WIXLIB

Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad.teoría cualquier objeto conectado de la ciudad. UnaSmart City es la ciudad New Songdo ubicada enuna isla frente a la ciudad de Inchon, a 60kilómetros al oeste de Seúl (Corea del Sur). Estaciudad fue creada con el fin de integrar einterconectar todos los sistemas por medio delinternet, en la cual los computadores, celularesinteligentes y demás dispositivos de últimatecnología de las personas que habitan el lugarestán integrados a las viviendas, las calles y lasoficinas, por lo tanto, las personas pueden accederfácilmente a información sin necesidad de estarfísicamente en el lugar, como por ejemplo sensoresque controlan la temperatura, sistemas quesuccionan la basura directamente desde el hogar yla reciclen de inmediato, el uso de energía, eltráfico, entre otras.Sin embargo, aunque la idea de vivir en una“ciudad inteligente” llama la atención de muchaspersonas en el mundo, menos del 20% de lasoficinas y establecimientos comerciales estánsiendo utilizados, debido a los altos costos queconlleva el vivir en esta ciudad, lo que haobstaculizado que muchas personas se muden avivir allí [10].Otros de los sectores en los cuales este conceptoestá cogiendo fuerza es en el de la salud, debido aque esta tendencia posibilita a que personas de todoel mundo puedan tener acceso a especialistas sintener que estar ubicados físicamente en el mismolugar, lo que conllevaría a un servicio médico conmayor cobertura a nivel mundial.III. TECNOLOGÍAS DE COMUNICACIÓNLos dispositivos del Internet de las cosasactualmente continúan utilizando muchos de losprotocolos de comunicación tradicionales. Estosprotocolos, aunque hoy en día garantizan laconectividad de los dispositivos, es necesario quecontinúen evolucionando, ya que los cambios y laadaptación a la tecnología son clave en estemercado tan cambiante. Dependiendo de laaplicación, rango de cobertura, seguridad, tamañode los datos, exigencia de energía y duración de labatería, éstas son algunas de las principalestecnologías de comunicación utilizadas por el IoT:3A. Wi-Fi (Wireless Fidelity)Son una serie de especificaciones para redeslocales inalámbricas basadas en el estándar IEEE802.11. Este tipo de redes realizan la transferenciade datos a través de radiofrecuencia y permitenconectar dispositivos compatibles que esténcercanos geográficamente [11].B. BluetoothLa tecnología inalámbrica Bluetooth es unestándar universal abierto para enlaces de radio debaja potencia, hace parte de las redes WirelessPersonal Area Network (WPAN) que normalmenteabarcan distancias máximo de 10 metros, con unbajo consumo de energía, lo que la hace muypopular para la comunicación de dispositivos peerto-peer [12]. Desde el 2010, este protocoloevolucionó a Bluetooth 4.0, mejorando la velocidady el bajo consumo, precisamente pensando en suimplementación en sistemas donde el uso debaterías podía ser un problema. A mediados del2016, la compañía fabricante (Bluetooth SpecialInterest Group, “SIG”) anunció la liberación de suversión 5 para inicios del 2017 y afirman que éstatendrá el doble de velocidad, mejor rango decobertura y 800% mayor capacidad que la versión 4[13].C. Telefonía Móvil (1G, 2G, 3G y 4G)Comunicación inalámbrica a través de ondaselectromagnéticas. Esta tecnología está formada poruna red de comunicaciones compuesta por antenas alo largo de la superficie terrestre y de las células(teléfonos móviles también llamados celulares), quepermiten la comunicación desde casi cualquier lugar[14].D. RFIDUna tecnología que por medio de etiquetas deidentificación Rifad se pueden seleccionar a losdispositivos remotamente por medio de señales deradiofrecuencia y así almacenar la información,para luego ser procesada por los sistemas de gestión[15].E. ZigBeeEs un estándar desarrollado por la Alianza ZigBeeque define una serie de protocolos para laimplementación de redes inalámbricas de corta

Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad.distancia y baja velocidad de datos. Lacomunicación ZigBee es de muy bajo consumo, loque la hace muy atractiva para dispositivos quedependen de una batería para su funcionamiento[16].F. Z-WaveTecnología inalámbrica ampliamente utilizada enproductos domésticos (domótica). Tiene unacobertura de 30.5 metros y cada red puede incluirhasta 232 nodos.G. 6LowPAN (IPv6 Over Low Power WirelessPersonal Area Networks)Son una serie de recomendaciones sobre el uso deIPv6 en redes, basadas en el estándar IEEE802.15.4. Está enfocado a dispositivos simples y alutilizar IPv6 es el ideal para redes con un grannúmero de sensores [17], [18].Según la fuente [19], como lo señaló en sumomento Jan Brockmann, Director de operacionesde Electrolux, sí se desea crear una plataformauniversal, ésta solo funcionará si todos se unen. Yes que, con la amplia gama de protocolos y formasde comunicación, es necesario que todos losdispositivos hablen el mismo idioma. Ante esteproblema han surgido varias alianzas que intentanimponer un estándar común, las dos alianzas quesobresalen son: AllSeen Alliance: La asociación deempresascomoMicrosoft,Cisco,Qualcomm, Panasonic, LG, Harman, HTC,Sharp, Bosch, Haier y Sony, junto con elapoyo de Linux Foundation, han creado elestándar basado en software Open Sourcellamado AllJoyn, que garantiza unainteroperabilidad entre los dispositivos delos fabricantes con distintos sistemasoperativos. Lo definen como un estándarflexible, dinámico, avanzado y compatible,que quiere enfocarse en resolver problemasde alto nivel. El sistema en un principio fuecreado por Qualcomm, pero fue adoptado ymejorado con la contribución de todos losaliados. Open Interconnect Consortium: Laconforman empresas como Intel, Samsung,4Dell, Broadcom Corporation, Atmel y WindRiver. Esta alianza también es de códigoabierto y se enfoca en temas que no estánabarcados en AllSeen, entre ellos laseguridad y acceso remoto. Adicionalmenteofrece normas de interconectividad paradesarrolladores, fabricantes y usuariosfinales.IV. EMPRESAS QUE LE APUESTAN AL IoTEs difícil imaginar tareas que desarrolle el serhumano que en algún momento de la historia nopuedan llegar a ser desarrolladas por medio de launión de la ciencia y la tecnología. Hoy en día, pormedio de diversos protocolos y aplicaciones, seencuentran más dispositivos conectados a Internetque seres humanos sobre la tierra, y es que gracias ala gran masificación del IoT, cada vez son más lasempresas que están adoptando estrategias demercado de estas tecnologías para su negocio. Éstasson algunas de las empresas líderes en estatecnología, con sus proyectos más ambiciosos: Intel: El mayor fabricante de circuitosintegrados del mundo ha creado una placacomputacional llamada Intel Joule,enfocada a utilizar funciones de res, realidad virtual, entreotros, dirigida a desarrolladores y empresasdel ámbito del IoT. Por ejemplo, en unaasociación con la empresa francesaPivotHead con el uso de Joule crearon unasgafas de realidad aumentada para mejorar laseguridad en entornos industriales [2]. Amazon: Con la idea de que la cloud juegueun papel importante para el IoT, creó elservicio AWS IoT que ayuda a desarrollaraplicaciones para conectar dispositivos através de la cloud. Al día de hoy, ya se handado a conocer dispositivos de domótica,vehículos y sistemas de salud desarrolladosa través de este servicio, junto con la uniónde otras de sus herramientas como S3,Kinesis y DinamoDB [20]. Google: La empresa que cuenta con másproductos enfocados al IoT, entre ellos sedestaca un sistema operativo específico

Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad.para estos dispositivos, basado en Android.También ha creado toda una división dedesarrollo de esta tecnología llamada X.Entre sus proyectos más destacados seencuentran las Google Glass (gafas derealidad aumentada), un vehículo autónomoy una herramienta para ayudar a losdiabéticos a verificar constantemente susniveles de glucosa sin utilizar ningúnmétodo intrusivo [2], [21]. IBM: Con una inversión de 200 millones dedólares para el campo de la computacióncognitiva, con su proyecto Watson, quierencrear sistemas que comprendan el lenguajenatural de las personas, puedan recopilar yasimilar grandes cantidades de datos,responder a preguntas complejas y aprenderde la experiencia [2]. Microsoft: El gigante tecnológico quegracias a su plataforma de servicios en lanube Azure ha creado varias soluciones enel ámbito del IoT, entre ellas Azure IoTSuite, que permite a las empresasmonitorear y manejar sus soluciones IoT, laAzure IoT Hub para gestionar dispositivospor medio de herramientas de software ynuevas herramientas de enrutamiento deuna forma más potente y sencilla; Windows10 IoT Core, un sistema operativo de bajocosto