Cuando hemos oído hablar del Internet de las Cosas, siempre nos
han contado que todo estará interconectado proporcionando un nuevo
modelo de sociedad, dónde veremos nuevas ciudades, con nuevos servicios y
posibilidades infinitas. Viendo algunos ejemplos de ciudades
inteligentes en las que en función de la persona que se acerca a un
cartel se cambia la publicidad que se muestra, un servicio de basuras en
el que los contenedores avisan a las centrales de cuando los límites
del contenedor están cercanos, un despertador que nos despierta y se
conecta a la nevera para saber si tenemos que comprar comida y, además,
se conecta a nuestro coche para saber si debemos echar gasolina, o un
sistema de riego el cual funciona de forma inteligente en función de la
temperatura que se tiene en la ciudad. Todos tenemos claro que el
Internet de las Cosas está cambiando, y terminará cambiando la sociedad
tal y como la conocemos, pero también debemos tener en mente que existen
unos riesgos que debemos entender y a los que debemos enfrentarnos.
Algunas de las cosas mencionadas ya existen, otras terminarán llegando,
pero tenemos la tecnología para que sea posible.
Principalmente, y esto es una opinión que cada uno puede tener, podemos
visualizar riesgos que afectan a la privacidad del consumidor y riesgos
que afectan a la seguridad de la sociedad como ente consumidor. Muchos
de los dispositivos que empezamos a tener conectados a Internet, como
neveras, televisiones inteligentes o relojes, envían información de los
hábitos de uso de sus propietarios con lo que se puede realizar una
recolección de información y un profiling muy valioso para empresas, entidades de marketing, incluso gobiernos. Como ejemplo podemos incluir el de los casos de Smart TV que
envían información de los programas que ven sus propietarios, de la
navegación que realiza con la televisión, incluso se accede a los
nombres de los archivos de los discos duros que se enchufan al
televisor. Este ejemplo se destapó en el año 2013, cuando la marca LG aceptó que recopilaban este tipo de información,
incluso cuando la función de recolección de información estaba
deshabilitada. Esto supuso un gran escándalo, ya que aunque el usuario
no quisiera compartir dicha información, ésta se compartía.
En Junio del 2014 se publicó un ataque a Smart TV que podía afectar a millones de televisiones inteligentes. La condición es que fueran hbbTV y el ataque se conoció como botón rojo. El paper indica que el ataque no es de alto coste, ya que se necesitarían alrededor de 400 dólares, y tendría un alcance de 20.000 dispositivos.
La idea fundamental es la inserción de código en cualquier sitio web a
elección del usuario malicioso, haciéndose pasar por un proveedor. En
términos simples, el ataque consiste en interceptar la señal que viaja
por el aire del proveedor, manipularla y volver a emitirla para que
llegue a los televisores. No se puede verificar la política del mismo
origen. Estaríamos en un escenario de MiTM, el cual se puede juntar con un drone para barrer un área grande y realizar un ataque masivo contra televisiones inteligentes.
El mes pasado, a principios de Febrero de 2015, nos hicimos eco de una noticia que salpicaba a la marca Samsung y sus televisores inteligentes.
La funcionalidad que permite a los usuarios ejecutar acciones
simplemente indicando a la televisión acciones con la voz, hace que la
televisión esté constantemente escuchando lo que el usuario dice.
Además, estos comandos de voz no son solo procesados por la televisión,
ya que son enviados a servidores de terceros, lógicamente con otros
fines. Si comparamos con los smartphones o con nuestros
portátiles están realizando más o menos la misma función, ya que cuando
nosotros estamos teniendo una conversación vía teléfono o vía skype,
por ejemplo, nuestros dispositivos también nos escuchan. El problema
viene que seguramente no sabemos cuando nos están escuchando, o que
hacen con la información que escuchan. Por ejemplo, el sistema Siri de Apple puede estar constantemente escuchando con la opción "hey siri" u "oye siri". Además, la aplicación de Facebook puede
habilitarnos el micrófono en cualquier momento mientras estemos
utilizando la aplicación. No solo con lo que hablamos, si no también con
lo que escribimos, el tema de la publicidad de Facebook o Gmail, parece que nunca estamos solos. Samsung indicaba en su política de uso que enviarían los datos a un tercero, la empresa Nuance, la cual convertía la voz a texto. Es cierto que Samsung promete
que elimina esta información de inmediato, aunque la mayoría de las
empresas que hacen esto almacenan la información durante gran cantidad
de tiempo en sistemas de Big Data. Por supuesto, almacenar
esta información puede ser un gran riesgo, ya que cada día observamos
incidentes de seguridad y acceso a información privada y de
consumidores. ¿Están las empresas haciendo un mal uso de la información?
