Un día como cualquier otro, Danielle, una vecina de Portland, estaba con su marido en casa. Hablaban sobre suelos de madera. Lo que podría haber sido una charla frecuente, dejó de serlo en el momento en que un compañero de su pareja le alertó de que había recibido un mensaje con dicha conversación. "Desconectad vuestros dispositivos de Alexa ahora", le advirtió. Tras esto, Danielle verificó que su altavoz Echo de Amazon, que incorpora el asistente virtual Alexa, les había "espiado" y había mandado el fichero a uno de sus contactos. "Me sentí invadida", reconocía en una entrevista.
Los asistentes virtuales como Alexa son capaces de reconocer la voz de sus dueños para percibir órdenes como "apaga la luz", "baja la temperatura" o "activa la lista de música". En la actualidad es posible supervisar un hogar sencillamente hablando a estos altavoces, basados en inteligencia artificial. El inconveniente viene cuando estos son hackeados y fallan. Según la compañía, en el caso de Danielle seguramente se generó algún fallo y el altavoz comprendió que debía grabar y mandar esa charla.
Por lo general, dispositivos como estos asistentes se han introducido en las residencias y las han transformado en hogares inteligentes. Según la encargada de marketing de la compañía de domótica Loxone, Meritxell Esquius, son ya el presente. Se componen eminentemente por "robots" que conocen perfectamente los hábitos de sus inquilinos: desde estos altavoces que funcionan como centros multimedia hasta cerraduras que conocen en qué momento deben bloquear de forma automática los accesos, pasando por neveras que saben en qué momento deben hacer la adquisición.
"La ventaja de estos dispositivos es que aportan una enorme comodidad", asegura María Ávila, responsable de marketing de Becheckin, una compañía que ofrece soluciones para abrir puertas con el móvil. Además de esto, según ella, en un largo plazo las herramientas inteligentes proporcionan un mayor ahorro y eficacia energética en el hogar. No obstante, para conseguir este confort, es preciso conocer de qué manera funcionan y, sobre todo, asegurarse de que son seguros. ¿De qué manera manejan la información de los usuarios? ¿Dónde se guardan estos datos? ¿De qué forma evitar la actuación de los ciberdelincuentes?
Residencias conectadas
El funcionamiento de estos dispositivos va mucho más allá de la domótica, que automatiza el funcionamiento de una residencia (subir o bajar persianas, supervisar las luces o activar alarmas). Tras estos nuevos gadgets está el Internet de las Cosas (IoT, por sus iniciales en inglés). Con esta tecnología, los objetos están conectados entre sí por la red (a través de wi-fi, bluetooth, satélite, códigos RFID, tarjetas SIM o bandas de baja frecuencia).
Esta conexión les deja compartir información y comunicarse con el inquilino. Compendian datos sobre la residencia mediante los sensores que llevan incorporados, los examinan a través de técnicas de big data y ofrecen servicios en función de las necesidades de los dueños. Por ejemplo, si una casa tiene el aire acondicionado puesto y se abre una ventana, la residencia advertirá que entra calor de fuera. Antes de que el inquilino se dé cuenta de ello, regulará la temperatura o detendrá el sistema para no desperdiciar la energía. Además de esto, informará al dueño de este episodio. Le puede enviar un mensaje por medio de los altavoces del hogar, hacerle una señal apagando y encendiendo luces o mandarle una notificación al móvil.
Desde el think tank europeo IDATE DigiWorld se predice que el mercado del IoT seguirá creciendo en el futuro próximo. Según los datos del instituto, en 2017 había en torno a 11.200 millones de dispositivos conectados en el mundo entero. Esperan que se siga con un aumento anual del 10%, de forma que en 2030 habría en torno a 35.000 millones de unidades.
El reto ahora es que la carencia de seguridad no se transforme en un freno para este desarrollo, en tanto que, como explica Chris Doran, investigador de la compañía de componentes para dispositivos inteligentes ARM, el IoT se sigue percibiendo como algo inseguro. Estar conectados a internet y guardar la información de sus usuarios en la nube les hace estar en el punto de atención de los ciberdelincuentes.