para dispositivos que hacen parte delInternet de las Cosas [22]. Samsung: Con la promesa que para el año2020 todos sus dispositivos hagan parte delIoT y así mejorar la calidad de vida de laspersonas en todo el mundo, en junio delpresente año destinó una inversión de 1.200millones de dólares en el desarrollo de estatecnología junto con I D [23].La mayoría de las empresas están empezando ausar esta tecnología para la fabricación de susproductos a la vanguardia, sin embargo, algunascompañías se están dedicando a modificar losaparatos electrónicos ya existentes, adaptándoloscon señales Wifi de internet, con el fin de que laspersonas no tengan que cambiar todos sus aparatoselectrónicos, sino solamente adaptarles unos5dispositivos para que puedan entrar en estatendencia.V. RIESGOS DEL INTERNET DE ndose a Internet y cada vez con mástecnologías para su comunicación, el controlar lasvulnerabilidades de estos dispositivos es una tareamuy dispendiosa y, que muchas veces no se tiene encuenta. Hasta hace unos días, para gran parte de lapoblación era casi imposible que se produjera unataque de denegación de servicio distribuido DDoS,como el que se presentó el viernes 21 de octubre delpresente año, en el cual, por medio de millones dedispositivos IoT infectados con malware, se logróprovocar la caída de varias de las plataformas mássofisticadas del mundo e intermitencia en el serviciode internet de más del 30% del mundo [1].Aunque en los eventos IoT Solutions WorldCongress de los últimos años se ha hecho especialénfasis en los temas de la seguridad, quedó enevidencia que muchos de los grandes fabricantes deestas tecnologías aún no están tomando el tema conel cuidado que se merece o simplemente se les hasalido de las manos. Para agravar un poco más elpanorama, se suma el aumento significativo deciberataques y técnicas de hacking cada vez mássofisticadas.Es innegable que el papel de la seguridadinformática nunca había tenido tanta importancia,porque con el paso del tiempo cada vez hay más enjuego; un solo ataque con éxito a la red dedispositivos que conforma el Internet de las Cosaspodría llegar a afectar todos los objetos físicos quenos rodean y, en el peor de los casos, la integridadfísica de las personas.En los últimos años, importantes empresas yasociaciones se han tomado el trabajo de evaluarqué tan seguras son las soluciones IoT, y losresultados obtenidos siempre llevan a la conclusiónde que esta tendencia es muy riesgosa tanto paraempresas como para las personas.La Asociación de Auditoria y Control de Sistemasde Información (ISACA por sus siglas en inglés,“Information Systems Audit and ControlAssociation”) revela que los grandes retos a los quese enfrenta el IoT son la protección de la privacidad

Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad.de los datos, la gestión de la identidad de acceso, losrequisitos de cumplimiento, la propiedad de losdatos fuera de IT y mayores amenazas de seguridad[24].Según la fuente [25], un estudio realizado por HP(Hewlett-Packard) a 10 dispositivos IoT deseguridad para el hogar y a sus componentes deaplicación en la nube y móviles, reveló que latotalidad de estos dispositivos conteníanvulnerabilidades significativas como problemas deseguridad, cifrado y autenticación. Los dispositivosseleccionados para las pruebas fueron de variosfabricantes líderes que operan con distintos sistemasoperativos, lo que le da mayor valor al estudio.Resumiendo, algunas de las vulnerabilidades máscríticas detectadas en el estudio fueron: Autorización insuficiente: Los sistemas conaplicaciones web conectadas a la nube noexigían contraseñas seguras. Aunque eraobligatoria, bastaba con ingresar unacontraseña alfanumérica de seis caracteresde longitud, debido a que no existíanpolíticas que exigieran cierto grado decomplejidad. Interfaces inseguras: Por medio de técnicasde recolección de cuentas se logró teneracceso. Estas técnicas consisten en que alno existir el bloqueo de cuentas y políticade contraseñas seguras se pueden realizarataques de fuerza bruta. Problemas de privacidad: Todos e, y en algunos casos, estainformación es sensible; como por ejemplolos números de tarjetas de crédito. Cabeañadir que algunos de los dispositivoscuentan con cámaras de video integradasque permiten la visualización del hogar deforma remota, lo cual también podríaresultar en un problema de