Dispositivos médicos: Introducción

Download PDF

¿Sabemos cómo empezó la historia de la medicina? Pues se puede decir que la historia de la medicina tal y como la conocemos actualmente, comienza con Hipócrates, que fue el primer gran médico que vivió en Grecia hace 2.400 años y se refieren a él como el <<padre de la medicina moderna>>. [1]

Hasta hace unos trescientos años, la ciencia médica siguió siendo casi la misma de los antiguos. El hombre conocía muy pocas cosas sobre su cuerpo e ignoraba las verdaderas causas de muchas de sus enfermedades.

Afortunadamente, estamos viviendo una gran revolución de la tecnología y junto con ello, el progreso de la medicina. Es un área que ha evolucionado completamente y estos avances tecnológicos son particularmente necesarios para curar, controlar e incluso prevenir muchas enfermedades. Asimismo, dispositivos médicos sofisticados son capaces de hacer un diagnóstico preciso y transmitir información importante sobre el paciente, así como buscar el bienestar general de toda la población.

Pero ¿a qué se le llama un dispositivo IoMT?

La IoT de la salud o Internet of Medical Things es el conjunto de aplicaciones o dispositivos médicos que digitalizan y transforman la atención sanitaria. [2]

Estos dispositivos IoMT están ganando más terreno en el sector salud y cada vez cobran mas relevancia al desempeñar nuevas y valiosas tareas.

El aumento de estos dispositivos médicos electrónicos y portátiles, está mejorando en gran medida los resultados de los pacientes y reduciendo los costes sanitarios. El hecho de modelar pacientes “conectados” será un factor crítico en el continuo éxito de este campo. La demanda de los dispositivos médicos conectados está teniendo un crecimiento exponencial y se espera que alcance los 20.000 millones de dispositivos el año 2020. [3]

Esta nueva forma de gestionar la salud y sus datos está transformando las instituciones y centros médicos ahorrando costes, mejorando su rentabilidad, reduciendo el tiempo de espera y, sobre todo, mejorando la atención y experiencia del paciente.

Las aplicaciones principales de la IoT de la Salud son: [4]

  • Telemedicina: permite la prestación de servicios clínicos a distancia mediante infraestructuras de telecomunicación e intercambio de datos entre distintos centros médicos, también la monitorización del paciente en tiempo real y un ahorro de tiempo y movilidad.
  • Wearables y Big Data:permite medir y monitorizar los datos vitales en tiempo real y análisis de los movimientos corporales u órganos del cuerpo humano.
  • Inteligencia artificial:permite acumular datos que permitan tomar decisiones más exhaustivas en beneficio de la medicina y ofrecer mejores tratamientos para los pacientes.
  • Drones: permite actuar como agentes de refuerzo en emergencias sociales y sanitarias de difícil acceso u operaciones de logística.
  • Realidad aumentada:ver diagnósticos y procedimientos en tiempo real para aprender nuevas habilidades y expandir los conocimientos entre profesionales del sector.
  • Acceso remoto: permite controlar la condición del paciente en forma remota para que ambas partes puedan pasar menos tiempo en el hospital. [5]

 

Medicine doctor hand working with modern computer interface as medical concept

 

Pero ¿Solo hay que pensar en los beneficios de Internet of Medical Things (IoMT) y en las aplicaciones que tienen? Hay que tener en cuenta también los inconvenientes y en los riesgos que tienen estos dispositivos.

Todos los dispositivos que estén conectados a Internet o al servidor de un computador, dicho dispositivo y los datos que contiene y recopila, son también vulnerables a un ciberataque, es decir, los usuarios de este sistema se arriesgan a que sus datos sean robados por hackers. [6]

Por nombrar un caso, el año pasado un ataque de ransonware como el WannaCry afectó negativamente a algunos sistemas informáticos hospitalarios en el Reino Unido y dio lugar a la cancelación de cirugías y al cierre de quirófanos.  [7]

Asimismo, he estado leyendo sobre un estudio de Zingbox, una empresa de ciberseguridad de IoT, en el que cuenta que muchas de las vulnerabilidades del sistema de IoMT, concretamente un 41% de las alertas de seguridad, ocurren debido a errores humanos.

Por lo que las organizaciones medicas deberían aumentar su inversión en la seguridad a medida que conecten cada vez más dispositivos de IoMT, ya que una vez que se puede acceder a un dispositivo médico a través de Internet existe una variedad de riesgos a tener en cuenta.

Por último, personalmente pienso que los dispositivos IoT en el sector de la medicina, tiene muchos beneficios, pero es esencial que los dispositivos sean seguros.

Continuará ….

 

 

Referencias:

[1] Hipócrates. Acceso el día 7 de octubre del 2018.

https://viviendolasalud.com/salud-y-remedios/hipocrates-de-cos

[2] ¿Qué es IoMT y cómo cambiará nuestras vidas? Acceso el día 8 de octubre del 2018.

http://www.sendastartup.com/es/actualidad/que-es-iomt-y-como-cambiara-nuestras-vidas

[3] Dispositivos Médicos y Portátiles. Acceso el día 8 de octubre del 2018.

https://www.ansys.com/es-es/campaigns/internet-of-things/wearables-and-medical-devices

[4] ¿Que es la IoMT? Acceso el día 9 de octubre del 2018.

https://blog.kiversal.com/que-es-la-iomt/

[5] 3 oportunidades del IoT en dispositivos médicos. Acceso el dia 9 de octubre del 2018.

http://www.clubdeinnovacion.com/bloginn/3-oportunidades-del-iot-en-dispositivos-m%C3%A9dicos-parte-1

[6] El gran desafío del IoT en dispositivos médicos. Acceso el día 9 de octubre del 2018.

http://www.clubdeinnovacion.com/bloginn/el-gran-desaf%C3%ADo-del-iot-en-dispositivos-m%C3%A9dicos-parte-2

[7] IoT: ventajas y desventajas en el sector salud. Acceso el día 9 de octubre del 2018.

