El Internet de las Cosas y la vulnerabilidad de los datos

Internet no es un territorio exclusivo del ser humano. Los objetos físicos –vehículos, máquinas, electrodomésticos y demás– son cada día más capaces de conectarse entre ellos y también a la red, permitiéndoles crear, intercambiar o consumir información con la mínima participación humana.

Es lo que se llama Internet de las Cosas (IoT), y aunque muchos anuncian que se convertirá en la próxima revolución en nuestras vidas, su puesta a punto despierta muchas dudas, especialmente de carácter legal.

El smartphone fue el primero en llegar, y su irrupción puso patas arriba nuestra manera de vivir al conectarnos a Internet las 24 horas del día desde cualquier lugar. Una ventaja que saltó a otros sectores como el industrial, que hoy se beneficia de la red para vigilar su maquinaria a distancia, hacer mantenimiento predictivo de los equipos o mejorar la trazabilidad de los productos.

Una fuerza imparable que se irá diversificando con el tiempo y permitirá, por ejemplo, que nuestras neveras inteligentes detecten la evolución de consumo de nuestros alimentos y realicen por sí mismas los encargos a proveedores virtuales para que nunca falte nada.

Pero además de las ventajas que supondrá para nuestras vidas, el Internet de las Cosas impulsará la economía de innumerables maneras y mejorará todo tipo de procesos. Y todo ello con la información como principal riqueza, por su capacidad para captar un dato en bruto y convertirlo en información inteligente y explotable.

Y no un único dato, sino una infinidad de ellos como volumen exponencial de los millones de dispositivos conectados a Internet. Datos que habrá que almacenar, securizar y restituir para diversos usos.

Pero, ¿qué problemas y suspicacias levanta ya el Internet de las Cosas?

1.     Falta de ciberseguridad. Todavía está por generalizar el principio de Security by Design, es decir, que a la hora de diseñar el dispositivo conectado a Internet (como una pulsera de monitorización de actividad, una cámara de videovigilancia o un sistema de calefacción de una casa) no se tiene como aspecto prioritario la seguridad. De hecho hay estudios que demuestran que es posible introducirse en la Red Doméstica del hogar conectado por WIFI a través del sistema de bombillas inteligentes. Con los datos extraídos se puede predecir cuándo estará la familia en casa y cuándo no, lo que podría poner en peligro la seguridad de nuestros bienes, la nuestra propia, si tal información se utiliza con fines maliciosos.

2.     Pérdida de privacidad y protección de datos. Tampoco se encuentra extendido todavía el principio de Privacy by Design, esto es, tener presente la privacidad de las personas cuando se desarrolla el software de un dispositivo. A través de wearables, SmartTVs o los sistemas de navegación de los coches con acceso a Internet se recopilan numerosos datos personales. Sin unas políticas de estricto respeto a la intimidad de las personas, toda esta información podría ser utilizada con una finalidad distinta para la que fue obtenida, lo que podría suponer una intromisión en los derechos a la intimidad y a la protección de datos de sus usuarios como, por ejemplo, que un tercero conozca el estado de salud de otra persona y lo utilice en su contra, el espionaje de conversaciones confidenciales o comprometidas o la vulneración de la intimidad de alguien conociendo el punto exacto en el que se encuentra a través del GPS del coche.

3.     Control remoto no consentido. La falta de conocimiento de lo que implica “estar conectado a Internet” supone que no se sea consciente del todo de lo vulnerables que pueden llegar a ser los dispositivos que tenemos conectados a la Red y que transmiten nuestra información. Una autentificación pobre por defecto y no cambiar las contraseñas suelen ser unas de las principales debilidades. Y esto puede dar lugar a situaciones como que se manipule el gasto energético (controlando el sistema de calefacción de la casa), se produzcan daños en aparatos electrónicos (manipulando su funcionamiento desde el panel de control) o la extracción de información sobre hábitos personales (accediendo a los datos de un wearable).

4.     Necesidad de adecuación a la normativa de cada país y adopción de estándares. Por su parte, aquellas empresas que quieran utilizar soluciones IoTs tendrán que adecuar los dispositivos a la normativa de cada país que les sea de aplicación, adoptar estándares y respetar en todo caso las normativas sobre privacidad, protección de datos y seguridad de la información.

5.     Ciberofensiva industrial. Cada vez se apuesta más por las llamadas “fábricas inteligentes”, la industria 4.0 o las ciberindustrias por las ventajas que suponen. Sin embargo, no poder invertir en un sistema de ciberseguridad fuerte podría suponer el acceso no autorizado a la Red de la ciberfábrica y modificar los procesos industriales, lo que puede tener consecuencias catastróficas si, por ejemplo, a través de dicho acceso se consiguiera paralizar la producción energética de un país.

Cada uno de estos puntos pone de manifiesto la necesidad urgente de sentar unas bases sólidas en el Internet de las Cosas que sirvan de garantía para los humanos. Y es que nuestros derechos y la seguridad de nuestros datos no pueden terminar donde comienza la conectividad de las máquinas. Un proceso muy complejo en donde el ciberderecho debería ser protagonista.