Objetos conectados

1. Los primeros objetos conectados

En 1982, los estudiantes de informática de la Universidad Carnegie-Mellon se encontraron con un pequeño problema. La máquina expendedora de Coca-Cola que estaba situada cerca de sus oficinas había sido trasladada y ahora tardaban varios minutos en ir a comprar sus bebidas. Es más, a veces la máquina en cuestión estaba vacía cuando iban a por una botella. Algunos de los alumnos instalaron componentes electrónicos para detectar si quedaban botellas en la máquina y los conectaron a un ordenador PDP-10 del departamento de informática. Escribieron un pequeño programa para averiguar el estado del dispensador, si quedaban botellas en la máquina y si habían tenido tiempo de alcanzar la temperatura adecuada. Este programa podía ser interrogado desde otros ordenadores de la universidad y, más ampliamente, desde la precursora de Internet, la red ARPANET. Así nació el primer objeto conectado. Unos años más tarde, en 1989, el director de una feria de informática y redes retó a John Romkey, uno de los creadores del protocolo TCP/IP, a presentar en el siguiente evento una tostadora conectada a Internet. El reto fue aceptado, y los visitantes de la feria de 1990 pudieron admirar una tostadora Sunbeam Deluxe Automatic Radiant Control controlada a través de Internet.

En un tono más serio, en un artículo publicado en el número de septiembre de 1991 de Scientific American, Mark Weiser, director del laboratorio informático del centro de investigación de Xerox, predijo un mundo en el que los ordenadores se integrarían en los objetos cotidianos hasta tal punto que se volverían omnipresentes e invisibles (el artículo utiliza el término ubiquitous computing o computación ubicua). El artículo describe ordenadores-objetos basados en hardware de potencia y coste limitados, y redes inalámbricas que les permitan comunicarse. Aunque en el artículo no se utilizan los términos «objetos conectados» o «Internet de las cosas», lo que describe se corresponde en muchos aspectos con estos conceptos.

El término «Internet de las cosas» fue acuñado en 1999 por Kevin Ashton, que entonces trabajaba para Procter & Gamble....

1. La superficie de exposición de los objetos conectados

En un tuit del 12 de diciembre de 2016, Mikko Hypponen, director de investigación del proveedor de soluciones de ciberseguridad F-Secure, enunció la Ley de Hypponen: «Cuando un objeto se describe como inteligente, significa que es vulnerable [1]». Las características específicas de los objetos conectados aumentan enormemente su superficie de exposición. Están equipados con capacidades de procesamiento y cálculo, microprocesadores y memorias, y a menudo ejecutan sistemas operativos completos con multitud de funciones que rara vez son todas necesarias para las actividades que realizan. Cuanto más variadas y potentes son estas capacidades, mayor es la superficie expuesta a los ataques. Los escenarios de riesgo que pueden afectar a un objeto conectado, como un electrodoméstico, son mucho más numerosos y diversos que los dirigidos a un equipo equivalente que no está conectado y solo contiene unos pocos circuitos electrónicos.

Más allá de las capacidades de procesamiento que contiene, un objeto conectado es, por definición, accesible a través de una red. Envía datos y recibe datos y órdenes. Esta capacidad de comunicación e interacción a distancia conlleva un aumento muy significativo de la superficie de exposición. El riesgo es obviamente mayor cuando el objeto es directamente accesible en Internet, donde cualquier actor malicioso puede arriesgarse y tratar de encontrar vulnerabilidades en las funcionalidades y mecanismos de seguridad. Podría parecer que conectar un objeto a Internet representa un riesgo limitado porque entonces se pierde en un mar de direcciones IP. Pero existen herramientas, como Shodan (https://www.shodan.io), creado en 2009, capaces de localizar y buscar ordenadores, equipos y objetos conectados a Internet. Se alimentan de robots que buscan sin descanso cada una de las cuatro mil millones de direcciones IP públicas (en la versión 4). No indexan los sitios web y su contenido como hacen Google o Bing, sino que se interesan por las interfaces de red de bajo nivel, los puertos TCP y UDP que pueden utilizarse para interactuar con los servidores y objetos correspondientes a las direcciones IP. Para cada dirección, Shodan identifica qué puertos...