https://www.revistaneo.com/articles/2018/02/27/iot-ventajas-y-desventajas-en-el-sector-salud

Privacidad desde una perspectiva internacional: Riesgos

Download PDF

En el post anterior hemos obtenido una visión global de la situación empresarial en el ámbito de la privacidad, tanto Europea como Estadounidense. A pesar de que todo parece estar bastante bien regulado, siempre existen riesgos en el tratamiento de datos personales. Por eso hoy hablaremos sobre estos riesgos.
La mayoría de empresas cuentan con el documento de privacidad, que como ya hemos comentado anteriormente, recoge las políticas de esta empresa en lo referente a tratamiento de datos personales. A pesar de que a través de este documento la empresa en cuestión nos prometa ciertas garantías pueden existir brechas de seguridad y otros diversos problemas, ya que los datos personales son un tipo de información muy valiosa y delicada, y por ello es necesario ser consciente de los riesgos que su manipulación implica. Muchos de estos riesgos suceden en entornos web en los que el usuario es preguntado por ciertos datos, por ejemplo la información de facturación y envío cuando realizamos una compra online. En la siguiente tabla [1] se recogen algunos de los más importantes que se dan en este tipo de entornos:

Título Frecuencia Impacto Descripción
Vulnerabilidades de aplicación web Alta Muy alto Las vulnerabilidades son un problema clave en cualquier sistema que resguarde y opere con datos sensibles para el usuario. Realizar un diseño e implementación inadecuados o detectar un problema y aplicar un parche de forma abrupta son situaciones propensas a tener brechas de seguridad.
Filtración de datos por parte del operador Alta Muy alto Fallar en la prevención de la filtración de cualquier información que contenga o esté relacionado con datos de usuario, a cualquier entidad no autorizada resulta en una pérdida de datos confidenciales. Esto puede ser causado por una gestión de accesos inadecuada, almacenamiento inseguro, duplicación de datos o falta de conciencia.
Respuesta insuficiente ante una brecha de datos Alta Muy alto Puede suceder cuando no se informa a los propietarios de los datos sobre la posible brecha o filtración, cuando no se consigue solucionar un problema relacionado con este tipo de datos o cuando no se limita la información filtrada.
Borrado insuficiente de datos personales Muy alta Alto Esto ocurre cuando no se borran los datos correctamente, o en un cierto tiempo después de finalizar el propósito para el cual han sido recogidos o tras una petición.
Políticas, Términos y condiciones no transparentes Muy alta Alto Esto sucede cuando no se provee suficiente información acerca de cómo se procesan y son tratados los datos, así como su recolección y almacenamiento. No hacer esta información accesible y entendible para personas sin conocimientos legislativos también es motivo de que esto suceda.
Recolección de datos innecesaria para el propósito primario. Muy alta Alto Recolectar datos descriptivos, demográficos o cualquier otro tipo de datos innecesarios para los propósitos del sistema. Esto también se aplica a los datos recogidos sin consentimiento previo del propietario.
Compartición de datos con entidades de terceros Alta Alto Proveer datos de usuarios a una entidad externa sin obtener el consentimiento del usuario. También puede deberse a una compartición de resultados por una transferencia o por un intercambio en forma de compensación monetaria o por uso inadecuado de recursos de entidades externas en sitio web.
Desactualización de datos personales Alta Muy alto El uso de datos de usuario desactualizados, incorrectos o fraudulentos. También existe este riesgo cuando se falla al actualizar o corregir estos datos.
Expiración de sesiones insuficiente o inexistente Media Muy alto Incumplimiento de la terminación de sesiones efectiva. Esto puede resultar en la recolección de datos de usuario adicionales sin su consentimiento o consciencia.
Transferencia de datos insegura Media Muy alta Sucede cuando se realizan transferencia de datos a través de canales inseguros o sin ningún tipo de encriptación, excluyendo de esta forma la filtración de datos. Esto también incluye no promocionar los mecanismos que limitan la superficie de filtración.

Los riesgos citados están muy orientados a los entornos web, aunque también existen algunos riesgos algo más generales [2] que pueden darse en otro tipo de ámbitos.

  • Riesgo de incumplimiento: descubrir un caso de incumplimiento a través de una auditoría, una investigación o una evaluación de riesgos necesita cambios en las prácticas de negocio.
  • Riesgo contractual: el hecho de que una empresa no cumpla con sus obligaciones de privacidad especificadas supone una gran riesgo para cualquier entidad, y sobre todo para las personas encargadas del tratamiento de datos dentro de esa entidad.
  • Riesgo para el propietario de los datos: el uso inadecuada de la información personal de una persona puede derivar en un gran daño en forma de pérdida de capital, otro tipo de pérdidas financieras, daño a su reputación, discriminación y otros muchos.
  • Riesgo ético: en algunos casos las organizaciones tratan los datos de de forma correcta técnicamente, pero aun así puede considerarse un proceso no ético. En  algunas jurisdicciones, la mayoría de leyes y regulaciones referentes a la privacidad y protección de los datos no han sido escritos contemplando las prácticas de negocio modernas y los avances tecnológicos, por lo que no tienen en cuenta los problemas de privacidad que han surgido a raíz de este desarrollo tecnológico. Por este motivo este riesgo se debe de tener en especial consideración en áreas como Big Data, Internet of Things y Cloud Computing.
  • Riesgo de demostración de responsabilidad: se espera de las empresas el uso responsable de la información, pero además de serlo las empresas han de demostrar al resto del mundo que su gestión de la privacidad es efectiva. Si una empresa no es capaz de demostrar esto se encuentra en una situación delicada.
  • Riesgo de imagen y reputación: una mala gestión de la privacidad puede derivar en daños irreparables para la imagen de una empresa, y si esto sucede, dicha empresa no podrá tener éxito, ya que no será deseado contratar sus servicios.

Tras analizar posibles riesgos que existen en este entorno, deducimos que es necesario una fuerte regulación para prevenir que estos riesgos se conviertan en realidad. Esto se realiza a través de la auditoría de privacidad, por lo que este será el siguiente tema a tratar.

