El IoT es el siguiente paso en la tecnología, asimilar esta en la sociedad proporcionando servicios puntuales allí donde se necesitan. Esto requeriría de una masificación de los dispositivos conectados a internet, directamente conectado al wifi, con zigbee, usando bluetooth, beacons o de otras muchas formas.
Pero tenemos un problema al respecto de esta masificación. Si ya hay graves fallos de seguridad a día de hoy en empresas cuya responsabilidad es cuidar de esos datos y que no se divulguen, hasta que punto puede llegar si creamos un montón de dispositivos, sin garantía de calidad y los conectamos a lo largo de toda nuestra ciudad. El ejemplo más reciente del riesgo que supone lo tenemos con Yahoo y la filtración masiva de las cuentas de sus usuarios. Ahora supongamos que una persona, empresa o institución pública decide ahorrar dinero a la hora de comprar estos aparatos para su entorno comprando productos de un precio muy bajo y sin garantía de seguridad. La amenaza puede ser importante, cualquier dispositivo que no tenga una correcta implementación puede ser susceptible de ser atacado ya no solo por hackers malintencionados profesionales, sino por cualquiera que estando un poco metido dentro del mundillo siga los defectos de los diversos productos.
La pregunta que surge es como podemos garantizar la seguridad. Bueno pues la responsabilidad no va a ser solo del que hace el producto, también es nuestra responsabilidad a la hora de comprar un dispositivo que vamos a conectar a la red asegurarnos que tiene unas correctas garantías de seguridad y pensar en si confiamos de verdad en el. ¿Confiamos en esa cámara de seguridad conectada a internet comprada en Alliexpress? Yo personalmente no.
Como desarrolladores de estos dispositivos tenemos una responsabilidad con nuestros clientes. Tenemos que garantizar que sus dispositivos no sean vulnerables. Una forma de garantizar las comunicaciones seguras es implementar un cifrado en dichas comunicaciones. Entre los algoritmos de cifrado tenemos el PRESENT, que es un algoritmo ligero de cifrado, se considera que no hace falta en el IoT el cifrado de grandes masas de datos. Otro ejemplo es TRIVIUM, también un algoritmo de cifrado ligero. En este caso se basa en un registro de desplazamiento cíclico para su funcionamiento, tiene el propósito de ser eficiente y de dar un buen resultado de seguridad.
La seguridad de nuestro sistema también se puede ver vulnerada por el hardware que adquirimos, en un artículo interesante de IEEE se analiza un caso en el que se reemplazo una pieza por otra no autorizada para detección de hielo en un avión P-8 Poseidon. Analizando el problema se descubrió que esta pieza provenía de China. Este caso es especialmente interesante porque se centra en la seguridad en el ámbito militar donde la incorporación de una pieza no autorizada puede provocar fallos de seguridad y brechas que pueden ser aprovechadas por el enemigo.
Pero este es un ejemplo orientado a la industria militar con una serie de requisitos que no todos tenemos, aunque no es la primera vez que en nuestro día a día podemos tener brechas de seguridad que desconozcamos por culpa de haber adquirido un producto cuyas medidas de seguridad no eran lo suficientemente estrictas. Un ejemplo es el caso de los primeros lectores de huellas para móviles samsung que tenían una brecha de seguridad que permitían a otras aplicaciones acceder a ellas.
Homekit
Por último vamos a volver al foco del IoT y la seguridad, pero en el ámbito domestico. Personalmente, una de las apuestas que me resulta más interesante en el IoT es Apple Homekit, sin embargo, este parece estar retrasándose a la hora de surgir productos compatibles con el estándar por un motivo. Según se dice tiene unos requisitos de seguridad tan fuertes que está dificultando el desarrollo de fabricantes no acostumbrados a estos niveles de seguridad. Homekit hace uso de unas claves de cifrado de 3072 bits, curve25519, firmas digitales e intercambio de claves cifradas. Tanto para su conexión por WiFi como por Bluetooth LE. Según parece el problema surge en algunos dispositivos Bluetooth LE que genera un retardo demasiado grande, esto se ha conseguido solucionar incorporando más RAM, pero encareciendo el producto. Sin embargo en un mundo tan inseguro, la existencia de un protocolo que nos de estas garantías y sustentado por un gigante como apple es evidentemente una buena noticia.
IEEE, Pass-IoT: A Platform for Studying Security, Privacy and Trust in IoT, 25/10/2016
IEEE, Defense Systems and IoT: Security Issues in an Era of Distributed Command and Control, 25/10/2016
Xataka, http://www.xatakandroid.com/seguridad/se-encuentra-un-bug-con-el-que-se-pueden-clonar-las-huellas-dactilares-en-los-galaxy-s5, 25/10/2016
Ipadizate, http://www.ipadizate.es/2015/07/26/homekit-fabricantes-accesorios-quejan-seguridad-apple/, 25/10/2016
Rubén García Hernando
Latest posts by Rubén García Hernando (see all)
- El futuro de la tecnología - 20 enero, 2017
- La distancia entre nosotros es lo que nos está destrozando - 27 noviembre, 2016
- IoT y su implementación en la empresa - 27 noviembre, 2016
RCG says
2 noviembre, 2016 at 11:35 amBuen post, con sus casos, pero has abordado un riesgo de manera general y orientado todo al tema de la seguridad en base de las comunicaciones y el cifrado. ¿Te animas con el tema legal? Vehiculo autónomo? Y puedes ir pensando en controles ?
Por otra parte, sugiero releas tus textos para pulirlos un poco antes de publicarlos..