1. La casa conectada

La promesa de la casa conectada es hacer la vida más fácil a sus ocupantes, reducir el tiempo dedicado a las tareas domésticas, optimizar el consumo de energía y disfrutar de un ocio de mayor calidad. Cientos de millones de casas y pisos de todo el mundo están equipados con dispositivos conectados, y ya no es raro encontrar hogares en los que decenas de aparatos están conectados a la red Wi-Fi. Se trata de un entorno que suele construirse poco a poco, ensamblando dispositivos de distintos fabricantes y utilizando diferentes tecnologías y protocolos de comunicación. A excepción de algunas arquitecturas puestas en marcha por fabricantes o proveedores de servicios con fines de investigación o demostración, los hogares conectados no se benefician de un enfoque global de diseño e integración que ofrezca una visión completa y a largo plazo de las funcionalidades, la adhesión, las limitaciones y los riesgos. Además, a diferencia de otros casos de uso de objetos conectados, como la industria, el hogar conectado no cuenta con un administrador profesional de sistemas y redes. A menudo, un miembro de la familia entusiasta y early adopter es el impulsor de la introducción de objetos conectados en el hogar, y se encarga de instalarlos y gestionarlos. Sin embargo, no todos los hogares disponen de alguien con los conocimientos y el tiempo necesarios para comprender plenamente los riesgos asociados al uso de objetos conectados, configurar correctamente estos dispositivos, supervisar su funcionamiento y mantenerlos seguros.

2. Espionaje a través del sonido y la imagen

El hogar conectado es un lugar en el que están surgiendo nuevos riesgos para la seguridad y la privacidad de los residentes, a pesar de ser el más íntimo de los lugares. Existen múltiples canales a través de los cuales se pueden recopilar datos sobre los habitantes del hogar, por fabricantes o editores deshonestos o por atacantes que han tomado el control del objeto conectado directamente a través de la aplicación móvil o el sitio web de gestión.

El hogar conectado contiene muy a menudo micrófonos para permitir la interacción por voz con los objetos. Hay tres categorías de objetos que pueden controlarse por voz. En el primer tipo, como...

1. Wearables

Los dispositivos conectados que se llevan en la muñeca o en el bolsillo constituyen una categoría especial, que genera riesgos específicos. Puede tratarse de teléfonos, relojes conectados o pulseras para hacer un seguimiento de la actividad física (fitness tracker). Estos dispositivos se llevan durante el día, pero a veces también por la noche. Miden los trayectos realizados, las distancias recorridas, el número de pasos dados, los pisos subidos o las calorías consumidas, la duración y la intensidad del ejercicio físico, los periodos y la calidad del sueño, etcétera. Los datos recogidos se sincronizan con el teléfono del usuario y se envían a servidores, donde se almacenan, consolidan, analizan y comparan. Los usuarios de estos dispositivos pueden así controlar su actividad, comprobar que han alcanzado los objetivos fijados, por ejemplo el número de pasos diarios, evaluar sus progresos y, eventualmente, compartir datos, como su rendimiento deportivo, con amigos y familiares.

Los acelerómetros y los giroscopios figuran entre los principales sensores utilizados en los dispositivos portátiles conectados. Un acelerómetro mide la aceleración lineal debida a los movimientos del dispositivo y, por lo tanto, de la persona sobre la que se coloca. Un giroscopio mide las variaciones en la orientación del objeto a lo largo de los tres ejes (transversal, horizontal y longitudinal). Estos sensores que se encuentran en los objetos conectados son capaces de realizar mediciones precisas. En particular, pueden detectar los movimientos característicos de los pasos y, por lo tanto, contar los pasos dados por el usuario. Se trata de sensores invisibles, de cuya existencia muchos usuarios de objetos conectados ni siquiera son conscientes. Algunas pulseras de seguimiento de la actividad o relojes conectados también están equipados con sensores especiales para medir la frecuencia cardíaca, la presión arterial, la temperatura o el nivel de oxígeno en sangre del usuario. Los dispositivos lanzados recientemente incorporan sensores capaces de medir la actividad eléctrica biológica registrada en la superficie de la piel, que está vinculada al funcionamiento de las glándulas sudoríparas y puede dar indicios del estado...

1. Objetos geolocalizables

En la noche del 1 de septiembre de 1983, al oeste de la isla de Sajalín, aviones de combate soviéticos derribaron un Boeing 747 de Korean Air Lines. El avión, que debía volar de Nueva York a Seúl, se había desviado de su ruta y había entrado inadvertidamente en el espacio aéreo soviético. El avión se estrelló en el mar, matando a los 269 pasajeros y a la tripulación. La tragedia provocó la indignación de los gobiernos y la opinión pública de todo el mundo. La investigación demostró que el Boeing 747 no había seguido su plan de vuelo debido a un problema en el funcionamiento de los distintos sistemas de guiado, basados en radiobalizas y una plataforma de navegación inercial.

Quince días después, el portavoz de la Casa Blanca anunció que el presidente Ronald Reagan había decidido permitir que los aviones civiles utilizaran el Sistema de Posicionamiento Global (GPS, Global Positioning System) para evitar que se repitiera una tragedia similar. El GPS empezó a desarrollarse en 1973 por el Departamento de Defensa de Estados Unidos. Se basa en el uso de varios satélites equipados con relojes atómicos extremadamente precisos y que emiten ondas de radio hacia tierra. Un receptor terrestre que reciba señales de al menos tres de estos satélites puede calcular su posición en términos de latitud y longitud con una precisión de unas decenas de metros. Los primeros satélites GPS se lanzaron en 1978.

En 1990, el GPS era lo suficientemente eficaz como para ser utilizado por las tropas estadounidenses en la primera Guerra del Golfo. En 1993, el sistema se declaró plenamente operativo, con veinticuatro satélites en órbita. En el año 2000, se desactivó el mecanismo que degradaba deliberadamente la precisión de la señal GPS para usuarios distintos de las fuerzas armadas estadounidenses. Las señales GPS también se utilizan ampliamente para obtener información horaria de gran precisión.

Tras el GPS, rusos, chinos y europeos lanzaron GLONASS, Beidou y Galileo, respectivamente. Receptores que cuestan unos pocos dólares son capaces de determinar una posición con una precisión...

1. Ataques ciberfísicos

Si los sensores son los ojos, las orejas, la lengua y la nariz de un objeto conectado, los actuadores son sus manos, pies, brazos o piernas. Permiten al objeto actuar sobre sí mismo y sobre el mundo físico. Un objeto conectado puede contener actuadores como motores eléctricos para moverse a sí mismo o a determinadas partes de él, altavoces para producir sonido, una pantalla para mostrar imágenes o texto, LED para emitir luz, etc. Puede utilizar actuadores para controlar dispositivos mecánicos, eléctricos, neumáticos o hidráulicos, como cerraduras, termostatos, válvulas o bombas.

De este modo, el objeto conectado puede provocar y controlar un movimiento lineal o giratorio, un flujo de fluido, una corriente eléctrica o un campo magnético. Esta acción sobre el mundo físico puede ser llevada a cabo por un objeto conectado que actúa de forma autónoma bajo el control de instrucciones u objetivos preestablecidos, en función de los datos suministrados por sus sensores, o bajo la supervisión directa de un operador remoto.

La capacidad de los objetos conectados para actuar sobre su entorno está abriendo un nuevo mundo de riesgos denominados ciberfísicos. En las TI tradicionales, formadas por ordenadores personales, servidores, bases de datos, archivos, correos electrónicos y aplicaciones empresariales, pueden producirse incidentes, pero el mayor riesgo es la pérdida de datos. Los atacantes que han conseguido tomar el control de objetos pueden, a través de actuadores, causar daños en el mundo físico, aprovechando múltiples fenómenos, en particular los ligados a diferentes formas de energía. El término efecto cinético se utiliza a veces para describir las consecuencias de estos ataques.

El 4 de marzo de 2007, investigadores del laboratorio estadounidense Idaho National Laboratory llevaron a cabo un experimento denominado Aurora Generator Test con un generador eléctrico diésel de 2,25 MW de potencia y 27 toneladas de masa. Modificaron el programa que controlaba el relé de protección, un dispositivo de seguridad que garantizaba que la corriente eléctrica enviada por el equipo a la red estaba a la frecuencia correcta de 60 hercios. El cambio implicaba treinta...

1. Marcapasos y desfibriladores implantados

Algunos dispositivos médicos se implantan en el cuerpo de los pacientes para tratar diversas patologías. Decenas de millones de personas en todo el mundo llevan implantados marcapasos y desfibriladores. Estos dispositivos se colocan en la cavidad torácica y contienen sensores que miden el ritmo cardíaco y actuadores capaces de aplicar descargas eléctricas. Estos dispositivos se comunican por ondas de radio con los equipos de configuración utilizados por los médicos y, en algunos casos, con dispositivos de monitorización situados en los domicilios de los pacientes, que pueden ser consultados por los médicos a través de conexiones a Internet.

Un primer estudio académico [71] publicado en enero de 2008 analizó las amenazas para los dispositivos médicos implantables que transmiten datos por ondas de radio. Describió los principales escenarios teóricos de riesgo: identificación remota del objeto y del paciente, recuperación de datos médicos, incluidos diagnóstico y terapia, modificación de la configuración del dispositivo, generación de descargas eléctricas potencialmente mortales y agotamiento prematuro de la batería.

En mayo de 2008, un artículo [72] publicado por el mismo equipo describía con más detalle los ataques a marcapasos y desfibriladores implantados. Mediante ondas de radio, un atacante podría, en determinados modelos, dar órdenes para modificar la configuración del dispositivo, incluidos comportamientos programados en función de la frecuencia cardíaca del portador, o administrar una descarga eléctrica que podría matar al paciente. También es posible identificar que una persona está equipada con un dispositivo de este tipo, o hacer que la batería del aparato se agote prematuramente y lo apague. Este estudio tuvo cierta repercusión, y el New York Times publicó un artículo sobre el tema. Los guionistas de la serie Homeland se inspiraron en él para escribir el episodio 10 de la segunda temporada, titulado Corazones rotos y emitido en diciembre de 2012, en el que se asesinaba al vicepresidente de Estados Unidos mediante un ataque a su desfibrilador implantado. En octubre de 2013, el exvicepresidente...

1. Coches conectados

Hay objetos conectados que llevamos puestos, pero hay otros que nos transportan. Los vehículos conectados e incluso autónomos, de los que los coches son el principal miembro de la familia, están cada vez más presentes en nuestras vidas.

Un coche moderno puede describirse como un ordenador con ruedas, o más exactamente, como una red de ordenadores con ruedas. Las ECU (Electronic Control Unit, Unidad de Control Electrónico) son unidades especializadas encargadas de controlar los diversos componentes mecánicos y eléctricos del vehículo. Pueden recoger mediciones de decenas de sensores del coche, como la velocidad instantánea, la aceleración, la posición de los amortiguadores, la velocidad de rotación de las ruedas, la presión de los neumáticos, la luminosidad, la geolocalización y la detección de obstáculos delante o detrás del vehículo, mediante cámaras, radares, sonares o láseres. Pueden tener en cuenta las órdenes del conductor a través del volante, los pedales, la palanca de cambios, los botones e interruptores del salpicadero o la pantalla táctil. A partir de estos datos y estas órdenes, pueden enviar comandos a los actuadores vinculados a la dirección, el acelerador, los frenos, la suspensión, las puertas, el maletero, las ventanillas, los faros, los limpiaparabrisas, el aire acondicionado, etc. Por último, pueden controlar la información que aparece en el salpicadero, como la velocidad, el régimen del motor, el nivel de combustible o la carga de la batería. Gracias a este equipamiento, los coches pueden ofrecer funciones avanzadas de asistencia (control de crucero, ayuda al aparcamiento, guiado GPS, cámara de marcha atrás y detección de señales de tráfico), seguridad (detección de obstáculos, prevención de colisiones, frenado de emergencia, vigilancia del ángulo muerto, sistema antibloqueo de frenos, advertencia de salida del carril, pretensor del cinturón de seguridad, airbag y antirrobo) y confort (aire acondicionado, reproductor multimedia y posición del asiento).

Las ECU están conectadas entre sí mediante redes informáticas por las que circulan las mediciones de los sensores...

1. Grandes cantidades de sensores observan el mundo

Con el auge de los objetos conectados, el planeta está cubierto de decenas, incluso cientos de miles de millones de ojos y oídos. Estas gigantescas cantidades de sensores son capaces de ver, oír y medir el mundo que les rodea. Pueden recoger múltiples magnitudes físicas. A continuación, estas mediciones analógicas se digitalizan para ser analizadas y utilizadas por el propio objeto conectado, por el fabricante o por terceros.

Libros e informes llevan años alertando de la cantidad de información que proporcionamos a los operadores de las principales redes sociales a partir de los contenidos que publicamos, retransmitimos o les damos me gusta. Estos datos les permiten elaborar perfiles precisos (sexo, edad, ingresos, profesión, nivel de estudios, lugar de residencia, composición del hogar, incluso opiniones políticas, orientación sexual, religión, etc.) que enamoran a la publicidad dirigida. Es probable que los datos recogidos por los objetos conectados multipliquen esta elaboración de perfiles y la hagan aún más invisible. Con miles de millones de objetos conectados en funcionamiento, una sola persona puede ser captada por decenas, cientos o miles de objetos conectados en el transcurso de un día. Algunos están teóricamente bajo nuestro control, como nuestros teléfonos, los objetos de nuestros hogares o nuestros vehículos conectados. Puede que no los utilicemos o que los detengamos temporalmente, pero los sensores de estos objetos suelen estar constantemente activos. No tenemos una visión exhaustiva de todos los sensores integrados en nuestros objetos conectados y es posible olvidar su presencia. Otros objetos conectados no están bajo nuestro control. Es el caso de los objetos que componen la ciudad inteligente, ya sean edificios o viviendas conectados, cámaras de vigilancia del ayuntamiento o de los vecinos, o vehículos conectados...

1. Ataques a servidores

Un atacante que quiera acceder o tomar el control de los datos recogidos por objetos conectados puede seguir dos estrategias. Puede dirigirse directamente a cada objeto conectado (lo que puede resultar un poco tedioso), o puede dirigirse a los servidores con los que se comunican los objetos y tomar el control de todos los objetos procesados por estos servidores, así como de los datos enviados por estos objetos.

Hablando en una conferencia en julio de 2017, Elon Musk reveló que una de sus principales preocupaciones era que un atacante consiguiera entrar en los servidores de Tesla y tomar el control de toda la flota de vehículos en funcionamiento. Este escenario no es del todo abstracto. Hace unos meses, un miembro de la comunidad de propietarios de coches Tesla descubrió una vulnerabilidad en uno de los servidores de la compañía. Gracias a esta vulnerabilidad, pudo acceder a los datos de cualquier Tesla en circulación, incluyendo su posición, velocidad y nivel de carga. También habría podido enviar órdenes a los vehículos, en particular activar la función Summon, que permite ordenar al coche que se desplace unas decenas de metros, por ejemplo para salir de un garaje. Afortunadamente, la persona que descubrió este fallo lo comunicó inmediatamente a Tesla, lo que le valió una recompensa de 50.000 dólares.

Esta amenaza de acceso a servidores se materializó cuando, en marzo de 2021, un grupo de activistas consiguió penetrar en los sistemas de la empresa Verkada, que vende cámaras de seguridad conectadas, a través de un servidor vulnerable expuesto en Internet. De este modo, pudieron acceder a los vídeos de varios miles de cámaras instaladas en los domicilios de decenas de clientes. El grupo publicó en Twitter varias capturas de pantalla que mostraban el interior de una prisión, una fábrica y la sala de un hospital.

2. Riesgos relacionados con la disponibilidad de los servidores

Otro riesgo ligado a los servidores que comunican y en algunos casos controlan los objetos conectados es que estos objetos dejen de funcionar o no puedan controlarse cuando los servidores no estén disponibles. Cuando los proveedores de servicios en la nube sufren incidentes, aparecen en las redes sociales mensajes de usuarios...

1. Analizar los riesgos

Debido a sus múltiples capacidades para percibir el mundo físico y actuar sobre él, comunicarse a través de redes y ejecutar código, es probable que los objetos conectados den lugar a muchos riesgos nuevos, complejos, discretos e inesperados. Los objetos conectados requieren, por lo tanto, un enfoque sistemático y detallado del análisis de riesgos, desde el lanzamiento de los proyectos de diseño de objetos conectados o de integración de objetos conectados en un proceso, y en el momento de cualquier cambio significativo.

El análisis de riesgos es una disciplina que se practica desde hace décadas en los sectores industriales que gestionan la vida humana. Las empresas que operan en los sectores de la energía, el transporte o la química, así como sus proveedores, están acostumbradas a realizar análisis de sus instalaciones industriales, con el fin de identificar y evaluar los riesgos que podrían repercutir en la seguridad de las personas y los bienes. Se utilizan metodologías específicas, como el FTA (Fault Tree Analysis), el FMEA (Failure Modes and Effects Analysis) o el HAZOP (Hazard and Operability Analysis), para identificar los riesgos vinculados principalmente a sucesos no intencionados, como las averías. El análisis de riesgos también se utiliza desde hace unos treinta años en el ámbito de la seguridad de los sistemas de información, con enfoques como EBIOS, que ponen de relieve los riesgos de pérdida de confidencialidad, integridad o disponibilidad de los datos como consecuencia de acciones malintencionadas. Estas dos familias de metodologías aún no han convergido plenamente. La investigación continúa, pero los primeros métodos de análisis de riesgos ciberfísicos, como Cyber PHA o Cyber-APR, son bastante recientes.

Los análisis de riesgos de los objetos conectados deben tener en cuenta tanto los aspectos...