Diseño de la privacidad: ¿es posible crear una casa inteligente segura?

Diseño de la privacidad: ¿es posible crear una casa inteligente segura?

El Internet de las Cosas (IoT) puede ser una red conectada muy conveniente, pero su uso no debe ser a expensas de salvaguardar tu privacidad ni la información personal que los dispositivos conectados recolectan y comparten.

El Internet de las Cosas (IoT) puede ser una red conectada muy conveniente, pero su uso no debe ser a expensas de salvaguardar tu privacidad ni la información personal que los dispositivos conectados recolectan y comparten.

Internet de las Cosas (IoT) representa, para muchos, la posibilidad de conectar dispositivos a la red con el fin de aprovechar una utilidad, como puede ser un termostato, las luces del hogar, un vehículo conectado o juguetes interactivos para nuestros hijos.

Si bien IoT es un invento fantástico y está pensado para facilitar nuestra vida diaria, ¿qué tan seguro es a la hora de proteger nuestra privacidad?

Junto con un equipo de investigadores de ESET investigué algunos de los dispositivos IoT más populares del mercado actual con el fin de crear un “hogar inteligente” básico que imite los objetos conectables que podríamos encontrar en un hogar típico.

Conceptos como interconectividad o el de “hogares inteligentes” ya no forman parte de la trama central de una película de ciencia ficción, sino que se asumen como parte del escenario. En la actualidad, el Internet de las Cosas convirtió a los “hogares inteligentes” no solo en algo alcanzable, sino en muchos casos común.

¿Pero qué tan recomendable es crear tu propio “hogar inteligente”? Muchos problemas pueden llegar a surgir si intentamos crear una vivienda interconectada por nuestros propios medios. Incluso una instalación básica se deberá enfrentar a los desafíos que supone la compatibilidad entre dispositivos de distintos fabricantes; un aspecto que influirá en el correcto funcionamiento y en la calidad de la experiencia.

Compramos una serie de dispositivos IoT que cualquiera que busque una experiencia interconectada en su hogar podría considerar esenciales para la creación de un kit básico. También compramos un asistente personal virtual (dispositivo que interpreta comandos verbales y que permite controlar mediante el uso de la voz varios de los dispositivos comprados).

Privacidad: la principal preocupación

smart home

La principal preocupación era poder lograr construir un “hogar inteligente” que no comprometiera la privacidad.

En ese sentido, existía la inquietud de que los dispositivos del hogar pudieran recopilar datos privados. Por supuesto, entendíamos la necesidad de la mayoría de los dispositivos de recolectar datos personales básicos. Sin embargo, algo que nos preocupó es que encontramos con que frecuentemente las compañías utilizaban el término “pero no limitado a” para referirse a que podrían llegar a recopilar más información de lo que se indicaba en la política de privacidad aplicable.

En total, probamos doce productos de siete proveedores distintos, incluyendo un producto que no incluímos en el reporte final debido a que descubrimos vulnerabilidades significativas. Como empresa de seguridad, valoramos el compromiso por la divulgación responsable y la naturaleza colaborativa de la industria de seguridad informática. Es por eso que nos comunicamos con el fabricante para compartir con ellos datos específicos de las deficiencias que identificamos en el dispositivo y no publicaremos estos detalles hasta que la empresa tenga tiempo de corregirlos.

Si bien cada uno de los dispositivos que probamos presentó algún problema en materia de privacidad, fue el desempeño de los asistentes inteligentes de voz lo que generó mayor preocupación. Esto se debe, entre otras cosas, al temor existente de que los servicios comerciales compartan más información de la necesaria; la insuficiente protección de los datos almacenados, y la posibilidad de que cibercriminales intercepten tráfico digital.

¿Puedes crear un hogar inteligente seguro?

La respuesta es: posiblemente. Ningún programa puede garantizar total seguridad o inmunidad ante potenciales vulnerabilidades. Sin embargo, la cultura de seguridad de una compañía puede juzgarse a partir de su reacción a las vulnerabilidades cuando se dan a conocer. Algunos de los dispositivos probados presentaron vulnerabilidades que fueron resueltas rápidamente con un nuevo software y firmware. Cuando las vulnerabilidades no se solucionan de manera rápida, lo apropiado puede llegar a ser elegir un dispositivo equivalente.  Así que con criterio y precaución, es posible comenzar un “hogar inteligente” básico.

Conclusión

En un principio, el objetivo de este proyecto era crear un “hogar inteligente” básico que imitara algo que podría terminar en un hogar típico. La preocupación de nuestro equipo de investigación era: “¿qué sucede si no encontramos ningún tipo de problema?”. Sin embargo, ese no fue el caso. De hecho, la conclusión que escribí es diferente a como lo había previsto en un primer momento.

El potencial de los datos recopilados por el uso doméstico, la salud e incluso de los navegadores por los proveedores de Internet y el hecho de que estén disponibles para una única entidad es algo que debe permitirse luego de haber considerado las consecuencias.

Una lista completa de los dispositivos analizados acompañado de un desglose técnico de los productos, puede encontrarse en el whitepaper IoT and Privacy by Design in the Smart Home (en inglés, traducción al castellano en curso).

Discusión