Referencias:

[1] <<OWASP Top 10 Privacy Risks Project>>, Owasp, acceso el 28 de noviembre del 2017,
https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project#tab=Top_10_Privacy_Risks_2

[2] <<Privacy Risk>> Nymity, acceso el 28 de noviembre del 2017,
https://www.nymity.com/products/Privacy-risk.aspx

Social media y networking desde una perspectiva corporativa – Controlando y auditando

Download PDF

¡Hola a tod@s!

Son varios ya los posts respecto al tema que nos compete, hemos arrojado algo de luz sobre diferentes aspectos: riesgos, relevancia… Hoy, vamos a ponerle la guinda al pastel. Vamos a abordar cómo se deben auditar y controlar la social media y las formas de hacer networking en nuestras organizaciones. Auditar y poner controles es lo que nos va a permitir evitar los riesgos, o, por lo menos minimizarlos. En este sentido, vamos a tratar de explicar los controles a implantar y el proceso para auditar correctamente y proteger nuestra empresa. Pongámonos a ello.

[Read more…]

Controlando nuestro alrededor

Download PDF

Como ya hablé en el post anterior, IoT es capaz de poner en riesgo partes muy importantes de nuestras organizaciones o vidas privadas. Es por esto, que las empresas, ya sean grandes, medianas o pequeñas, deben hacer el ejercicio de revisar los sistemas que tienen implantados para detectar los riesgos que pueden llegar a tener, de esta manera, podrán implementar un sistema de controles que les permita mitigar el daño que dichos riesgos puedan llegar a causar. Es en este punto en el que el trabajo del auditor se convierte en vital.

Lo primero que debe hacer la compañía al implantar nuevos sistemas que incluyan dispositivos de IoT es revisarlos de manera que se puedan identificar los riesgos que se van a añadir a la organización y posteriormente implantar un plan de migración de los mismos para minimizar los daños. Entre medias de este proceso entra en juego el papel de la auditoria de seguridad. En esta, los auditores deberán identificar los riesgos que existan y crear unos controles para revisar y mitigar dichos riesgos.

Es en este momento cuando los auditores pueden crear un cuadro de controles a aplicar. En este cuadro se listan los riesgos que se han detectado y los controles que se pueden aplicar a estos. En estos cuadros también se pueden añadir los ámbitos de impacto de dicho riesgo, los responsables de realizar los controles o los puestos/empleados a los que puede afectar de ocurrir. A continuación, tenemos un cuadro en el que se han listado unos de los riesgos más críticos en IoT y los controles que se pueden aplicar: [1]

Riesgo Control
Ataques físicos al dispositivo
  • ¿Es el dispositivo accesible físicamente a cualquier persona?
  • ¿Está el dispositivo vigilado?
  • ¿Está el dispositivo monitorizado contra alteraciones hardware?
Manipulación de datos en el dispositivo
  • ¿Está el dispositivo cifrado?
  • ¿Cuenta el dispositivo con un código de autenticación de mensajes o firma digital?
Ataques de interceptación (Man-in-the-middle)
  • ¿Está el dispositivo protegido a nivel de protocolo?
  • ¿Está el dispositivo emparejado?
Manipulación del sistema operativo
  • ¿Está el sistema operativo en modo lectura solo?
  • ¿Está el sistema operativo firmado?
  • ¿Está el sistema operativo cifrado?
Acceso no autorizado al dispositivo
  • ¿Tiene contraseña el dispositivo? ¿Es segura?
  • ¿Qué puertos están abiertos?
Accesos de terceros
  • ¿Tiene el dispositivo programas de terceros instalados? ¿Son seguros?
  • ¿Tenemos contacto con los desarrolladores de los programas instalados?

Una vez realizada esta tabla la organización será la encargada de asegurarse que dichos controles se van realizando periódicamente y que se reporta si se encuentra alguna anomalía. También tendrá que preparar a los responsables de llevarlos a cabo de manera que sepan realizarlos correctamente.

En este ámbito nos podemos encontrar con frameworks que usan tecnologías muy innovadoras, como blockchain, que prometen crear un sistema de fiabilidad para los dispositivos IoT. En el reto que es crear este framework, se proponen solucionar el problema que existe a la hora de gestionar el acceso a los dispositivos. El framework propone una solución para crear un sistema que conceda y revoque el acceso a los dispositivos mediante una blockchain descentralizada, anónima y segura. Dicho framework, que esta recién sacada del laboratorio, es la prueba de que el campo de IoT está en auge y que se están utilizando tecnologías muy innovadoras para tratar de crear nuevos sistemas que permitan controlar y hacer más seguros nuestros dispositivos más personales. [2]

Por otra parte, también existen “frameworks” o guías más experimentadas que nos brindan buenos consejos para la compra, implantación e instalación de dispositivos IoT en nuestras empresas, como es el caso de OWASP IoT Project. Mediante este proyecto se quiere ayudar a los fabricantes, desarrolladores y compradores de IoT a prestar atención a los problemas de seguridad más importantes que presentan los dispositivos y como se pueden mitigar o controlar. [3]

owasp-100709974-large

El rol del auditor en todo este proceso es vital ya que él o ella será el encargado de crear un sistema preventivo para que la organización a la que ha auditado no tenga ningún problema o sea capaz de controlarlos. Es por esto por lo que los auditores tienen una gran responsabilidad dentro de la empresa ya que su juicio es vital para impedir que ocurran problemas que le cuesten grandes cantidades de dinero a las organizaciones.

