Hannover Messe Industrie 2016
Perspective Internet of Things

Seguridad del IdC: “El mercado ha fracasado”

22-feb-2017

“La era de la diversión y los juegos ya ha pasado”, dijo Bruce Schneier en el Congreso sobre seguridad de las telecomunicaciones en Frankfurt, en noviembre de 2016. El experto americano en seguridad y criptografía para el IdC es Director Tecnológico de IBM Resilient. En su bestseller “Datos y Goliat: las batallas ocultas para recopilar sus datos y controlar su mundo”, el investigador en seguridad describe cómo los países y las empresas de Internet nos espían. En la entrevista, el experto, de 53 años, habla de la gran importancia de la seguridad para y a través del Internet de las Cosas, sobre un mercado en decadencia y sobre la necesidad de una reglamentación a nivel nacional.

Sr. Schneier, en el Congreso sobre seguridad de las telecomunicaciones nos previno sobre lo ilimitado de la conectividad en el Internet de las Cosas. Usted es un experto consolidado en cuanto a la seguridad del IdC. ¿A qué se debe su pesimismo?

“Los ciberataques ya no suponen solo un riesgo para los datos sino que también ponen en peligro la vida de las personas”, cuenta Bruce Schneier, experto en seguridad informática
Fuente: Julian Dodd
Estamos creando un mundo en el que todo está conectado. Esta conectividad en el Internet de las Cosas llegará pronto a su punto álgido. Es como un robot del tamaño de todo el planeta. Sin embargo, no somos conscientes de las consecuencias.

¿Qué consecuencias deberíamos esperar?

Con Internet, la humanidad ha creado la máquina más compleja que jamás ha existido. Hasta la fecha, solo los datos corrían el riesgo de un ciberataque. Sin embargo, la conectividad a través del Internet de las Cosas –por ejemplo para la comunicación de máquina a máquina (M2M)– hace que el sistema sea altamente volátil, ya que la seguridad del IdC está siendo descuidada seriamente. Con la integración de sensores y actuadores, las consecuencias son mucho más peligrosas: los ciberataques ya no son un riesgo únicamente para los datos, también pueden poner en peligro la vida de las personas.

En su opinión, cuáles son los mayores problemas en lo relativo a la seguridad del IdC?

Grandes empresas como Microsoft, Google o Apple contratan a expertos para la seguridad del IdC para que los smartphone, por ejemplo, sean lo más seguros posible. Sin embargo, si compra una cámara web para vigilar a su bebé, un frigorífico o un termostato, ningún experto en el IdC habrá estado involucrado en su fabricación. Otro problema estriba en el hecho que estos dispositivos son reemplazados con menos frecuencia. Mientras que muchos usuarios comprarán un smartphone nuevo al cabo de tan solo dos años, la mayor parte de las personas solo adquirirá un frigorífico nuevo después de cinco años o más. Y muchos dispositivos baratos ni siquiera dan la opción de actualizarlos.

Sin embargo, la gente sigue comprando estos productos poco seguros.

Es cierto, porque ningún cliente piensa en la seguridad del IdC. Al comprar, los clientes piensan en factores muy diferentes: ¿Cuánto cuesta un dispositivo? ¿Qué funciones ofrece? Al final, el cliente no está interesado en si el dispositivo forma parte de un botnet. Después de todo, no se ven afectados directamente. Mientras el dispositivo funcione, el cliente estará contento, y el fabricante también. A ninguno de los dos les interesa la seguridad del IdC. En lo relativo a la seguridad del IdC, el mercado ha fracasado.

¿Cómo resolvemos este dilema?

Si el mercado fracasa, otros tendrán que intervenir. En el futuro, vamos a necesitar, realmente, una normativa estatal, y no solo políticas empresariales. En general, el estado interviene cuando se presenta una amenaza. Sin embargo, Internet se ha mantenido, virtualmente, al margen de estas reglas. La diversión y los juegos han terminado: ¡Los dispositivos conectados tienen que pasar por un proceso de certificación! Esto ya ocurre con productos potencialmente peligrosos como es el caso de los vehículos o los dispositivos médicos.

¿Unas reglas de seguridad del IdC nacionales serían útiles? ¿O necesitamos unas a nivel internacional?

Yo creo que unas normas nacionales pueden ser efectivas de manera global. Por ejemplo, si una ley en los EE.UU. estipulara unos estándares de seguridad para routers comprados en el país, productores de otros países tendrían que asegurarse de que sus productos cumplen con esos requisitos de seguridad si quieren vender en el mercado americano.

¿Bastará con la reglamentación nacional?

No, no es una panacea. En el futuro seguirá habiendo ciberataques. Eso es algo que tenemos que aceptar. Un sistema tan complejo como el Internet de las Cosas no puede ser completamente seguro. Un ciberdelincuente experimentado y motivado, con una financiación suficiente, siempre encontrará una manera de entrar. No podemos esperar que los que se encuentran detrás de ataques como el de los ataques DDoS del botnet Mirai sean detenidos. Si aceptamos que los dispositivos conectados nunca serán seguros al cien por cien, al menos podremos reducir el problema considerablemente.