Por Kathleen Carroll, vicepresidenta de asuntos corporativos, HID Global

En el mundo interconectado de hoy día, la Internet de los Objetos (IoT) es una promesa de nuevas oportunidades para que los consumidores y los negocios mejoren en productividad y calidad de vida. Al mismo tiempo la IoT abre las puertas a nuevas amenazas contra la privacidad de la información.

La visión que existía en el pasado sobre una supercarretera de la información se ha convertido en realidad. Lamentablemente, esa supercarretera está creando una serie de rampas de entrada relacionadas con la IoT que pueden ser usadas por los ciberdelincuentes como vectores de ataque para cometer fraude y robo de identidad.

La IoT permite que los dispositivos electrónicos se conecten y comuniquen por vía inalámbrica, combinando Internet y el mundo físico en una nueva y compleja matriz de sistemas ciberfísicos. Esta red de objetos físicos conectados, embebidos en la electrónica, el software y los sensores, está adentrándose en nuestras vidas cotidianas, controlando la automatización del hogar y los sistemas de seguridad, conectando nuestros coches, así como mejorando y gestionando servicios municipales en las ciudades inteligentes.

En un mundo en que potencialmente todo puede ser conectado, los riesgos se multiplican exponencialmente. Las protecciones de la privacidad deben ser tan importantes como las garantías de seguridad, y proteger la información personal debe ser una de las áreas más importantes que se abordan en el diseño, implementación y ciclo de vida de cada uno de los dispositivos, servicios, aplicaciones y sistemas interconectados.

La presión sobre la identidad

Las mayores amenazas actuales a la privacidad se han asociado generalmente con la información personal identificable (PII), que está en el centro mismo de la identidad. Hoy en día, muchas compañías en la industria de seguridad se basan en las identidades como el núcleo de una estrategia de seguridad multinivel para autenticar y autorizar el acceso de los usuarios a los edificios, servicios y sistemas informáticos. A medida que la Internet de los Objetos evoluciona, la identidad se va expandiendo más allá de las personas y su PII hacia los objetos y su autenticidad. Además, los sensores utilizados en IoT a menudo recogen lo que algunos consideran PII y esos datos merecen protecciones de seguridad y privacidad también.

Los sensores, tales como aplicaciones móviles de entrenamiento físico y otros dispositivos vestibles, recogen datos, al igual que los sistemas de automatización y seguridad en el hogar, medidores inteligentes y otros dispositivos. La IoT está estimulando una categoría creciente de productos y servicios al consumidor que están obteniendo información sobre la métrica de salud, los recorridos y los hábitos del dueño de la casa, lo que crea vulnerabilidades no solo en el ciberespacio sino también en el mundo físico.

Los beneficios de la Internet de los Objetos son sustanciales, pero conllevan riesgos. Las compañías eléctricas pueden utilizar datos de uso de medidores inteligentes para recomendar aplicaciones de administración de la energía o alertas a los usuarios sobre un alto consumo que puede ser indicador de un problema pendiente de mantenimiento. Ahora supongamos que un ladrón accede a los mismos datos, que pueden revelar cuándo el dueño de la casa está ausente. Considere además que las instituciones financieras pueden atraer clientes basándose en consumo, salud, viajes, actividades recreativas y otros datos. Pero un proveedor de seguros de salud podría utilizar esos mismos datos para determinar los niveles de cobertura.

“Privacidad por diseño” y la IoT

En enero de 2015, el informe del personal de la Comisión Federal de Comercio recomendó una serie de pasos concretos que los negocios pueden adoptar para mejorar y proteger la privacidad y seguridad del consumidor. Según el informe, los expertos estiman que los resultados de este año arrojarán 25,000 millones de dispositivos conectados, y para el 2020 serán 50,000 millones.

El informe emite una lista sobre los diversos riesgos potenciales de seguridad que presenta la IoT y que pueden ser explotados para dañar a los consumidores. La lista incluye (1) posibilitar el acceso no autorizado y la utilización abusiva de la información; (2) facilitar ataques a otros sistemas; y (3) crear riesgos a la seguridad personal.

El informe observó que los riesgos a la privacidad pueden producirse en el transcurso del tiempo por la recogida de información personal, hábitos, ubicaciones y condiciones físicas.