Referencias:

[1] <<Cyber risk in an Internet of Things world>>, Deloitte, acceso el 27 de Noviembre de 2017, https://www2.deloitte.com/us/en/pages/technology-media-and-telecommunications/articles/cyber-risk-in-an-internet-of-things-world-emerging-trends.html#

[2]<<Internet of Things: Risk and value considerations>>, LinkedIn, acceso el 27 de Noviembre de 2017, http://vbn.aau.dk/files/208325607/Internet_of_Things_whp_Eng_0115.pdf

[3]<<Fairaccess>>, LinkedIn, acceso el 27 de Noviembre de 2017, https://es.slideshare.net/mimolik/fairaccess

<<FairAccess: a new Blockchain-based access control framework for the Internet of Things>>, Oscars Laboratory, acceso el 27 de Noviembre de 2017, http://download.xuebalib.com/xuebalib.com.31639.pdf

<<Internet of Things: Risk and value considerations>>, Isaca, acceso el 27 de Noviembre de 2017, http://vbn.aau.dk/files/208325607/Internet_of_Things_whp_Eng_0115.pdf

<<OWASP Internet of Things Project>>, OWASP, acceso el 27 de Noviembre de 2017, http://vbn.aau.dk/files/208325607/Internet_of_Things_whp_Eng_0115.pdf

Blockchain Risks

Download PDF

   Como hemos aprendido en los dos anteriores posts, blockchain reduce tremendamente la posibilidad de que surjan errores. Además, los registros no pueden ser  modificados por nadie una vez que se han añadido. Debido a que cada transacción se registra y se verifica, la integridad de los registros está garantizada. Por ello, mucha gente del sector IT plantea el hecho de que auditar sistemas basados en blockchain va a ser innecesario. Pero ¿es eso cierto?

Sin duda alguna es totalmente falso.En este post voy a resaltar los principales riesgos que se deben tener en cuenta cara a la auditoría de un sistema con tecnología blockchain. Tal y como hace referencia Deloitte en uno de sus artículos sobre blockchain y sus riesgos, el blockchain se puede dividir en dos tipos: “permissionless and permissioned chains”, esto es, cadenas sin permiso y autorizadas.[1] Blockchain sin permiso permite que  cualquiera sin ningún tipo de verificación participe en la red de transacciones. Sin embargo, las autorizadas están formadas por responsable o responsables que evalúan la participación de una persona u entidad en el entorno blockchain.

La mayoría de los riesgos que hoy en día se plantean no van asociados al tipo de blockchain del que se use. Ya que, es cierto que un riesgo está directamente relacionado con la integridad de los eslabones que componen la cadena blockchain, pero los grandes riesgos que realmente asustan a los expertos son independientes a ello. Después de informarme bien, y leer y releer una enorme cantidad de artículos en lo que refiere a este tema, me gustaría destacar una tabla publicada por ISACA que recopila de manera muy visual los posibles riesgos del blockchain y su relevancia. [2]

 

ISACA Blockchain Risks

Como se puede observar, categorizan los riesgos según su impacto y su probabilidad. Siendo de color verde los riesgos de menos importancia y difuminándose a color rojo los que aumentan su relevancia. En ISACA entienden por críticos, los siguientes riesgos:

  • Plataform Vulnerabilities:

La integridad del blockchain está determinada por la plataforma de software sobre la cual se ejecuta. Si la plataforma se considera poco fiable, ello afecta al blockchain.

  • Targeted Malware:

La infraestructura que admite el blockchain está sujeta a todas las amenazas y vulnerabilidades habituales. Ningún software está exento de ataques, y hay que tenerlo en cuenta.

  • Change control:

Abuso del privilegio de administración y cambio no autorizado en la infraestructura.

 

Además de estos tres posibles riesgos que ISACA destaca como los riesgos con mayor grado de  impacto/probabilidad, me gustaría destacar desde mi punto de vista los principales riesgos weak-chainen cuanto a seguridad se refiere: el acceso o control de acceso, la robustez del cifrado y la seguridad individual de cada nodo. Respecto a la seguridad de cada nodo, hay un dicho que me viene a la cabeza: “una cadena es tan débil, como el eslabón más débil de esta”. En este caso ocurre lo mismo, por ello es imprescindible disponer de planes de contingencia adecuados. A su vez, es cierto que el blockchain se caracteriza por estar cifrado, pero es de destacar que existen infinidad de algoritmos de cifrado. Y, no todos poseen el mismo nivel de seguridad.

En conclusión, puesto que estamos tratando una tecnología emergente, la mayoría de información y opiniones respecto a sus posibles riesgos son meras suposiciones. Suposiciones que se basan en experiencias pasadas, experiencias que se basan en casos  similares. Lo que nadie duda, es que esta tecnología ha venido para quedarse. Sin embargo, hasta que no se quede y se estandarice, no se podrá hacer una lista cerrada de los riesgos que implica. Lo que está claro es que a poca gente le gustan los cambios, y es porque con los cambios surgen riesgos que hasta el momento no se planteaban. El blockchain implica cambios y por lo tanto, implica nuevos riesgos. En lo que auditoría respecta, cualquier gran empresa o profesional que se quiera centrar en auditar esta nueva tecnología debe estar al tanto de los cambios que implica dicha tecnología, tanto de los casos que triunfen como de los que fracasen, y aprender de ellos. Deben ir perfeccionando la técnica de auditar según se vaya perfeccionando la tecnología.


Referencias:

[1]: Blockchain risk management (Prakash Santhana and Abhishek Biswas, 2017),https://www2.deloitte.com/content/dam/Deloitte/us/Documents/financial-services/us-fsi-blockchain-risk-management.pdf

[2]: Blockchain and Risk (Mike Small CEng, abril 2016), https://m.isaca.org/chapters8/Northern-England/Events/Documents/blockchain.pdf

 

Medios sociales y networking desde una perspectiva corporativa – Riesgos

Download PDF

Hola a tod@s!

Hasta ahora hemos analizado el contexto y la relevancia de la social media para sobre todo las empresas, pero también para individuos. Somos conscientes de la importancia de las redes sociales y el networking, sin embargo, no tenemos del todo claro los riesgos a los que nos enfrentamos en caso de no controlarlas adecuademente. A lo largo de este post abordaremos el tema de los riesgos: ¿A qué nos enfrentamos exactamente?¿Quién o qué supone un riesgo?¿Cuánto pueden dañarnos? Son preguntas que deberíamos hacernos y a lo largo de esta entrada trataremos de responder. La idea es identificar los riesgos y clasificarlos en base al impacto que puedan tener. De esta forma tendremos una idea clara y podremos en el siguiente post dilucidar las herramientas adecuadas para evitar estos riesgos.