"Principalmente, esta inseguridad se debe a que los fabricantes no acostumbran a seguir las vulnerabilidades del dispositivo y, en consecuencia, no efectúan actualizaciones. De forma frecuente, cuando se desarrollan estos aparatos, solo valoran el diseño y la ciberseguridad pasa a un segundo plano. Se concibe como algo incómodo que retrasa el lanzamiento del producto. Sería ideal que existiera una regulación, por ejemplo, para hacer un mínimo de actualizaciones cada cierto tiempo", opina el encargado de concienciación de ESET España, Josep Albors.
Según Albors, es vital conocer las consecuencias de estos ataques para proteger bien estos servicios. "Lo más frecuente es el rapto de información. Los ciberdelincuentes acceden a datos privados de los usuarios y les fuerzan a abonar una cantidad de dinero para que puedan utilizar el dispositivo. Otro de los mayores riesgos es ser víctima de los botnets (redes de robots que infectan los dispositivos y los controlan de forma recóndita). De este modo lo hizo la botnet Mirai, que bloqueó el empleo del IoT en la Costa Este de Estados Unidos y paralizó sitios como Airbnb, Netflix o Paypal".
Privacidad a salvo
"Para garantizar la seguridad, hay que tener en consideración dos aspectos cruciales: la protección y la administración conveniente de los datos", mantiene Meritxell Esquius. Si bien se trata de un tema frágil, no debe cundir el miedo y existen diferentes fórmulas a fin de que las compañías resguarden sus soluciones de IoT.
Por coger un ejemplo, los servicios de Loxone trabajan con un Miniserver en el que se alojan los datos de los usuarios. "Los dispositivos se comunican por medio de una red local y no deben conectarse a internet", explica Esquius. Añade que la información de acceso a sus aplicaciones está cifrada de forma parecida a como lo están las cuentas corrientes y cada instalación tiene su encriptación. Por su lado, María Ávila comenta que desde Becheckin dejan abrir y cerrar puertas con el móvil y para resguardar el sistema emplean un procedimiento de doble encriptamiento del bluetooth.
Pese a todo, garantizar la seguridad es realmente difícil. "Aunque el dispositivo se infecte, sí se pueden frenar las actividades maliciosas de los piratas informáticos", comenta Albors. Por ejemplo, "las compañías pueden incorporar un sistema de defensa que filtre las conexiones antes que llegue al router. Sirve para identificar si las conexiones son lícitas o si se está generando un intento de ataque". "De producirse alguna alarma, debe hacérselo saber al usuario", agrega.
Si bien estas labores corresponden más a los fabricantes y empresas de seguridad los usuarios no deben despreocuparse. "La mayor parte de la gente no se interesa por conocer estos detalles cuando adquiere un producto. Es suficiente con buscar el modelo del aparato, así como la palabra "vulnerabilidad" en Google para conocer si ha habido algún caso de hackeo reciente. Si el fabricante ha contestado, quiere decir que se preocupa. También existen soluciones familiares que controlan el empleo de los aparatos y deja a los usuarios conocer de qué manera están funcionando", opina Albors.
Según el especialista, hasta el momento las compañías han eludido tratar la seguridad pues "parece que da mala fama a los dispositivos". Pero según el especialista, se trata de todo lo opuesto. Ayuda a aportar mayor concienciación para utilizar IoT de forma conveniente. Evaluar qué aparatos se van a necesitar, de qué forma se van a incorporar y de qué forma se resguardarán son tres pasos que pueden llevar a cabo los usuarios para asegurar sus hogares. De esta manera contribuirán a que sean realmente inteligentes. La realidad es que la protección ya no depende solo de que haya un vigilante en la puerta de las edificaciones, también es clave adelantarse a los ladrones 2.0.
Alba Casilda. Opinno, editora de MIT Technology Review en español