:format(jpeg)/www.elespectador.comhttp://thumbor-prod-us-east-1.photo.aws.arc.pub/OeMoHClzmKyDqDFNkoPmHejivCc=/arc-anglerfish-arc2-prod-elespectador/public/KK52BUELARG2LFTWLY5NMCY3EI.jpg)
“La seguridad en el internet de las cosas apesta. No hay una forma más sutil para nombrar el problema y no hay formas fáciles de hacerle frente a este desafío. Lo siento: esta no va a ser una tarea que se solucione en unos meses y tampoco es un reto que sea superado por uno o dos jugadores del mercado. Requiere un esfuerzo coordinado y es ahí en donde encontramos los mayores obstáculos”.
Quien habla es Jaya Baloo es la responsable de la seguridad de la información en KPM, una de las compañías de telecomunicaciones más grandes en Holanda y, como ella misma lo admite, es algo así como una manager de hackers: “Mi labor en buena parte es trabajar con desarrolladores y diseñadores de software para encontrar huecos en la seguridad de IoT. Y los encontramos a dos manos todos los días”.
Se estima que, en cuatro años, 100.000 millones de nuevos dispositivos van a tener capacidades de conexión a internet. Desde los clásicos termostatos inteligentes, pasando por las cámaras web de seguridad, hasta neveras, lavadoras y una plétora de electrodomésticos que incorporarán un asistente virtual. Claro, será buen negocio, pero también puede ser una de las pesadillas logísticas más grandes a las que se enfrentarán compañías de seguridad, operadores de redes y usuarios. Para 2021, se espera que los daños comerciales relacionados con ataques digitales lleguen a los US$6.000 billones a nivel global.
Internet de las cosas (IoT) es uno de los términos más populares al internet del Mobile World Congress de Barcelona (MWC), quizá la mayor feria de tecnología móvil en el mundo. Y si bien el concepto no es nuevo, el auge de los asistentes virtuales y las mejoras en interfaz y comunicación máquina-humano le están dando un impulso extra a un sector con enorme potencial tanto en oportunidades económicas, como en problemas.
“¿Qué pasa en el campo? ¿Por qué se nos salió de la mano esto? Bueno, todos hacen lo que les da la gana. Cada fabricante aplica una capa de seguridad, a veces un barniz, y ya. Creemos que con ponerle contraseña ya todo está bien”, insiste Baloo: “Tenemos estándares que no se implementa y protocolos que no se siguen. Pareciera que no nos tomamos este tema en serio”.
Lea también: La historia detrás de la internet de las cosas
Durante una charla hace un par de días, Cristopher Young, presidente de la firma McAfee, se refería a la filosofía que impulsó el auge de Toyota: “La compañía impuso la idea de que estaba bien parar la línea de producción si había problemas de calidad, pues era el único valor que no se podía comprometer, tan simple como eso. Creo que hoy necesitamos que la ciberseguridad sea asumida de esta forma. Millones de dispositivos significa millones de posibilidades de ataque”.
Esta es una línea conveniente, y acaso predecible, para el representante de una compañía que fabrica antivirus y otras soluciones de seguridad digital. Pero no por eso tiene menos razón. “No se trata sólo de implementar dos o o tres pasos, sino de repensar totalmente el ecosistema de IoT para cerrar brechas y puntos vulnerabilidad”, dice Baloo.
Esto significa trabajar en seis áreas claves, según el doctor Seshu Madhavapeddy, vicepresidente de Qualcomm a cargo de IoT: asegurar la integridad del software, proteger los datos de un dispositivo (tanto cuando están en tránsito, como cuando están almacenados localmente), generar procesos para autenticar aplicaciones, hacer mejorías en el firmware de los dispositivos y diseñar mejores técnicas para extender el ciclo de vida de un aparato desde el punto de vista de ciberseguridad.
“¿Cómo logramos esto? Bueno, no hay una sola respuesta porque aquí, como en muchos otros casos, una talla no le sirve a todos los actores. Se podría argumentar que es una solución primordialmente de software. Yo no estoy de acuerdo: creo que hay que pensar en mejoras drásticas en software, claro, pero también en cómo aseguramos más el hardware, cómo, desde la máquina, se pueden asegurar los datos y las transferencias de información. Pero es una tarea que también incluye a las compañías que operan las redes; no es un problema que recaiga sólo en los fabricantes. Aquí es ‘todos ponen’ porque si no todos pierden, principalmente los usuarios”, dijo el ejecutivo de Qualcomm, uno de los mayores fabricantes de procesadores móviles en el mundo.
Esta no es una conversación que resuena solo entre la comunidad de expertos en ciberseguridad. Por más que parezca, no es un asunto de nicho ni un problema de gueto. La seguridad del IoT puede tener profundas consecuencias a escala industrial, al menos si se tienen en cuenta algunas de las implementaciones que, por ejemplo, tiene Microsoft en algunas empresas. La compañía detrás de Windows ha desarrollado proyectos para controlar el consumo de combustible en turbinas de avión diseñadas por Rolls Royce (que ahorra unos US$250.000 por avión cada año); el análisis de datos de uso y mantenimiento en ascensores de Thyssen permite reducir en 50 % el tiempo que estos aparatos pasan fuera de servicio.
Pero también están los casos en los que las cosas salen mal, como lo explica Baloo: “Hay que ser consciente de los usos que las personas pueden darle a una tecnología. Tú producto puede estar diseñado para rastrear actividad física, pero termina revelando la ubicación de bases militares secretas. Sé que es difícil planear contra esto, pero lo que sí se puede hacer es pedirle a una comunidad externa que ensañe y encuentre huecos. Es vital siempre probar los parámetros con los que se diseña un producto”.
Lea también: La teconología, más allá de los celulares
La ejecutiva se refiere al caso se Strava, la popular aplicación de entrenamiento en la que quedaron expuestas instalaciones militares debido al registro de la actividad física de usuarios (personal de estas bases) que queda marcado en mapas en la app.
Entidades como la Alianza LoRa, que se dedica a desarrollar protocolos y estándares para IoT, han emprendido la titánica tarea de establecer una suerte de terreno común entre fabricantes, desarrolladores y usuarios. Pero incluso ellos insiste en que la tarea sólo podrá realizarse si, como dice el vicepresidente de Qualcomm, todos ponen de su parte.