[Read more…]

IoT ya está aquí

Download PDF

“Internet of things no va a llegar a las industrias dentro de poco, Internet of things ya está aquí”. Esa es una de las frases que más se puede ver a la hora de buscar información sobre IoT en la industria. Y es que es verdad, el mercado de las IoT ha ido en acenso gracias a la apuesta por las grandes industrias y, de distinta manera, por la pequeña y mediana empresa. Ya contaba en el post anterior la cantidad inmensa de dispositivos conectados que había en el mundo y la gran variedad de ellos que existen. Una de las aplicaciones de las IoT de la que más se ha hablado en la industria ha sido la de la aplicación de sensores en las piezas de las maquinas, de esta manera, gracias a los datos que estos sensores recogen, se pueden utilizar algoritmos predictivos que permitan a los empleados de la empresa saber cuándo esa pieza va a dejar de funcionar y así poder comprar otra con antelación para no perder disponibilidad.[1] Otro de los campos no tan conocidos en los que también se está haciendo uso de los dispositivos IoT es en la industria agricultora y ganadera. En la industria agrícola, por ejemplo, se están utilizando sensores en los tractores para que los agricultores puedan optimizar las épocas en las que plantan y sus beneficios. En cambio, en la industria ganadera, se están utilizando dispositivos en el ganado para comprobar su estado de salud y sus hábitos.[2] El catálogo de dispositivos IoT es tan amplio que nos permite hacer cualquier cosa que nos podamos imaginar, es por eso por lo que las empresas están apostando de lleno por incluir algún artículo. Pero ¿quién crea todos estos dispositivos?

Hay muchas empresas que se están dedicando, no solo a crear dispositivos IoT, sino también a crear sistemas para controlarlos, englobarlos y sacar provecho de ellos. Entre estas empresas están los nombres de grandes compañías como Cisco, IBM, Intel… [3] El internet de las cosas se trata de tener dispositivos conectados a la red que aporten valor o información que pueda ser útil, Cisco tiene ventaja en esto ya que es la empresa líder en telecomunicaciones, por lo que gran cantidad de información pasa por sus dispositivos constantemente. Por otra parte, IBM tiene mucho que decir ya que también cuenta con una gran cantidad de productos interconectados, pero no solo eso, también dispone de BlueMix, la plataforma de desarrollo de aplicaciones con la que se pueden recopilar, gestionar y analizar los datos generados por los dispositivos IoT. Por último, Intel también está desarrollando sus propias soluciones para IoT, en este caso han pensado en crear nuevas gamas de procesadores para los aparatos IoT.

Pero, así como le hardware de los dispositivos innovan para adaptarse a lo que la nueva industria requiere, dispositivos más pequeños, más integrados, más ágiles… también tiene que adaptarse el software que va incrustado en ellos. Es por esto por lo que se ha creado una nueva manera de desarrollar dedicada exclusivamente a IoT, desde protocolos hasta programación de alto nivel. Cabe destacar en los protocolos la importancia de IPv6 para suplir la falta de direcciones IP por parte de IPv4 por la creciente creación de nuevos dispositivos o la creación de XMPP-IoT para permitir la comunicación máquina-usuario o máquina-maquina. En cuanto a los sistemas operativos nos encontramos con que Google o Windows han creado sistemas embebidos, también existen alternativas Open Source de la fundación Linux y el sistema dedicado a IoT: Riot. Por último, también se han creado una gran cantidad de frameworks como Kura o Thingsboard.io que se ha ido convirtiendo en una plataforma integral de procesado de datos IoT. [4]

Arquitectura IoT

Arquitectura IoT

Ante tantas posibilidades es normal que haya algunas personas que las utilicen para hacer el mal, como fue el caso del ataque de denegación de servicio que sufrieron grandes páginas web como Twitter, Pinterest… A raíz de acciones como estas se está creando un marco general de protección de datos que verá la luz en mayo de 2018. En este marco se especifica la importancia que tiene el cuidado de los datos personales de los usuarios, las especificaciones de cómo, en caso de brecha de seguridad, publicarlo y como el usuario tiene que dar un consentimiento claro y consciente de que sus datos van a ser recogidos, entre otros.[5] Es importante darse cuenta de la capacidad de recolección de datos que estos dispositivos tienen, ya hay gran mayoría de ellos que pueden permitir recoger información personal o información crítica para una empresa por lo que la creación de marcos de normas y marcos de seguridad para ellos es vital.

En conclusión, está claro que podemos decir que el ecosistema IoT ha estado madurando durante años para poder crear toda una infraestructura capaz de hacer que hasta las más grandes industrias se atrevan a incorporarlo en sus procesos más críticos. Aunque se esté trabajando en crear nuevos mecanismos de seguridad, es verdad que todavía existen riesgos que los usuarios tienen que asumir.

