Riesgos y retos de ciberseguridad y privacidad en IoT

El Internet of Things (IoT) o Internet de las Cosas ha comenzado a formar parte de la vida cotidiana de la sociedad: hogares inteligentes, la educación inteligente, el cuidado de la salud inteligente, los wearables, el Internet de los Vehículos (IoV) y otras industrias, hacen gran uso de esta tecnología jugando un papel fundamental en su transformación digital y en la hiperconexión de sus elementos.

El ecosistema IoT incluye dispositivos, redes, plataformas y aplicaciones que requieren múltiples medidas de protección de la seguridad en cada capa, así como capacidades de inteligencia y de análisis de la seguridad de la totalidad de los datos para aprovechar la sinergia entre los dispositivos y la nube.

Los retos en ciberseguridad del IoT

Debido a la constante evolución de estas tecnologías, es muy difícil conocer cuál será el alcance del avance del IoT en los servicios del futuro. Sin embargo, lo que a día de hoy se puede intuir es la gran cantidad de problemas de ciberseguridad y privacidad de la información de los usuarios que podrán afectarles.

La relevancia de la tecnología IoT como objetivo de posibles amenazas que comprometan su ciberseguridad y privacidad viene dada principalmente por el hecho de que esta tecnología utiliza y depende de elementos cotidianos (relojes y pulseras inteligentes, aplicaciones de localización, sistemas inteligentes de cuidados médicos, etc.) con la capacidad de poder transmitir y procesar información a través de Internet.

La recolección de datos personales de los usuarios es inherente al funcionamiento de estos dispositivos,  con independencia del nivel de consciencia del usuario en cuanto a la información personal que está revelando con el uso de estos servicios, lo cual también es fuente de problemas de seguridad.

Además, los dispositivos más utilizados en IoT presentan vulnerabilidades técnicas relacionadas en sus mecanismos de autenticación, o en el cifrado de la información que transmiten. Por ejemplo, existen una gran cantidad de datos que sin el cifrado apropiado se transmiten a través de redes inalámbricas, muchas de ellas públicas y carentes de seguridad.

Considerando su impacto en la seguridad y privacidad de los ciudadanos (la recopilación y procesamiento de datos puede ser incierta para los usuarios), el panorama de amenazas concerniente al IoT es extremadamente amplio.

Resumen de riesgos y debilidades

Actualmente la tecnología IoT presenta una serie de riesgos y vulnerabilidades  que se podrían resumir en los siguientes:

• Recursos limitados: la mayoría de los dispositivos IoT tienen capacidades limitadas en procesamiento, memoria y potencia, por lo que los controles de seguridad avanzados no pueden aplicarse eficazmente.
• Ecosistema complejo:Las preocupaciones de seguridad se agravan ya que el IoT no debe verse como una colección de dispositivos independientes, sino como un ecosistema rico, diverso y amplio que involucra aspectos como dispositivos, comunicaciones, interfaces y personas.
• Bajo costo: en algunos casos los fabricantes podrían estar inclinados a limitar las características de seguridad para asegurar un bajo costo y por lo tanto, la seguridad del producto podría no ser capaz de proteger contra ciertos tipos de ataques IoT.
• Falta de experiencia: Este es un ámbito bastante novedoso por lo que hay una falta de personal experto en materia de ciberseguridad IoT que no cuenta con un background previo de histórico de amenazas o problemas que permitan disponer de unas lecciones aprendidas aplicables a esta tecnología. Simplemente se cuenta con unas reglas generales que se deben aplicar en este ámbito de la manera adecuada.
• Fallos de seguridad en el diseño propios del dispositivo y de su explotación: la práctica más habitual es que los fabricantes se centren en minimizar el tiempo de lanzamiento de los productos descuidando a veces en la fase del diseño aspectos esenciales de ciberseguridad (cifrado de la información transmitida, controles de acceso, etc.) en muchos casos debido a la necesidad de anticiparse a la competencia en el lanzamiento.
• Falta de control y asimetría de la información: en muchas ocasiones el usuario no es consciente del tratamiento de datos llevado a cabo por los dispositivos sensorizados. Los mecanismos convencionales utilizados para obtener el consentimiento de los usuarios son considerados consentimientos “de baja calidad” debido a que en muchos casos se basan en la falta de información que recibe el usuario sobre el posterior tratamiento de los datos personales que está proporcionando. Además esta información puede llegar a manos de terceros sin que el usuario sea consciente de la difusión de la misma.
  También, aunque no es una práctica especifica de IoT, la falta de control que existe en tecnologías como los servicios en la nube y el Big Data, incluso en la problemática que surge de la combinación de ambos, hace que la falta de control y la asimetría de la información estén muy presentes en el ámbito del IoT.
• Limitaciones en la posibilidad de permanecer en el anonimato cuando se utilizan servicios: el avance de la tecnología IoT provocará la pérdida del anonimato en el uso de múltiples servicios en los que a día de hoy se presupone como algo garantizado. Para proteger dicho anonimato será necesario mejorar las técnicas de control de acceso y de cifrado, desarrollar técnicas de apoyo al concepto de Privacidad por Diseño, evitar la inferencia de información y preservar la privacidad de la ubicación del usuario.
• Seguridad frente a eficiencia: a la hora de equilibrar la optimización de los recursos hardware del dispositivo con los requisitos de seguridad que exigen estos dispositivos, se plantean varios desafíos para los fabricantes. Dado que la presión de tiempo de comercialización de los productos IoT es mayor que en otros ámbitos, a veces se imponen limitaciones a los esfuerzos para desarrollar dispositivos seguros. Por esta razón, y a veces también debido a problemas de presupuesto, las empresas que desarrollan productos IoT ponen más énfasis en la funcionalidad y usabilidad que en la seguridad.
• Responsabilidades poco claras: la falta de una asignación clara de responsabilidades (fabricante/prestador del servicio/usuario) podría dar lugar a ambigüedades y conflictos en caso de ocurrir un suceso que afecte a la seguridad, especialmente teniendo en cuenta la gran y compleja cadena de suministro que entraña el IoT. Además, la cuestión de cómo gestionar la seguridad si un solo componente fuera compartido por varias partes sigue sin resolverse.

La siguiente tabla referencia la taxonomía de amenazas del estudio Baseline Security Recommendations for IoT desarrollado por la ENISA.