Amenaza del internet de las cosas

Estoy convencido de que muchísima gente no conoce todavía el significado del Internet de las cosas y peor aún, no sabe lo que se les viene encima… ☹   Antes de comprar cualquier dispositivo que se conecta a internet, creo que  las personas  tendrían que se informadas de qué es el internet de las cosas y que peligros tiene…?, sus vulnerabilidades y como defenderse de ello, porque  hoy por hoy evitar ataques informáticos  es más importante de lo que pensamos.

Ya no es cosa de ciencia ficción que se apaguen las luces, que el aire acondionado se ponga en funcionamiento, que se prenda fuego a algo deliveradamente, que se bloqueen los frenos de un coche a distancia, que un marcapasos deje de funcionar por un ataque informatico, etc, etc, etc.  Sí señores, esto tiene que ver con el internet de las cosas y lo tenemos encima. Se estima que para el 2020 habrá más de 50 billones de disposiitvos conectados.

Si no os  lo creeís os recomiendo la serie documental Cyberwar que además de tratar el tema del internet de las cosas, aborda todos los peligros a los que vamos con la utilización de internet y las nuevas tecnología.

     ¿Qué es el internet de las cosas?

Según Wikipedia:

«El internet de las cosas (en inglés, Internet of Things, abreviado IoT;¹​ IdC, por sus siglas en español ) es una idea que se hace mención a una interconexión digital de objetos cotidianos con internet. Es, en definitiva, la conexión de internet con más objetos que con personas. Si los objetos de la vida cotidiana tuvieran incorporadas etiquetas de radio, podrían ser identificados y gestionados por otros equipos de la misma manera que si lo fuesen por seres humanos.

El concepto de internet de las cosas fue acuñado por Kevin Ashton en el Auto-ID Center del MIT- 1999, en donde se realizaban investigaciones sobre el campo de la identificación por radiofrecuencia en red (RFID) y tecnologías de sensores.

       Ejemplos del Internet de las cosas

1.- Un frigorífico que baja la temperatura automáticamente o que te avise de la fecha de caducidad de un alimento.

2.- El aire acondicionado que automaticamente salta según temperatura.

3º.- Un cepillo de dientes que te avise de una caries y que te busque cita con el dentistas.

4º.- Pulseras que cuando salgamos a correr nos informen de nuestras constantes vitales.

5º.- Lámparas inteligentes que se encienden solas cuando hace falta iluminación.

6º.- Un tenedor que nos da los datos de la velocidad a la que comemos para mejorar nuestra forma de comer.

7º.- Un water  que nos haga un análisis de la  orina y nos acoseje la dieta más adecuada.

8º.- La muñeca de la Barbie que recoge en sus servidores las conversaciones que los niños tienen con ella a través de un software de reconocimiento de voz que interpreta las frases y envia de vuelta una respuesta pre programada.

9º.- Apps de ciclistas que monitorizan su rutinas de entrenamiento y las zonas por donde entrenan.

Si tienes dispostivos inteligentes puede ocurrir esto:

1. Que se incluyan usuarios y contraseñas de acceso por defecto y sin mecanismos que obliguen al usuario a cambiarlas por otras más seguras. En este aspecto, no sé si recordarás que antiguamente, la contraseñas de los routers venían con 1234, pues lo mismo puede pasar ahora con estos dispositivos que vengan abiertos de fabrica  ?
2. Las páginas web de control y configuración pueden ser inseguras.
3. Que no tengan tiene cifrado en las comunicaciones.
4. Que no haya configuraciones de seguridad.
5. Falta de soporte y actualizaciones de los fallos de seguridad detectados tanto en el software de control como en el firmware de los dispositivos.

     Legalidad del internet de las cosas

Recuerdo que hace años llevé el caso de una lavadora que se incendió, claro que entonces, estas no se conectaban a internet, por eso empezaré diciendo que este tema puede tener relevancia en muchas campos del derecho; por empezar por el más importante, el penal, ya que puede condenar o brindar una coartada en un asesinato al probar que el culpable estaba en sitio distinto. En civil por ejemplo en un accidente, ya que alguien puede decir que su coche iba funcionando perfectamente cuando no, y la tecnología puede demostrarlo.¹  

Otro ejemplo real -en el tema penal- fue un caso de supuesto caso de violación en el que se absolvió al culpable gracias a una pulsera biométrica tipo Fibit, ya que la víctima decía estar dormida cuando dicho dispositivo demostró que estaba despierta y en movimiento.