Referencias:

[1] <<El internet de las cosas ya no es futuro en la industria>> Cinco Dias, acceso el 28 de Octubre de 2017, https://cincodias.elpais.com/cincodias/2017/07/18/companias/1500391048_279609.html

[2] <<Wearables para el ganado. El IoT de las vacas.>> Tech Food Magazine, acceso el 28 de Octubre de 2017,  https://www.techfoodmag.com/wearables-para-el-ganado-el-iot-de-las-vacas/

[3] <<Las 10 empresas de Internet de las Cosas más poderosas>> Perú CIO, acceso el 28 de Octubre de 2017,   https://cioperu.pe/fotoreportaje/16123/las-10-empresas-de-internet-de-las-cosas-mas-poderosas/

[4] <<IoT Software Development Guide>> Perú CIO, acceso el 28 de Octubre de 2017, https://www.postscapes.com/internet-of-things-software-guide/

[5] <<IoT and the GDPR, ePrivacy Regulation and more regulations>> I-Scoop, acceso el 28 de Octubre de 2017, https://www.i-scoop.eu/internet-of-things-guide/iot-regulation/#ePrivacy_Regulation_electronic_communication_channels_include_the_Internet_of_Things

Amenazas de la identidad digital

Download PDF

En el post anterior explicaba qué era la identidad digital o identidad 2.0, cuáles eran sus características, etc. Llegue a la conclusión de que la buena imagen lograda tras años de duro trabajo podía venirse abajo por cualquier brecha en la huella digital y que por ello debíamos tener cuidado y poner precauciones al respecto. Pero… ¿Cómo? ¿Cuántos riesgos existen? ¿Cuál es su magnitud? A continuación, voy a explicar las diferentes amenazas que he ido encontrando y cómo afectan a la entidad.

 

  • Suplantación de identidad.

La suplantación de identidad puede darse o bien creando o bien accediendo a un perfil no autorizado de una empresa o de una red social, es decir, se trata de la usurpación de los perfiles por terceros malintencionados. Los atacantes intentan aprovecharse de la reputación del atacado para sacar beneficios, como, por ejemplo, el robo de información sensible para el chantaje. Para ello, recurren a las técnicas Phishing y/o Pharming.[1]Resultado de imagen de phishing En la primera, el estafador (phisher) usurpa la identidad de una empresa o institución de confianza para enviar un email, SMS, etc. a los clientes, trabajadores, usuarios… y así conseguir engañarles para que revelen información personal, como contraseñas o datos de tarjetas de crédito y de la seguridad social y números de cuentas bancarias.[2] En la segunda, sin embargo, el estafador redirige a sus víctimas hacia una página web fraudulenta que suplanta a la original, incluso si escriben correctamente la dirección Web de su banco o de otro servicio en línea en el buscador.[3]

 

  • Registro abusivo de nombre de dominio.

El nombre de dominio es la ‘dirección’ que utilizan las empresas para identificarse ante su público (por ejemplo deusto.es). Y el riesgo puede surgir al registrar este nombre, ya que, no existe ningún control o vigilancia durante este proceso, y en el caso de que se diese alguna infracción el único responsable sería el solicitante del registro. [1]

El ataque, conocido como cybersquatting, se produce cuando un tercero malintencionado registra un nombre de dominio existente con el propósito de extorsionarlo para que lo compre o bien simplemente para desviar el tráfico web hacia un sitio competidor o de cualquier índole.[4]

 

  • Ataques de denegación de servicio distribuido o ataque «DDoS».

El objetivo de los ataques de denegación de servicio distribuido consiste en dejar un servidor inoperativo. Se lleva a cabo generando un gran flujo de información desde varios puntos de conexión hacia el mismo punto de destino, el cual acabará saturado y se colapsará. Todo esto le acarrea a la empresa un perjuicio a la identidad digital, ya que, ya no existe en la Red y la reputación online baja considerablemente al demostrar lo vulnerable que es.[1]

Resultado de imagen de ddos attack

 

  • Fuga de información.

La fuga de información tiene dos posibles orígenes, por un lado, desde el interior de la organización, bien por error o bien por una acción consciente e intencionada. Y, por otro lado, desde el exterior, utilizando diferentes técnicas para robar información de los equipos y sistemas de la entidad.

El objetivo de este ataque suele ser el lucro, haciendo que la buena imagen y el prestigio de la entidad se vea comprometida por la publicación de información sensible y/o confidencial.[1]

 

Resultado de imagen de comentarios negativos en redes sociales

  • Publicaciones por terceros de informaciones negativas.

Está claro que no solo se está en la red, sino que se conversa en ella, por lo que, las empresas obtienen sus feedback de los usuarios a través de los medios sociales. El hecho de que un mal comentario sea distribuido por las redes puede ser información valiosa para que la empresa sepa cómo mejorar, pero también puede perjudicar su honor y reputación. Hay que tener en cuenta que la información en Internet no desaparece con el tiempo, lo que hace que valoraciones negativas que posiblemente ya estén solucionadas sigan perjudicando gravemente a la entidad.[1]

 

  • Utilización no consentida de derechos de propiedad industrial.

La utilización no consentida de derechos de propiedad industrial es un riesgo para la identidad y la reputación de una empresa. Esta acción puede estar motivada por una falsa sensación de que en Internet todo vale y no se vulnera ningún derecho, o por un empleado descontento que divulga elementos fundamentales para el negocio, como patentes o secretos industriales. [5]

 

Naturalmente, una combinación de herramientas de seguridad y buenas prácticas son fundamentales para evitar muchas de estas amenazas, pero las consecuencias de la suplantación de identidad en Internet son cada vez más y más negativas. Por ello debemos tener una responsabilidad compartida entre distintas partes: los usuarios al tomar las medidas adecuadas de seguridad, las empresas responsables de la protección de los datos y los gobiernos a través de la legislación en la materia, así como con la creación de instituciones enfocadas en atender estas problemáticas.[6] Con estos últimos se puede contactar por medio de la página web http://www.agpd.es (Agencia Española de Protección de Datos), donde además de facilitar herramientas a las empresas para que cumplan con la protección de datos, si tú como individuo sientes una amenaza, puedes denunciarlo.

