9 mar 2015

IoT: ¿En qué punto estamos?

Cuando hemos oído hablar del Internet de las Cosas, siempre nos han contado que todo estará interconectado proporcionando un nuevo modelo de sociedad, dónde veremos nuevas ciudades, con nuevos servicios y posibilidades infinitas. Viendo algunos ejemplos de ciudades inteligentes en las que en función de la persona que se acerca a un cartel se cambia la publicidad que se muestra, un servicio de basuras en el que los contenedores avisan a las centrales de cuando los límites del contenedor están cercanos, un despertador que nos despierta y se conecta a la nevera para saber si tenemos que comprar comida y, además, se conecta a nuestro coche para saber si debemos echar gasolina, o un sistema de riego el cual funciona de forma inteligente en función de la temperatura que se tiene en la ciudad. Todos tenemos claro que el Internet de las Cosas está cambiando, y terminará cambiando la sociedad tal y como la conocemos, pero también debemos tener en mente que existen unos riesgos que debemos entender y a los que debemos enfrentarnos. Algunas de las cosas mencionadas ya existen, otras terminarán llegando, pero tenemos la tecnología para que sea posible.

Principalmente, y esto es una opinión que cada uno puede tener, podemos visualizar riesgos que afectan a la privacidad del consumidor y riesgos que afectan a la seguridad de la sociedad como ente consumidor. Muchos de los dispositivos que empezamos a tener conectados a Internet, como neveras, televisiones inteligentes o relojes, envían información de los hábitos de uso de sus propietarios con lo que se puede realizar una recolección de información y un profiling muy valioso para empresas, entidades de marketing, incluso gobiernos. Como ejemplo podemos incluir el de los casos de Smart TV que envían información de los programas que ven sus propietarios, de la navegación que realiza con la televisión, incluso se accede a los nombres de los archivos de los discos duros que se enchufan al televisor. Este ejemplo se destapó en el año 2013, cuando la marca LG aceptó que recopilaban este tipo de información, incluso cuando la función de recolección de información estaba deshabilitada. Esto supuso un gran escándalo, ya que aunque el usuario no quisiera compartir dicha información, ésta se compartía. 

En Junio del 2014 se publicó un ataque a Smart TV que podía afectar a millones de televisiones inteligentes. La condición es que fueran hbbTV y el ataque se conoció como botón rojo. El paper indica que el ataque no es de alto coste, ya que se necesitarían alrededor de 400 dólares, y tendría un alcance de 20.000 dispositivos. La idea fundamental es la inserción de código en cualquier sitio web a elección del usuario malicioso, haciéndose pasar por un proveedor. En términos simples, el ataque consiste en interceptar la señal que viaja por el aire del proveedor, manipularla y volver a emitirla para que llegue a los televisores. No se puede verificar la política del mismo origen. Estaríamos en un escenario de MiTM, el cual se puede juntar con un drone para barrer un área grande y realizar un ataque masivo contra televisiones inteligentes. 

El mes pasado, a principios de Febrero de 2015, nos hicimos eco de una noticia que salpicaba a la marca Samsung y sus televisores inteligentes. La funcionalidad que permite a los usuarios ejecutar acciones simplemente indicando a la televisión acciones con la voz, hace que la televisión esté constantemente escuchando lo que el usuario dice. Además, estos comandos de voz no son solo procesados por la televisión, ya que son enviados a servidores de terceros, lógicamente con otros fines. Si comparamos con los smartphones o con nuestros portátiles están realizando más o menos la misma función, ya que cuando nosotros estamos teniendo una conversación vía teléfono o vía skype, por ejemplo, nuestros dispositivos también nos escuchan. El problema viene que seguramente no sabemos cuando nos están escuchando, o que hacen con la información que escuchan. Por ejemplo, el sistema Siri de Apple puede estar constantemente escuchando con la opción "hey siri" u "oye siri". Además, la aplicación de Facebook puede habilitarnos el micrófono en cualquier momento mientras estemos utilizando la aplicación. No solo con lo que hablamos, si no también con lo que escribimos, el tema de la publicidad de Facebook o Gmail, parece que nunca estamos solos. Samsung indicaba en su política de uso que enviarían los datos a un tercero, la empresa Nuance, la cual convertía la voz a texto. Es cierto que Samsung promete que elimina esta información de inmediato, aunque la mayoría de las empresas que hacen esto almacenan la información durante gran cantidad de tiempo en sistemas de Big Data. Por supuesto, almacenar esta información puede ser un gran riesgo, ya que cada día observamos incidentes de seguridad y acceso a información privada y de consumidores. ¿Están las empresas haciendo un mal uso de la información? ¿Están las empresas poniendo en riesgo la información de sus consumidores? Samsung cita en su política de privacidad:
Por favor, tenga en cuenta que si sus palabras habladas incluyen información confidencial personal o de otro tipo, será capturada y transmitida a un tercero a través de Internet y se hará reconocimiento de voz sobre ella.
Figura 1: Política de privacidad
No todo son televisiones, hoy en día han entrado ya en juego, y mucho, los coches. Los coches más inteligentes que ya se encuentran en el mercado aportan funcionalidades para recoger información como velocidad, posición del volante, presión de neumáticos, presión del pedal, rutas por las que viaje el coche, etcétera. Son datos que pueden resultar de más o menos interés, pero que se recogen, y que para un profiling de una persona puede ser utilizada. Además, existen otras funcionalidades que ya pueden hacerse en remoto, como es la apertura de puertas del coche, encender un vehículo, o conectar otros dispositivos al vehículo. ¿Dónde está el limite con la seguridad de los ocupantes del vehículo? 

