas formas de aplicar sensores y conmutadores a elementos cotidianos o industriales.

Esta pereza es consecuencia del discurrir independiente de los sistemas de control industriales y de la Seguridad TIC, de primar la usabilidad y el diseño por encima de la seguridad. Nos falta diálogo fluido y nos sobra desconocimiento de los requisitos, diseño y funcionamiento. La ausencia de sensibilidad de lo que es importante para ambas partes provoca el principal problema: la falta de seguridad y privacidad en el diseño. Dos conceptos básicos aún no asimilados por todos los actores.

Y es en este momento, cuando todavía no hemos sido capaces de transmitir al entorno industrial esos dos conceptos básicos (no hablemos de las pruebas de seguridad en el proceso de fabricación, montaje y entrada en producción), cuando irrumpe el joven Internet de las cosas: a los sensores, actuadores y comunicaciones básicas o limitadas, se les añade conectividad a Internet de serie, inteligencia local, inteligencia en la nube y servicios. El Armagedón.

Riesgos y focos de atención

La inteligencia local y en la nube obligan a implementar controles en ambos espacios (el local y en la nube). Los servicios aceleran el uso y el universo IoT [Internet de las cosas], ese en el que el confort, la interrelación, la usabilidad y lo sexy están muy por encima de la seguridad. Nadie va a pagar más por evitar que su frigorífico inteligente envíe spam mientras le haga la compra de manera automática. Nadie es consciente de la implicación que para su vida personal y solvencia social y económica tiene que la televisión y el frigorífico nos conozca mejor que nuestra madre y no apliquen ninguna seguridad a ese conocimiento. No hay, por tanto, incentivo económico ni obligación legal para que el fabricante se plantee siquiera diseñar para una seguridad que nadie parece valorar.

Para proporcionar esos nuevos servicios, los nuevos actores –que en su inmensa mayoría no tienen una cultura TIC– deben sensibilizarse, no sólo concienciarse, de la existencia de las amenazas que pueden materializarse a través de sus dispositivos y servicios, y así aplicar controles que disminuyan el riesgo en relación con la violación de la privacidad, la seguridad de las personas, la seguridad funcional y la ciberseguridad.

El riesgo sin precedentes viene dado por la relación impacto y probabilidad que se deriva del número de dispositivos que tendremos en un futuro cercano (entre 20 y 50 mil millones de dispositivos en el 2020), la capilaridad de los mismos (llegando al cuerpo de personas y animales), la capacidad de conocer nuestra vida privada, la dependencia que generará, así como el incremento de superficie de ataque, de oportunidades de ataque y daños generados por dichos ataques.

Ya estamos viendo que los investigadores de seguridad, cuando muestran ejemplos de hacking sobre elementos IoT (neveras, lámparas, televisiones, instrumental médico, coches, etc.), identifican vulnerabilidades relacionadas con la gestión de la identidad, las configuraciones de caja, los modos inseguros de comunicación, etc. Así, por ejemplo, en el caso del Internet de las casas, un dispositivo, como puede ser una nevera inteligente que se conecte a nuestra agenda y correo, pone en riesgo no sólo su funcionalidad, sino también nuestros datos privados y al resto de los elementos conectados a la red residencial, con el rico y variado conjunto de información que  circula por ella.

No es difícil pensar que en un porcentaje cada vez mayor de casos tendremos elementos médicos conectados a esa misma red, elementos de los que dependerán nuestras vidas y nuestra integridad física y moral. Y así ese hacker que ataque nuestra nevera no sólo pasará hasta la cocina, sino que se adentrará por el resto de la casa hasta llegar a los sensores y actuadores que se relacionen con nuestros cuerpos.

Para ver el artículo completo pinche aquí.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual