21 de octubre de 2016. Dyn DNS, empresa proveedora de servicios de internet, es víctima de un ataque en el que fueron utilizados dispositivos IoT (Internet de las Cosas). Según los expertos, éste pasa por ser el primer ciberataque vinculado al Internet de las Cosas. Resultado, clientes de la talla de PayPal, Twitter, GitHub, Amazon, Netflix o Spotify vieron afectados e interrumpidos sus servicios. Tipología de ataque, DDoS. Impacto, global.
La irrupción del IoT (Internet de las Cosas) implica y está implicando la interconexión de millones de dispositivos a través de la red. Este incremento exponencial aumenta, al mismo tiempo, el número de objetos susceptibles de ser utilizados para lanzar ataques. ¿Cómo cuáles? Termostatos, smartwatches, smartphones, smart TV, tablets, cámaras web, routers, reproductores multimedia, electrodomésticos, marcapasos, juguetes…
En este contexto, los piratas informáticos pueden controlar una lista infinita de dispositivos conectados además de las redes informáticas. ¿Cuáles son las normas relacionadas con la seguridad relativas al IoT?
En la actualidad no hay una única norma relativa a todas las “cosas” conectadas a internet. Por ejemplo, las Smart Cities están siendo normalizadas en España por AENOR en su Estrategia de Normalización para las Ciudades Inteligentes. Este corpus regulatorio incluye 13 proyectos de normas técnicas que buscan impulsar el desarrollo de Smart Cities, bajo el comité AEN/CTN 178.
La Unión Internacional de Telecomunicaciones (UIT-T), organización creada en el año 2006, tiene como uno de sus objetivos elaborar una definición y descripción general de la IoT y, además, preparar un plan de trabajo que servirá para establecer un programa de normalización de la IoT a escala mundial.
La decimosexta edición del tradicional informe anual Tendencias en las Reformas de Telecomunicaciones de la UIT-T, bajo el tema "Incentivos regulatorios para lograr oportunidades digitales", explora cómo deben los reguladores abordar el IoT, la interoperabilidad en el ecosistema digital y la regulación inteligente para facilitar la captación y difusión de m-servicios y aplicaciones. El objetivo final es garantizar una normativa justa con el objeto que los ciudadanos puedan beneficiarse de las oportunidades sociales y económicas que genera la economía digital.
Un año antes, en 2015 la estadounidense Federal Trade Commission analizó los aspectos legales del IoT en un informe. El estudio desgranó algunos de los aspectos regulatorios que la normativa IoT debería contemplar:
- Seguridad: establecimiento de estándares elevados de seguridad que deben implementarse intrínsecamente en los aparatos IoT; uso de proveedores que aseguren niveles de seguridad adecuados; diseño de productos cuyo uso garantice la seguridad; implementación del encriptado para envío de datos; asegurar una actualización sencilla de la configuración de seguridad del producto.
-Protección de datos personales: los productos deben ser diseñados bajo el concepto de privacy by design y desde el principio de proporcionalidad (data minimization). El objetivo es evitar la acumulación masiva de cantidades inncesarias de información personal.
Otros aspectos que debe considerar el IoT es la seguridad de la nube y la gestión del ciclo de vida de la seguridad.