“Quien no quiera entrar en el grupo de las buenas prácticas tendrá que acabar pagando”
Entrevista con Paloma Llaneza, referencia legal en el sector de las nuevas tecnologías de nuestro país.
De acuerdo con la Comisión Europea, el Internet de las Cosas (IoT, por sus siglas en inglés) representa el siguiente paso en la inevitable digitalización de nuestra economía y nuestra sociedad. Es el punto en el que objetos y personas se interconectan y hablan entre sí; el punto en el que, según dice el organismo europeo, “el mundo físico y virtual se funden en un único entorno inteligente” que, por cierto, debería “hacer nuestras vidas más fáciles, más eficientes y más seguras”. Es la teoría y la parte rosa de este cuento de mucha ciencia y ya poca ficción en torno al que surgen, también, numerosas dudas.
De dar respuestas a esas dudas y preguntas que se abren respecto al IoT se encargan personas como Paloma Llaneza, una de las referencias de nuestro país en este campo. Abogada, con más de 24 años de experiencia en nuevas tecnologías, Internet, comunicaciones digitales y seguridad, se encarga de la parte acaso menos romántica o, al menos, más aterrizada de ese mundo hiperconectado en el que nos estamos adentrando. Su especialidad es, de hecho, la seguridad, velar por minimizar los riesgos asociados a que un frigorífico se vuelva inteligente o a que los coches circulen por nuestras calles sin conductor. Tarea compleja donde las haya, como pueden imaginar.
“Tenemos todo tipo de dispositivos conectados a la red que van desde los sensores smartgrid de las grandes ciudades hasta los coches conducidos con inteligencia artificial”, explica la también socia-directora de Razona Legaltech, el bufete de abogados especializado en derecho tecnológico. “En este ecosistema, excepto en algunas áreas, se están produciendo productos que no son seguros, bien porque el usuario final no lo demanda, porque el time-to-market (el llegar al mercado cuanto antes) es mucho más importante que adaptarte en seguridad, porque en algunos casos los dispositivos son tan pequeños que aplicar medidas de seguridad es complicado…”.
Más rápido de lo que podemos asimilar
La UE prevé que el número de conexiones IoT alcance los 6 billones en 2020(frente a los 1,8 billones de 2013) y su mercado un valor de 1 trillón de euros. Otro estudio, el informe Visual Networking Index de CISCO, asegura que las conexiones M2M (máquina-máquina) representarán el 26,4% de todos los dispositivos móviles conectados en los próximos 2 años.
La novedad que supone el IoT y, como consecuencia, su gran reto en materia de seguridad, es su conexión con el mundo físico. Incluso dispositivos que, de entrada, pueden no parecer críticos, como puede ser el termostato de una casa, han de ser observados, según Llaneza, desde otra perspectiva. ¿Qué pasaría si fuera atacado para elevar la temperatura a un nivel tal alto que pueda causar daños a la vivienda o sus habitantes?, cuestiona.
Esto que, a priori, puede parecer improbable ya ocurrió en 2012 cuando un grupo de atacantes logró manipular el control de temperatura de un edificio gubernamental y de una planta manufacturera. Este acontecimiento hizo que los expertos en seguridad se plantearan qué habría pasado si hubieran hecho lo mismo en un centro de procesamiento de datos o en una sala con infraestructura tecnológica. Eso por no hablar de televisores espía, juguetes que obtienen información privada sin el conocimiento de sus usuarios, o camiones cuyos frenos o controles pueden hackearse de manera remota.
Nos guste más o menos, “hemos tenido ataques recientes y tendremos ataques cada vez de una mayor gravedad”, por lo que hay que estar preparados, sobre todo, desde las empresas que se encargan de desarrollar y producir este tipo de dispositivos.
Seguridad desde el diseño
En el caso de los aparatos del IoT, las debilidades ante ataques pueden encontrarse en el dispositivo mismo, la infraestructura de la nube y la red que utilizan. La existencia de usuarios y contraseñas por defecto y sin mecanismos que obliguen a cambiarlas por otras más seguras, las páginas web de control y configuración inseguras, la ausencia de cifrado de las comunicaciones o la falta de soporte y actualizaciones durante la vida útil del producto son algunos de los principales fallos de ciberseguridad que los expertos han detectado en ellos. Y, aquí, buena parte de la responsabilidad, por no decir toda, recae en las empresas.
“Ya no se puede permitir que se lancen al mercado productos y software que sean inseguros”.
Paloma Llaneza, quien es también árbitro de la Corte de Arbitraje del Colegio de Abogados de Madrid para temas tecnológicos desde el año 2000, recomienda a las empresas que se planteen muy seriamente aplicar las medidas de seguridad que las buenas prácticas que ya se van publicando marcan. Ella misma trabaja en ese tipo de recomendaciones como integrante del comité ejecutivo del Centro de Estudios de Movilidad de la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain. Sin ir más lejos, esta organización presentaba el pasado octubre su Estudio del arte e implicaciones de seguridad y privacidad en el Internet de las Cosas, que analiza los riesgos, las superficies de ataques típicas del IoT y las medidas para reducir esas amenazas.