 

Continuará…


 

Referencias

[1] Incibe. <<Guia ciberseguridad online>>. Acceso el 17 de octubre de 2017, https://www.incibe.es/extfrontinteco/img/File/empresas/guias/guia_ciberseguridad_identidad_online.pdf

[2] Avast. <<Phishing>>. Acceso el 17 de octubre de 2017, https://www.avast.com/es-es/c-phishing

[3] Wikipedia. <<Pharming>>. Acceso el 17 de octubre de 2017,  https://es.wikipedia.org/wiki/Pharming

[4] Wikipedia. <<Ciberocupación>>. Acceso el 17 de octubre de 2017, https://es.wikipedia.org/wiki/Ciberocupaci%C3%B3n

[5] Fernando Amaro. <<Identidad Digital y Reputación Online (III)>>. Acceso el 18 de octubre de 2017, http://fernando-amaro.com/identidad-digital-reputacion-online-iii/

[6] We live security. << 3 amenazas que buscan robar tu identidad: ¡cuídate de ellas!>>. Acceso el 18 de octubre de 2017, https://www.welivesecurity.com/la-es/2015/09/30/3-amenazas-robar-identidad/

IoT: Solos pero acompañados

Download PDF

Cada vez salen a la venta más dispositivos que nos acompañan en el día a día y monitorizan todo lo que hacemos y estos dispositivos también se están aplicando a la empresa. Todos ellos están conectados a internet, directa o indirectamente, para que los datos que generan puedan ser consumidos desde cualquier lugar. Y es que, hoy por hoy, es muy difícil estar solo.

El Internet of Things(internet de las cosas o IoT)lo conforman más de 20 billones de dispositivos conectados a la red y más de 8 billones de esos dispositivos son los que nosotros compramos para nuestro uso diario o para el control de las tareas del hogar. Gran cantidad de esos dispositivos, por no decir el 100%, están compuestos de sensores que recogen información sobre el entorno en el que se encuentran. Y como nos podemos imaginar, todos ellos están, de una u otra manera conectados a internet, gracias al que envían los datos que recogen a los servidores de las empresas que los crearon o con aplicaciones de terceros.

Es entonces cuando nos podemos dar cuenta de que nuestra vida está siendo monitorizada y que nosotros hemos decidido que nuestra casa se controle desde el software de una empresa que, realmente, ¿sabemos qué está haciendo con ellos o cómo los almacena?

Según un artículo del ISACA Journal, los riesgos de Internet of Things más importantes que acechan al ámbito de Internet of Things son dos principalmente: la vulnerabilidad de la privacidad de los usuarios y el problema de la seguridad de la información que estos dispositivos generan.

Internet of things ha entrado en nuestra vida íntima y en la empresas gracias a los dispositivos que prometen monitorizar o detectar cualquier cosa de manera que sea mucho más fácil de gestionar o de sacar conclusiones de ella. La mayoría de estos dispositivos son consumidos personalmente y se dedican a extraer datos de carácter sensible sobre la persona que los porta. Es por eso que la privacidad de las personas se ha visto vulnerada por estos dispositivos ya que actúan como pequeños espías que nos vigilan constantemente. Y es por esto que puede existir rechazo por parte de algunas personas.

Pero el problema no es que simplemente nos monitorizan, el problema reside en el lugar al que va toda la información que estos dispositivos recolectan y cómo esa información es almacenada, enviada a las diferentes aplicaciones que la interpretan y finalmente quién puede consumir esa información y de qué manera.

Otro de los grandes problemas que presenta el internet de las cosas es la seguridad de los aparatos que lo conforman. Raúl Rojas, un profesor de informática en la Universidad Libre de Berlín, sufrió un ciberataque en la smarthouse que él mismo construyó. La mayoría de sus objetos estaban conectados a internet, gracias a eso, el podía controlarlos desde cualquier parte. Un día, sufrió un ataque a una de las bombillas, la cual comenzó un ataque DoS (denegación de servicio) sobre la casa. Como resultado de esto, la casa quedó inutilizada durante un tiempo, en el que Raúl no pudo controlar ninguno de los dispositivos. Esto no fue tan grave comparado con la catástrofe que podría haber ocurrido si alguien hubiese utilizado alguna de las numerosas vulnerabilidades encontradas en un modelo de marcapasos instalado en 465.000 personas.

Posibles ataques a dispositivos IoT

Finalmente también existe el problema de la disponibilidad. Muchos de estos dispositivos pueden crear nuevos e inesperados errores que hagan que un sistema clave de nuestro negocio deje de funcionar porque cierto sensor dejó de enviar información o que nos quedemos encerrados en casa porque la cerradura no responde ante el comando de abrirse.

Y es que según un artículo que presentó ISACA Journal, en el que presenta varios retos sobre la seguridad de IoT, nos advierten sobre estos problemas. En este artículo se citan problemas como la insuficiente autenticación para acceder a los dispositivos IoT, la falta de encriptación de los datos que los dispositivos recolectan o la mala seguridad de los portales donde estos datos se pueden visualizar.

No todo son cosas malas en el mundo del internet de las cosas, este también permite la creación de nuevos elementos para las empresas que les permitan avanzar en sus procesos de negocio y las hagan más eficaces. Por ejemplo, en el sector energético existe la posibilidad de detección de fugas mediante medidores conectados a la red o en el ámbito automovilístico existe ya una gran línea de productos que, por ejemplo, recogen información sobre el comportamiento de las ruedas dependiendo de la superficie sobre la que están rodando para su mejora en el futuro.

Es por todo esto que no solo hay que fijarse en los riesgos que IoT puede llegar a tener, solo es necesario detectarlos y mitigarlos para conseguir que las ventajas que ofrecen estos dispositivos se puedan aprovechar de una manera segura.


Referencias

Proviti <<The Internet of Things: What Is It and Why Should Internal Audit Care?>>

<<Security and Privacy Challenges of IoT-enabled Solutions>> Isaca Journal, acceso el 8 de octubre del 2017 https://www.isaca.org/Journal/archives/2015/Volume-4/Pages/security-and-privacy-challenges-of-iot-enabled-solutions.aspx?utm_referrer=

<<This guy’s light bulb performed a DoS attack on his entire smart house>> Splinter News, acceso el 9 de octubre del 2017, https://splinternews.com/this-guys-light-bulb-performed-a-dos-attack-on-his-enti-1793846000

<<Internet of Things (IoT) connected devices installed base worldwide from 2015 to 2025 (in billions)>> Statista, acceso el 9 de octubre del 2017, https://www.statista.com/statistics/471264/iot-number-of-connected-devices-worldwide/

Dispositivos medicos: una mirada atrás

Download PDF

A lo largo de estas entradas hemos podido ver diferentes temas de interés relacionados con los dispositivos médicos, las redes a las que están conectados, su regulación en diferentes países y sobre todo, los riesgos que tenerlos supone.