¿Están las empresas poniendo en riesgo la información de sus
consumidores? Samsung cita en su política de privacidad:
Por favor, tenga en cuenta que si sus palabras habladas incluyen información confidencial personal o de otro tipo, será capturada y transmitida a un tercero a través de Internet y se hará reconocimiento de voz sobre ella.
 |
| Figura 1: Política de privacidad |
No todo son televisiones, hoy en día han entrado ya en juego, y mucho,
los coches. Los coches más inteligentes que ya se encuentran en el
mercado aportan funcionalidades para recoger información como velocidad,
posición del volante, presión de neumáticos, presión del pedal, rutas
por las que viaje el coche, etcétera. Son datos que pueden resultar de
más o menos interés, pero que se recogen, y que para un profiling de
una persona puede ser utilizada. Además, existen otras funcionalidades
que ya pueden hacerse en remoto, como es la apertura de puertas del
coche, encender un vehículo, o conectar otros dispositivos al vehículo.
¿Dónde está el limite con la seguridad de los ocupantes del vehículo?
Podemos también comentar sobre relojes inteligentes, pulseras que recopilan información de nuestro ritmo cardíaco, que trackean por
dónde nos movemos, por dónde salimos a correr, las calorías perdidas,
etcétera. Después, esta información es subida a Internet y perdemos el
control sobre ella. Además, en muchas ocasiones esta información es
pública sin que el usuario sepa que esto ocurre, y poniendo en riesgo la
privacidad de sus itinerarios por los que sale a correr.
Sí, el IoT afecta a la privacidad del consumidor
debido a la recopilación de información de éste, de sus hábitos, de sus
acciones, de sus gustos, esto puede afectar a la generalización del
modelo IoT, ya que un usuario puede perder la confianza. La pérdida de
confianza puede provocar que IoT no llegue a amoldarse en nuestras
vidas, aunque las grandes marcas están haciendo grandes esfuerzos por
introducir este tipo de dispositivos que conforman parte del ecosistema
IoT. La seguridad es el otro gran factor que IoT debe cumplir, una
seguridad por diseño que esté presente en la construcción de los
sistemas y dispositivos que formarán parte de este gran ecosistema
ubicuo. Hoy en día, existen empresas que no tienen en cuenta este
requisito de la sociedad y, seguramente, serán penalizadas con la
pérdida de confianza por parte de los usuarios. La seguridad poco a poco
se ha convertido en un requisito innegociable, tanto para empresas como
para usuarios de a pie. En la parte de seguridad tenemos a proveedor de
Software y Hardware con gran cantidad de
años de ventaja en estos desarrollos, los cuales aportan su experiencia,
pero por el contrario tenemos a nuevos desarrolladores y empresas que
se introducen en este mundo sin experiencia previa, y no tienen la
seguridad de los dispositivos entre sus principales objetivos. Por otro
lado, otra de las cuestiones a tener en cuenta es que algunos de los
dispositivos son pequeños y tienen recursos muy limitados, por lo que su
capacidad de cómputo y recursos son bajos, y en muchas ocasiones su
bajo coste hace que sean desechables, teniendo una difícil actualización
en caso de encontrarse una vulnerabilidad en alguno de ellos.
Por supuesto, algunas de las cosas que se piden a las empresas es que
utilicen lo que se conoce como seguridad por diseño y utilicen buenas
prácticas en el ciclo de desarrollo del software o de los componentes.
Otra de las cosas que se piden es minimizar la exposición de datos de
los consumidores, o que se utilicen algunas medidas que hagan
transparente el cómo se utilizan los datos de los usuarios.
Como conclusión humilde, sencilla y simple, ¿Deberíamos regular los
sistemas que escuchan? ¿Deberíamos regular el uso de la información que
estos sistemas que nos rodean realizan de nuestras conductas, de
nuestros hábitos, de nuestra forma de vida? Quizá hay demasiados agentes
a nuestro alrededor recopilando información sobre lo que hacemos en el
día a día, empezamos con ordenadores, continuamos con los smartphones y se han ido incorporando las televisiones, neveras, vehiculos... Suficiente información como para realizar un profiling de una persona exhaustivo, ¿Fantasía o realidad?
Fuente: http://www.flu-project.com/2015/03/iot-en-que-punto-estamos.html
No hay comentarios:
Publicar un comentario