Hace ya más de quince años Kevin Ashton en su artículo Esa cosa del Internet de las cosas ya afirmaba que "si tuviéramos ordenadores capaces de capturar todo lo que necesitamos saber de las cosas -usando datos recogidos sin nuestra intervención- seríamos capaces de rastrear y contabilizarlo todo (?) El Internet de las cosas tiene el potencial de cambiar el mundo tal como ya lo ha hecho el propio Internet. Quizás todavía más".
El concepto, por lo tanto, no es nuevo, pero su aplicación práctica y explotación masiva sí está siendo más evidente en la sociedad en los últimos años y precisa de responsabilidad para garantizar la protección de su funcionamiento, la correcta gestión de los datos que procesa y la seguridad de su comunicación. Este nuevo ecosistema tecnológico expande las tradicionales fronteras de las redes y facilita la interacción.
Las capacidades del Internet de las cosas y sus potencialidades, junto con tecnologías de análisis masivo de datos, big data, el cloud computing o las redes fijas y móviles de banda ancha, permiten ahorrar costes y ser más eficientes a la vez que se prevé que transformarán y digitalizarán el mundo de los negocios, las relaciones comerciales y los servicios que los ciudadanos utilizamos. La aplicación práctica de las capacidades del IoT, además de ser evidente en los hogares, vehículos y en los procesos industriales, está abarcando la gestión de los servicios urbanos en lo que se conoce como Smart Cities.
Esta realidad nos trae nuevos y viejos retos, ya que no solo debemos contemplar que las cosas están o van a estar conectadas a Internet u otras redes privadas, sino que debemos entender que incorporan capacidad de proceso y almacenamiento más allá de la conectividad convirtiéndolas en smart things en la medida en que pueden soportar una lógica que añade nuevos vectores de ataque y riesgos como los detallados a continuación.
En cuanto a la privacidad hay que destacar que los datos personales que cedemos y los que se recaban por el uso de determinados productos y servicios están creciendo exponencialmente con las smart things. El big data es una herramienta empresarial muy útil para conocer mejor a los consumidores, pero la frontera del uso al abuso es muy fina.
El fraude es especialmente relevante para los equipos y entornos en los que se gestionan servicios de cobro o medida de la utilización de suministros, tipo smartmeters. La posible manipulación intencionada de los equipos con el fin de cometer abuso o ataques al servicio para evitar pagos es otro riesgo.
Sin embargo, el mayor riesgo de cara a infraestructuras críticas es la denegación del servicio. En este caso, los dispositivos podrían ser utilizados para atacar a los sistemas centrales de gestión y control operativos u otros actores en Internet causando una potencial disrupción completa si se vieran afectados los elementos críticos de supervisión y control de la infraestructura.
Otra de las amenazas en el mundo Smart es la gestión de las vulnerabilidades, ya que las necesidades de rápido despliegue, el control de los costes para las infraestructuras masivas y las tradicionales resistencias organizativas harán inevitable que aparezcan. Por ello, es esencial una adecuada gestión de las mismas para garantizar que se minimizan los riesgos de seguridad de los equipos antes de que sean puestos en producción.
Las incidencias de seguridad que aparecen requieren una gestión compleja que tiene que tener en cuenta la transversalidad que muchas de las infraestructuras presentan como soporte a servicios críticos. La colaboración de los actores públicos y privados es imprescindible y todo apunta a que las Smart Cities harán que la utilización de los centros de respuesta ante incidencias o emergencias técnicas se imponga como modelo inevitable de compartición de información de amenazas, vulnerabilidades y resolución de incidentes reales.
El mundo Smart tiene además el reto de asegurar el cumplimiento regulatorio en la protección de datos personales. La adecuada comunicación a los usuarios de los límites utilizados para recabar los datos personales y la garantía de los derechos sobre sistemas interconectados, y que habitualmente se soportan en tratamientos en la nube, presentan dificultades de cumplimiento por los problemas de encaje de la legislación pensada para contextos tecnológicos que están ya superados. Son necesarios experiencia y capacidad de análisis más allá del marco tradicional de la LOPD.
Entidades
Ramiro Mirones
Socio de Riesgos Tecnológicos en EY
