la cara oscura de internet de las cosas en los ‘hogares inteligentes’

«Los protocolos que utilizan los dispositivos IoT en la red local exponen información sensible que puede ser explotada por actores maliciosos o con fines comerciales, sin el consentimiento ni el conocimiento del usuario». Así lo ha evidenciado la investigación de un equipo internacional de investigadores, dirigido por Imdea Networks y la Northeastern University, en colaboración con la NYU Tandon School of Engineering, la Universidad Carlos III de Madrid, Imdea Software, la Universidad de Calgary y el International Computer Science Institute.

Un completo trabajo por el que se han desvelado hallazgos pioneros sobre los retos de seguridad y privacidad «que plantea la creciente prevalencia de dispositivos opacos y técnicamente complejos del Internet de las Cosas (IoT) en los hogares inteligentes».

Este estudio, ‘In the room when it Happens: Characterizing Local Communication and Threats in Smart Homes’, se ha presentado esta semana en la ACM Internet Measurement Conference (ACM IMC’23) de Montreal (Canadá). El artículo profundiza, por primera vez, en los entresijos de las interacciones de la red local entre 93 dispositivos IoT y aplicaciones móviles, revelando una cantidad excesiva de amenazas no estudiadas a la seguridad y la privacidad en las redes locales, y con implicaciones en el mundo real.

Presencia furtiva

Como señala el coautor del estudio Narseo Vallina-Rodríguez, profesor asociado de Imdea Networks, cofundador de la startup AppCensus: «Un canal lateral es una forma un tanto furtiva de acceder indirectamente a datos sensibles. Por ejemplo, se supone que los desarrolladores de aplicaciones Android deben solicitar permisos del sistema para obtener el consentimiento y acceder a datos como la geolocalización…». Pero han constatado que no es así: «Hemos demostrado que ciertas ‘aplicaciones espía’ y empresas de publicidad abusan de los protocolos de red locales para acceder silenciosamente a esa información sensible sin que la persona usuaria sea consciente de ello. Todo lo que tienen que hacer es pedírselo amablemente a otros dispositivos IoT desplegados en la red local utilizando protocolos de red estándar como UPnP».

Juan Tapiador, catedrático de Ingeniería Informática de la UC3M, también coautor del estudio, coincide en destacar la evidencia de que «una aplicación móvil puede tener componentes de terceros (que no son el fabricante) que pueden utilizar información para fines comerciales al identificar tus dispositivos supone ir un paso más allá. Un mejor perfilado».

El perfil socioeconómico puede quedar al descubierto por el tipo de dispositivos, cuánto tiempo se usan, etc., por lo que los investigadores son conscientes de la relevancia de su trabajo: «Hemos contactado con los agentes relevantes como parte de la metodología de nuestro trabajo, no sólo para validar hallazgos sino también para minimizar el impacto de estos problemas». Se impone, por lo tanto, «que estos protocolos se actualicen por sus responsables y evitar con una configuración correcta estas fugas de datos».

Mientras se pone en marcha esta actualización de protocolos por el bien de nuestra privacidad, desde la AEPD (Agencia Española de Protección de Datos) recuerdan el marco legal vigente, e incluyen en su sitio web comunicaciones como ‘Riesgos del Internet de las Cosas en el Hogar’ y ‘Recomendaciones para el uso seguro del Internet de las Cosas’.

Desde la institución (que, por cierto, ha premiado a Vallina-Rodríguez y a Tapiador por sus investigaciones en más de una ocasión) señalan la importancia del Reglamento General de Protección de Datos (RGPD), «que recoge que los responsables de tratamiento deben aplicar medidas de protección de datos por defecto y desde el diseño». Y añade una declaración de intenciones: «El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento».

Con seguridad

Javier Zubieta, presidente de la Comisión de Ciberseguridad de Ametic (asociación representante del sector de la industria digital en España), señala, en su caso, y desde el ámbito general (privacidad-seguridad) la importancia de la existencia de legislaciones-marco como la Cyber Resilience Act (CRA), «que demuestra el interés de la UE en hacer frente a una de las principales causas de los ciberataques exitosos».

Zubieta recalca esta aspiración «mediante el incremento del nivel de ciberseguridad de cualquier elemento digital, tanto en su diseño, desarrollo, configuración, instalación y posteriores actualizaciones, se consigue, además, el incremento de la confianza de los usuarios, tanto consumidores como empresas, a la hora de adquirir estos elementos y elegirlos adecuadamente en función de sus requisitos de seguridad».

Javier Fernández Urdinguio, Product&Services director de BeDisruptive, comenta, por su parte, cómo «cuando hablamos de dispositivos IoT y ‘Smart Homes’, u otros dispositivos médicos (IoMT), estamos hablando de dispositivos conectados o hiperconectados a través de una red, ya sea privada o pública. Cualquier vulnerabilidad podría poner en riesgo la información privada que maneja el dispositivo, además de aquella que es transmitida por la red. Estos riesgos (continúa el especialista) están muy relacionados con la privacidad y la seguridad de los usuarios a través de los sensores integrados y conectados dentro de un hogar inteligente: micrófonos, cámaras, interfaces domóticas, etc.».

Brice Corrieu, solutions manager en UnaBiz Spain, destaca, en su caso, la solución Sigfox, «para proporcionar una red IoT que cifra los datos para protegerlos durante la transmisión y utiliza autenticación para confirmar la identidad de los dispositivos. Envía pequeñas cantidades de datos, lo que reduce la exposición a interceptaciones». Un proceso que limita los mensajes a 12 bytes y 140 mensajes diarios «lo que restringe la información potencialmente vulnerable. La clave de autenticación para cada dispositivo es única, lo que significa que comprometer la clave de seguridad de autenticación de un dispositivo no afecta la seguridad de otros dispositivos».

Culto a la privacidad

Santiago Cordero Puentes, director Infrastructure & SecDevOps en Vass, incide, por su parte, en la necesidad de que el sector tecnológico y los reguladores pongan el foco en la seguridad informática y de comunicaciones del hogar. «Es (comenta) un gran problema a nivel mundial, lo que ha llevado a que la industria haya crecido sin unas directrices consensuadas en esta materia. Hay que entender que un dispositivo IoT doméstico cuenta con la tecnología mínima para realizar su función, con lo que la propia seguridad no es una prioridad más allá de unos básicos que, por ejemplo, no cubren la actualización periódica del software con el que operan, algo que debería hacerse de forma constante y obligatoria».

Dispositivos aparte, subraya la importancia de contemplar «la ‘autoprotección’ de una persona, más allá de recomendaciones y riesgos potenciales. Es el momento de que se regule también y se generen herramientas para gestionarlas de forma segura y sencilla».

Mientras tanto, los responsables del estudio ya han logrado su parte de transferencia tecnológica a la sociedad, como resume Vallina-Rodríguez: «Varios fabricantes ya nos han reconocido los riesgos en la privacidad de la seguridad de los hogares, lanzando nuevas versiones de sus productos, que aseguran que los datos de los dispositivos no están siendo captados para fines ilegítimos. Además, han reconocido la necesidad de elevar estos riesgos a las discusiones centradas en la estandarización de nuevos protocolos de red, para evitar que estos riesgos puedan ocurrir».