“La única forma en que la Internet de los Objetos puede alcanzar su pleno potencial para la innovación es teniendo la confianza de los consumidores estadounidenses”, planteó la presidenta de la FTC, Edith Ramirez. “Consideramos que adoptando las mejores prácticas que hemos expuesto, los negocios estarán en mejor capacidad de proporcionarle a los consumidores las protecciones que estos requieren y posibilitar la plena realización de los beneficios de la Internet de los Objetos”.

El nuevo imperativo de privacidad

Es imperativo que la industria abrace los postulados de la FTC, así como un modo de pensar y un enfoque que haga que la privacidad sea proactiva en lugar de reactiva, posicionada en el centro mismo de las soluciones de seguridad y las prácticas comerciales. En marzo de 2015 se emitió una Carta de Derechos del Consumidor a la Privacidad que incluía este mismo concepto de “Privacidad por diseño”, con un enfoque hacia la creación de gestión y protecciones de la privacidad directamente dentro del diseño de los sistemas tecnológicos informáticos, las prácticas comerciales y la infraestructura de una compañía, además de incorporarlas en cada etapa de desarrollo de los productos y servicios.

También es importante apoyar los principios de prácticas justas de información (FIPPs) que incluyen los elementos de notificación, elección, precisión, minimización de datos, seguridad y responsabilidad.

Cuando se trata de la Internet de los Objetos, uno de los principios más importantes es la minimización de datos, que asegura que los sistemas obtengan solamente los datos requeridos y que borren esos datos de manera oportuna. Por ejemplo, cuando se utilizan etiquetas RFID junto con las cámaras y otros dispositivos conectados, con el fin de monitorear y controlar recursos y procesos, existe la posibilidad de que los datos asociados con un objeto conectado se almacenen y utilicen para fines comerciales y de ganancias. Esos datos de IoT pudieran incluir información personal, tal como la ubicación del individuo, sus actividades, fotos o incluso transacciones y mensajes privados.

Para lograr una solución lo más segura posible respecto a la privacidad, las etiquetas RFID no deben obtener o almacenar PII. En los casos en que se requiere PII, los datos deben estar encriptados y debe emplearse la autenticación mutua, asegurando la comunicación entre la etiqueta RFID y el lector.

Aprovechando la tecnología y los estándares

Según el informe de FTC, en esta etapa la legislación específica para IoT sería prematura. La FTC reconoce el potencial para la innovación y sugiere que los programas auto-regulatorios diseñados para determinadas industrias pueden estimular la adopción de prácticas de privacidad y seguridad.

Los coches conectados son un magnífico ejemplo. La industria automovilística está trabajando por aprovechar los estándares existentes, tales como los certificados digitales y la encriptación para asegurar que existan conexiones de confianza y comunicación segura tanto en la red a bordo del vehículo como más allá de la misma.

Más allá de la encriptación y los certificados digitales, hay tecnologías con un gran potencial para la protección de la privacidad, incluyendo la biometría. La biometría va más allá de lo que el usuario tiene y conoce – tarjeta o teléfono y PIN  – hasta características que son únicas en un individuo, tales como huellas digitales o reconocimiento de iris.

La biometría resultará incluso más importante con la creciente confianza en las versiones digitales de nuestra identidad para su uso en tarjetas de identificación, teléfonos y otros dispositivos móviles. Vincular las credenciales digitales a la persona real mediante la biometría, reduce el riesgo de fraude. Capacidades tecnológicas adicionales, tales como la habilidad para distinguir entre huellas digitales vivas y falseadas, refuerzan la seguridad y la privacidad.

Las estrategias de seguridad más efectivas son las multicapa y en muchos casos, multifactorial. Con el rápido crecimiento de la Internet de los Objetos, será de particular importancia que la industria haga de la privacidad un elemento central en el diseño, desarrollo y gestión de sistema. Ese requerimiento ganará en importancia a medida que las redes convencionales se vayan superponiendo de manera creciente con la IoT, añadiendo aplicaciones que presenten oportunidades adicionales para exponer la información personal. La seguridad y la privacidad deben tener un estatus equivalente para que la Internet de los Objetos prospere y entregue los beneficios que promete.