privacidad. Falta de cifrado: Aunque los dispositivosutilizados en las pruebas ya contaban concifrados de transporte, aun había muchasconexiones a la nube que estabanvulnerables.6Fig. 2. Principales vulnerabilidades del IoT. La figura muestralas principales vulnerabilidades que afectan a los dispositivosIoT, según el estudio realizado por HP en el año 2014 [26]Sin restarle importancia a cada una de lasvulnerabilidades del IoT, es evidente que las quemás afectan a las personas y empresas son lasrelacionadas con la privacidad de la informaciónque están recolectando, y es que, con todas lastecnologías emergentes, la información ha pasado aser un activo sumamente importante, por lo quegran parte de la población ha tomado acciones paraprotegerla. En Colombia se creó la Ley 1581 de2012 con los mecanismos para garantizar laprotección, almacenamiento y el buen uso de datospersonales. Esta norma concede el derecho a todaslas personas de conocer y solicitar la eliminación desus datos personales registrados en cualquier basede datos susceptibles de tratamiento en entidadespúblicas y privadas [27]. Igual que esta ley paraColombia, en el resto del mundo existen otraslegislaciones con el mismo fin como la Ley FederalBundesdatenschutzgesetz para Alemania o laPrivacy Act de 1974 en Estados Unidos (en algunospaíses latinoamericanos como Argentina, Chile,Panamá, Paraguay, Brasil y Uruguay se utiliza unmodelo similar al europeo), pero todas estas leyessolo protegen los datos considerados sensibles.Según la ley 1581 de 2012 los datos sensibles son

Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad.todos aquellos que por el uso indebido puedangenerar algún tipo de discriminación al titular [27].Y aunque es importante que existan este tipo denormativas, se quedan cortas frente a la realidad porla que atraviesa el mundo moderno, la llamada “eradigital” que gira en torno a la información.El valor que se le da a la información es diferentepara cada organización y/o individuo, y cada uno lacalifica frente a los beneficios o daños en los quepodría verse involucrado, pero siempre tiene algunacuantía. Por dar un ejemplo, en algo tan simplecomo los datos de geolocalización recolectados poralgunos de los llamados gadgets para vestir o losSmartphone, que se están enviando constantementea un servidor en algún lugar del mundo, ya sea paraindicar la ruta en la que el sujeto hizo algunaactividad deportiva o sugerir la mejor ruta parallegar a un destino; sí esta información cayera enmanos de un atacante, éste podría detectar lascostumbres o rutinas de la víctima y así encontrar elmomento justo para hacer daño, ya sea directamentea la persona o alguno de sus bienes cuando no estépresente, todo esto gracias a la localización exactaproporcionada por los dispositivos.Si bien por medio del ejemplo se refleja laimportancia de cualquier dato, por simple u obvioque sea, éstos no están incluidos en todas laslegislaciones actuales como datos sensibles, yaunque los fabricantes o prestadores de los serviciosal perder la información tienen un fuerte impacto ensus ganancias, credibilidad, entre otras, no leprestan atención a las consecuencias que podríantener los verdaderos dueños de la información.Referente a este tema, aún existe un problemaimportante con los prestadores de servicios queestablecen que la información recolectada pormedio de sus soluciones es de su propiedad siemprey cuando no sean datos natos del usuario final comosu nombre, correo, cuentas bancarias y otros delmismo estilo.Pero, así como se han detectado sespecializadas en seguridad ajenas a los fabricantesestán trabajando para reducir los riesgos. Una deestas organizaciones es el Proyecto Abierto deSeguridad de Aplicaciones Web (OWASP por sussiglas en inglés, “Open Web Application SecurityProject”), reconocido por la documentaciónrelacionada a la seguridad de aplicaciones web y las7listas Top 10 de vulnerabilidades. En el año 2014hizo pública su lista OWASP Internet of ThingsTop Ten Project, en la cual dan a conocer lasdebilidades más críticas del IoT, sus agentes deamenaza, vectores de ataque, impactos técnicos,impactos del negocio y algunas recomendacionespara mitigar el riesgo [28].Según el portal web oficial de OWASP [29], [30],éstas son las vulnerabilidades más críticas de la IoT:A. Interfaz Web InseguraEsta vulnerabilidad es la más común en el