No querría acabar esta serie de entradas sin hacer un pequeño inciso y mostraros en forma de timeline un par consecuencias asociadas a la mala gestión de este tipo de dispositivos. Así que antes de nada os dejo una pequeña ‘evolución’ de lo que han supuesto los dispositivos médicos.

Timeline

  • 2008

    Hack de un marca-pasos – Kevin Fu, UMass Amherst

  • 2011

    Hack de una bomba de insulina – Jerome Radcliffe, Black Hat Conference

  • 2013

    Descubrimiento de una serie de riesgos en multitud de dispositivos médicos como equipamiento de operaciones, dispositivos de anestesia, ventiladores, bombas de insulina, desfibriladores, monitores de constantes, equipamiento de laboratorio, etc. – Billy Rios, Security Researcher.

  • 2014

    Múltiples alertas de seguridad publicadas por el ICS-CERT (U.S. Department of Homeland Security Industrial Control Systems Cyber Emergency Response Team), el FBI, y la FDA (US Food and Drug Administration)

  • 2015

    TrapX y Protiviti publican una investigación demostrando que los dispositivos médicos son realmente explotados por cibercriminales como punto de entrada para acceder a la red del hospital y obtener información sensible de los pacientes.

  • 2014 & 2016

    Se publica la guía de seguridad de la FDA para la Presentación de Premercados y la Administración de Posventa

Viendo que esta clase de eventos son realmente posibles y pueden llegar a tener un gran impacto en la vida humana, y teniendo en cuenta el panorama actual, muchas empresas y compañías están empezando a adoptar nuevos paradigmas de gestión y control. Algunos de esos paradigmas son:

  • Normativas de tratamiento de datos seguros:

    La creciente integración en la red de dispositivos médicos está conduciendo a nuevos riesgos para la seguridad de los pacientes. En octubre de 2014, la FDA publicó su famosa guía sobre: Content of Premarket Submissions for Management of Cybersecurity in Medical Devices, seguido en enero de 2016 por Postmarket Management of Cybersecurity in Medical Devices. Estos documentos ayudan a identificar las cuestiones relacionadas con la ciberseguridad que los fabricantes deben tener en cuenta en el diseño y el desarrollo (premercado) de los dispositivos, así como la necesidad de compartir y gestionar las vulnerabilidades de los dispositivos que circulan en el mercado.

  • Gestión del riesgo:

    Reconociendo los riesgos de seguridad introducidos a través de vulnerabilidades de dispositivos médicos y para cumplir con las regulaciones regionales (por ejemplo, HIPAA para los EE.UU.), los proveedores de atención médica incluyen dispositivos médicos en sus análisis de riesgos de seguridad. La serie de normas ISO / IEC 80001 proporciona un marco específico para el ecosistema de dispositivos médicos mediante la definición de roles y responsabilidades como si de una matriz RACI se tratara.

  • Gestión del ciclo de vida:

    Cada vez más, las organizaciones sanitarias están tomando medidas activas para proteger sus ecosistemas de dispositivos médicos contra las amenazas cibernéticas y los riesgos, tanto internos como externos. Como parte de sus procesos de evaluación de activos y riesgos, ahora  segregan las redes de dispositivos médicos y supervisan los eventos de seguridad a nivel de red para tener un mayor control, minimizar la superficie de exposición y minimizar los riesgos en la medida de lo posible.

Por eso, con la influencia de todos estos nuevos paradigmas, el dispositivo medico cambia, evoluciona y pasa a ser algo mucho mas complejo, del que se necesita mayor supervisión, control y gestión. Como consecuencia todas las partes involucradas en el proceso de creación pasan a formar parte de un mismo todo, en el que cada una tiene un roll diferente, tal y como se puede apreciar, a continuación, en la imagen.

plan-do-check-act

Minimizando los riesgos

Una manera efectiva de minimizar los riesgos de un producto medico es a través de las normativas territoriales. En caso de cumplirlas, el producto tendrá menos riesgos que en caso de no cumplirlas. En el caso de la UE, un producto medico cumple con las normativas vigentes cuando tiene el documento de conformidad.

La declaración de conformidad CE es un documento que valida que un dispositivo medico:

  • Satisface las provisiones de la directiva.
  • Existe un representante autorizado
  • Existe un organismo notificado
  • Se han aplicado los procedimientos de conformidad adecuados
  • Se ha marcado el producto con la etiqueta ‘CE’

Existen diferentes procesos a llevar a cabo dependiendo del tipo de dispositivo medico sea, por lo que para no alargar la entrada, me centraré en los de clase dos y clase tres especialmente. Estas clases tienen un proceso de ‘certificación CE‘ similar que se puede ver, en las dos imágenes siguiente:

Proceso de certificación de un dispositivo de clase II

clase2b

Proceso de certificación de un dispositivo de clase III

clase3

Con toda esta información podemos llevar a la conclusión que, el evitar los riesgos es una responsabilidad compartida. No solo se tiene que involucrar los fabricantes sino que ademas, las empresas que suministran los componentes, los centros que usan dichos dispositivos, los pacientes, los gobiernos, e incluso la sociedad.

Porque si algo falla, es un problema que nos afecta a todos.

Medical devices security risks

Referencias:

[1] Security Challenges for Medical Devices

http://cacm.acm.org/magazines/2015/4/184691-security-challenges-for-medical-devices/fulltext

[2] Understanding ISO 14971 Medical Device Risk Management

http://blog.greenlight.guru/iso-14971-medical-device-risk-management

[3] Symantec™ Industry Focus: Medical Device Security,
https://www.symantec.com/content/dam/symantec/docs/data-sheets/symc-med-device-security-en.pdf