Por tanto, son varios los retos a los que se enfrentamos tanto abogados como reguladores. Los primeros porque tendremos que preguntar al cliente sobre los a dispositivos conectados a internet y verificar la influencia de ello en el caso concreto y los reguladores porque de los distintos  países porque ya no sólo se trata de la seguridad y los daños derivados de esta, sino también el tratamiento de la información recopilada, ya que los dispositivos no sólo pueden vincular con otros dispositivos sino con servicios prestados por terceros. Ej. Una pulsera de salud que envía datos a la aseguradora.  Este campo del  famoso Big Data, por el que las grandes compañías recopilan información de interés de los ciudadanos con la que después comercializan, por ser un filón económico.  Así que legalmente puede haber varios responsables de datos, uno el del titular del dispositivo, el fabricante de este o incluso la aseguradora, siguiendo con el ejemplo anterior.

Photo by George Kroeker on Unsplash

El caracter intrusivo al monitorear las actividades de los usuarios en una dimensión nunca vista hasta ahora nos invita a pensar en la implicaciones legales y la necesaria protección frente a los nuevos desafíos. Un ejemplo de esta intrusión, la encontramos en algunas compañías americanas que alquilaba ordenadores introduciendo un software que activaba las camara web cuando los usuarios que alquilaban los ordenadores no pagaban, también sabían donde estaba el usuario, deshabilitaban el ordenador y enviaban esta información de vuelta a la compañía para que pudieran ir a cobrar su deuda. Sin embargo, el software no se contentaba con esto sólo, ya que recopilaba datos como cuentas de correo, datos de instituciones financieras, numero de la seguridad social, datos médicos, tarjetas bancarias, fotos incluso de niños, en definitiva datos que atentan a la privacidad.

A nivel internación tenemos el  el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos, adoptado por la Asamblea General de las Naciones Unidas, consagra, al respecto, lo siguiente:

1. Nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación; 2. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques.

En España el artículo 18 de nuestra Constitución

1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.

3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.

4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos

Como vemos por tanto existe una protección especial  regulada por las legislaciones nacionales e internacional en uno de los riesgos que es la privacidad.  De hecho en uno de los muchos documentales que sobre esta materia hay, los hackeos a las cámaras web de los ordenadores y portatiles son ya una realidad demasiado frecuente. Este es un solo ejemplo pero hay cientos de posibles injerencia en la intimidad de las personas como consecuencia del uso de estos dispositivos.

     ¿Quién es el responsable en el Internet de las cosas?

Cuando en  marzo de 2018, una mujer iba con su bicicleta  por una calle  oscura de Tempe, Arizona (EEUU),  no pudo imaginar que sería arrollada por un coche autónomo de Uber que estaba haciendo pruebas. En el vídeo que sirvió de prueba, se observa que el conductor-controlador de seguridad que no prestaba atención. Los sensores del vehículo deberían haber detectado a la ciclista aunque era de noche, pero tampoco lo hicieron. Si hubiera sido un coche no autónomo y no conectado habríamos entendido que la responsabilidad recaía en mayor o menor medida en el conductor, sin embargo cuando se trata del Internet de las cosas la responsabilidad ya no está tan clara.

¿Por qué?   Siguiendo con el ejemplo puede haber varios responsables, así por ejemplo si el fabricante del coche y el sensor que ha fallado son distintas compañías, las responsabilidad puede ser distinta y que me decís si se trata de un fallo de software… Como veis el tema es más complicado de lo que parece.

Para averiguarlo hay que «hilar muy fino» y a buen seguro que los peritajes de esta materia, saldrán muy caros…ya que en el Internet de las cosas, los dispositivos pueden ser utilizados de manera distinta a la prevista por el desarrollador.

Photo by Vikas Pawar on Unsplash

La responsabilidad del fabricante en Europa, establece que Las empresas son responsables de los defectos que pueda tener en sus productos. Si ocasionan daños a los clientes: (muerte, lesiones, daños materiales a los efectos personales por un valor superior a 500 euros, etc.) además tiene una base de datos de productos defectuosos llamada Rapex.

Bibliografía:

1.- A Litigator’s Guide to the Internet of Things