Llaneza juega con una ligera ventaja en este campo. No en vano, compatibilizó sus estudios de Derecho con un máster en programación de ordenadores por la Universidad Pontificia de Salamanca de Madrid. Su perfil mixto técnico-legal le da autoridad suficiente para reclamar que la seguridad se tenga en cuenta desde el mismo momento en que empieza a diseñarse un nuevo producto. Pero, entonces, ¿cómo y por qué no es una práctica generalizada?, ¿tanto trabajo supone para las empresas?, ¿tan inasumibles son los costes asociados?, ¿de verdad es un freno a la innovación? “Dependerá de a qué se dedique cada empresa, pero la idea de ‘me cuesta mucho dinero’ en determinados sectores no es aceptable.”
“Es mucho más barato integrar la seguridad desde el principio a integrarla a posteriori; eso lo sabe todo el mundo”.
En este sentido, Paloma Llaneza está convencida de que es más barato integrar la seguridad desde el principio: “Si uno incorpora a su equipo de diseño un jefe de seguridad al inicio es mucho más sencillo introducir criptografía o medidas de seguridad en el dispositivo en ese punto que cuando lo tienes terminado y a punto de salir al mercado. Siempre lo comparo con hacer una casa sin cañerías. Los usuarios de esa vivienda las seguirán necesitando para ir al baño o beber agua corriente y es mucho más complicado levantar el suelo de una casa y abrir la pared para poner un sistema de cañerías que incorporarlas al principio”.
Una regulación específica para el IoT
“La legislación actual no acompaña”, explica Llaneza. “La Directiva de producto defectuoso en Europa y la Ley a la que está incorporada en España (la de derechos de consumidores y usuarios) establecen la responsabilidad del producto por un defecto que sea conocido en el momento en que lo lanzas al mercado. El problema del IoT es que el dispositivo puede ajustarse a ella cuando lo lanzas pero no a lo largo de su vida útil, por ejemplo, si no se actualiza o si falla después de un tiempo en funcionamiento”.
No obstante, se van dando pasos.
Se sitúa a la cabeza EEUU, donde en 2017 ya se presentó una propuesta de ley (S.1961 — Internet of Things (IoT) Cybersecurity Improvement Act of 2017) para el establecimiento de los estándares mínimos de seguridad que deben cumplir estos dispositivos para que puedan ser adquiridos por las agencias federales.
En la UE, el IoT se considera una pieza clave en la estrategia del Digital Single Market y el programa Horizonte 2020. Además, en marzo de 2015, la Comisión lanzó la Alianza para la Innovación en el IoT (AIOTI) y en 2016 publicó el documento Advancing the Internet of Things in Europe en el que define pilares, riesgos y oportunidades del IoT en el marco de la Unión.
Por otro lado, a los dispositivos de IoT les afectan el Reglamento General de Protección de Datos, que será de aplicación en España a partir del 25 de mayo, el futuro Reglamento de ePrivacy y la ya en tramitación Cybersecurity Act, que establece un sistema de seguridad desde el diseño con una marca de garantía sobre cualquier producto o servicio que quede bajo su ámbito de aplicación.
Confianza IoT
Ese último aspecto, el de las marcas de garantía, conecta con el gran desafío de la regulación del IoT que es unificar y establecer criterios que sean aplicables a la amplia diversidad de dispositivos e industrias implicadas: “No es igual un coche autoconducido que un servicio de carsharing o una smartgrid que enciende las luces cuando pasas por la acera de una ciudad. Hay elementos homogéneos [en estos dispositivos], pero la complejidad de funcionamiento de cada uno es enorme”.
Iniciativas como Anastacia o Predictive Security for IoT Platforms and Networks of Smart Objects (SecureIoT) ya lo están haciendo. En España, es Paloma Llaneza quien coordina la primera marca de garantía de dispositivos IoT en nuestro país. La experta en Derecho Comunitario asegura: “El camino de la regulación va por ahí. Va, por un lado, por establecer medidas ex ante, es decir, estándares de cumplimiento de seguridad en los distintos productos de manera general y sectoriales, y, por otro, por mantener un sistema de seguridad a posteriori en el caso de que, aun aplicando esas medidas previas, se haya causado un daño”, explica Llaneza, “quien no quiera entrar en el grupo de las buenas prácticas tendrá que acabar pagando”.
*****
De acuerdo con el informe State of IoT Security de Forrester (2017), para el 32% de los responsables de negocio su principal preocupación es la seguridad en el IoT. No solo afecta a aquellos que crean este tipo de dispositivos sino a cualquier negocio que sea −o cuyos empleados sean− usuario(s) de los mismos.
Similares, e incluso mayores, desafíos tienen que afrontar las administraciones públicas. Y eso sin olvidar el papel de los particulares, de las personas que utilizan −utilizamos− estas tecnologías en cada una de las facetas de su −nuestra− vida diaria. “Siendo conscientes de que nos enfrentamos a un mundo en el que la inseguridad se traslada del mundo físico al digital, y de que nunca vamos a vivir seguros porque eso es consustancial a la vida, al menos establezcamos un sistema en donde cada uno sepa lo que tiene que hacer”, concluye Llaneza.