Podemos también comentar sobre relojes inteligentes, pulseras que recopilan información de nuestro ritmo cardíaco, que trackean por dónde nos movemos, por dónde salimos a correr, las calorías perdidas, etcétera. Después, esta información es subida a Internet y perdemos el control sobre ella. Además, en muchas ocasiones esta información es pública sin que el usuario sepa que esto ocurre, y poniendo en riesgo la privacidad de sus itinerarios por los que sale a correr.

Sí, el IoT afecta a la privacidad del consumidor debido a la recopilación de información de éste, de sus hábitos, de sus acciones, de sus gustos, esto puede afectar a la generalización del modelo IoT, ya que un usuario puede perder la confianza. La pérdida de confianza puede provocar que IoT no llegue a amoldarse en nuestras vidas, aunque las grandes marcas están haciendo grandes esfuerzos por introducir este tipo de dispositivos que conforman parte del ecosistema IoT. La seguridad es el otro gran factor que IoT debe cumplir, una seguridad por diseño que esté presente en la construcción de los sistemas y dispositivos que formarán parte de este gran ecosistema ubicuo. Hoy en día, existen empresas que no tienen en cuenta este requisito de la sociedad y, seguramente, serán penalizadas con la pérdida de confianza por parte de los usuarios. La seguridad poco a poco se ha convertido en un requisito innegociable, tanto para empresas como para usuarios de a pie. En la parte de seguridad tenemos a proveedor de Software y Hardware con gran cantidad de años de ventaja en estos desarrollos, los cuales aportan su experiencia, pero por el contrario tenemos a nuevos desarrolladores y empresas que se introducen en este mundo sin experiencia previa, y no tienen la seguridad de los dispositivos entre sus principales objetivos. Por otro lado, otra de las cuestiones a tener en cuenta es que algunos de los dispositivos son pequeños y tienen recursos muy limitados, por lo que su capacidad de cómputo y recursos son bajos, y en muchas ocasiones su bajo coste hace que sean desechables, teniendo una difícil actualización en caso de encontrarse una vulnerabilidad en alguno de ellos.   

Por supuesto, algunas de las cosas que se piden a las empresas es que utilicen lo que se conoce como seguridad por diseño y utilicen buenas prácticas en el ciclo de desarrollo del software o de los componentes. Otra de las cosas que se piden es minimizar la exposición de datos de los consumidores, o que se utilicen algunas medidas que hagan transparente el cómo se utilizan los datos de los usuarios. 

Como conclusión humilde, sencilla y simple, ¿Deberíamos regular los sistemas que escuchan? ¿Deberíamos regular el uso de la información que estos sistemas que nos rodean realizan de nuestras conductas, de nuestros hábitos, de nuestra forma de vida? Quizá hay demasiados agentes a nuestro alrededor recopilando información sobre lo que hacemos en el día a día, empezamos con ordenadores, continuamos con los smartphones y se han ido incorporando las televisiones, neveras, vehiculos... Suficiente información como para realizar un profiling de una persona exhaustivo, ¿Fantasía o realidad? 

No hay comentarios:

Publicar un comentario