mundodel IoT y se presenta cuando los sistemas permitenla enumeración de cuentas, falta de bloqueo de lascuentas o credenciales débiles. Su impacto esclasificado como grave porque puede provocar lapérdida o corrupción de datos, denegación deacceso y pérdida completa del control deldispositivo. Las recomendaciones para proteger lainterfaz web son cambiar la contraseñapredeterminada durante la configuración inicial,exigir contraseñas robustas, verificar que lascontraseñas no sean expuestas en el tráfico de lasredes internas o externas y configurar el bloqueo delas cuentas después de cierto número de intentos deacceso erróneos.B. Autenticación / Autorización insuficienteLa debilidad se presenta cuando los mecanismosde autenticación o autorización no son losuficientemente fuertes para evitar la intrusión deusuarios no autorizados a los sistemas, lo que podríacomprometer totalmente el dispositivo atacado. Paramitigar el riesgo es necesario establecer contraseñasrobustas, implementar la autenticación de dosfactores y exigir autenticación de la aplicación, deldispositivo y el servidor.C. Servicios de red insegurosLos servicios de red podrían ser vulnerables aataques de desbordamiento de búfer o denegacióndel servicio, dejando al usuario sin acceso a losdispositivos, alterando la integridad de los datos ofacilitando ataques a otros dispositivos. Paraasegurar los servicios de red es necesario verificarque solo los puertos necesarios están abiertos,garantizar que no son vulnerables a los ataques dedenegación de servicio y bloquear todas lassolicitudes de servicios anormales.

Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad.D. Falta de cifrado de transporteEsta vulnerabilidad permite que los datos seanlegibles a través de las redes, generalmente en laslocales, porque se asume que éstas no son visiblespor los atacantes; pero en el caso de las redesinalámbricas, por una mala configuración, lainformación quedaría accesible para cualquierpersona conectada a esa red. Para garantizar queesta vulnerabilidad no sea explotada, se puedenimplementar protocolos de cifrado de datos comoSSL, y mientras se mueven por las redes el cifradoTLS, asegurando la integridad de los datosrecibidos.E. Preocupaciones de privacidadLas preocupaciones de privacidad se consideranuna vulnerabilidad por la forma desproporcionadaen la que se recolecta información innecesaria o nose protegen de la mejor forma los datos. Su impactoestá categorizado como grave al involucrar datospersonales de los usuarios y, en sí, toda suinformación. Las recomendaciones para reducir elriesgo son: garantizar que los dispositivos solorecolectan los datos básicos para su funcionamiento,en lo posible evitando que sean datos sensibles ycifrar la información.F. Interfaz cloud inseguraCuando la interfaz cloud es insegura, ésta podríaser atacada por cualquier persona con acceso aInternet, ya sea por credenciales de acceso fácilesde adivinar o por la enumeración de cuentas; y deser explotada la vulnerabilidad, se podríancomprometer los datos de los usuarios y el controltotal sobre los dispositivos. Para minimizar el riesgode explotación se deben cambiar las contraseñaspredefinidas por contraseñas robustas, definir elbloqueo de cuentas después de cierto número deintentos fallidos de inicio de sesión, proteger loscampos de entrada para evitar inyección de SQL,implementar una doble autenticación y bloqueartodas las solicitudes de intentos anormales.G. Interfaz móvil inseguraEsta debilidad causada por falta de estrictaspolíticas de autenticación en las interfaces móvilespodría ocasionar alteración en los datos de losusuarios y pérdida parcial o total de los sistemasIoT. Para prevenir su explotación es necesario8implementar políticas para la creación decontraseñas robustas, el bloqueo de las cuentasmóviles por el número erróneo de autenticación,implementar la tecnología de ofuscación deaplicaciones web, proteger la memoria y evitar laejecución de la aplicación móvil en ambientes paralos que no fue concebida.H. Configuración de seguridad insuficienteEstá presente cuando los usuarios ti

Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad. 4 distancia y baja velocidad de datos. La comunicación ZigBee es de muy bajo consumo, River. lo que la hace muy atractiva para dispositivos que dependen de una batería para su funcionamiento [16]. F. Z-Wave