Cerraduras inteligentes que permiten abrir la puerta a distancia.

Asistentes vocales como Alexa conectados con otros objetos de la casa.

Termostatos conectados.

Robots aspiradoras…

Cada vez es más larga la lista de objetos del hogar que ofrecen una versión conectada y prometen una vida más eficiente. Se estima que en 2023 hay unos 17 mil millones de dispositivos del IoT (Internet of Things) en el mundo. Pero cuando adoptamos determinadas tecnologías debemos recordar que siempre se produce un trueque, más allá del precio que pagamos por ellas. Si estás pensando en comprarte un Roomba o remplazar la puerta de tu casa por una inteligente, deberías conocer de antemano el precio real que estarías pagando y los riesgos a los que te expones. 

Para ayudarnos a realizar esta cuenta coste-beneficio y hablar de los riesgos de vivir en hogar cada vez más “smart", en esta edición de OFF entrevistamos a uno de los mayores expertos globales en ciberseguridad: Alejandro Romero, cofundador de Constella Intelligence, (líder mundial en la protección contra riesgos digitales), profesor en Sciences Po y asesor de numerosos gobiernos y empresas como Telefónica Tech. 

VULNERABLES:

Los riesgos de vivir rodeado de objetos conectados

P. ¿Le preocupa a un experto en ciberseguridad como tú la multiplicación de los objetos conectados en los hogares por las vulnerabilidades que suponen?

R. Hay 3 principales fuentes de riesgos que los usuarios quizás no conocen lo suficientemente bien:

1) Los dispositivos conectados, y en especial aquellos que interactúan con los usuarios de forma natural como Alexa, capturan un volumen muy relevante de información personal, la cual podría verse expuesta a terceros en el futuro –si esos dispositivos son hackeados o si por error su información es expuesta.

2) Los dispositivos conectados, si son vulnerados por hackers, permiten tomar el control de una parte de nuestros hogares, es decir, de nuestras vidas.

3) Incluso si los dispositivos conectados son seguros, la realidad es que son gestionados por humanos que pueden ser engañados usando técnicas habituales de phishing, o similares que proporcionen un acceso y control no deseado a esos dispositivos.

Añado que, aunque no seas objeto de un hackeo, las compañías detrás de estos dispositivos pueden utilizar los datos que recaudan para mejorar su perfilado de los usuarios y, a partir de ahí, ofrecerles publicidad aún más personalizada con la intención de influir en sus decisiones.

P. ¿Cómo de fácil es hackear este tipo de objeto inteligente? ¿Ayuda la IA a automatizar y/o escalar este tipo de ataque?

R. Todos los dispositivos y objetos conectados tienen un elemento en común: dependen de software instalado en esos mismos dispositivos o en la nube. Ya sabemos que cualquier tipo de software plantea siempre un desafío de seguridad.

La facilidad o dificultad en hackear un software depende de infinidad de factores, en especial cuando hablamos de miles de millones de dispositivos de múltiples fabricantes y tecnologías. Al mismo tiempo sabemos ya que cualquier software es susceptible de ser hackeado y en eso los dispositivos conectados no son diferentes.

La IA va a definitivamente ayudar a hacerlos más vulnerables – ya puede identificar y proponer cómo atacar software o puede producir su propio código de software para atacar a un dispositivo y ayudar en la orquestación de un ataque.

Escándalos en serie

P. ¿Podemos confiar en la big tech tanto como para dejarles invadir tan profundamente nuestros hogares? 

R. Nos enfrentamos ya, desde hace más de 20 años, a ese problema: hemos aceptado proporcionar grandes volúmenes de datos personales y sensibles a un grupo relativamente pequeño de compañías tecnológicas globales.

“Es más peligroso tener a Alexa encima de la mesa que a un señor observándote cada día en el salón”. Paloma Llaneza (Isabel Rubio, El País, 2019)

Sabemos ya que la auto-regulación, la acción benevolente y voluntaria de estas empresas para gestionar ellas mismas los problemas derivados de su actividad no es suficiente. Es complicado que las compañías condicionen sus resultados económicos con sus propias decisiones de auto-regulación. En muchos casos, por ejemplo, con empresas chinas como TikTok esta posibilidad se descarta directamente por el férreo control que las autoridades chinas ejercen sobre las compañías tecnológicas. 

Quizás no debamos plantear este complejo problemas en términos de confianza, sino desde un ángulo diferente, similar al que están adoptando las autoridades en Europa:

  • ¿Cuáles son las garantías que debemos aportar a los ciudadanos que usan estos servicios? 

  • ¿Qué obligación de reportar sus actividades deben tener estas compañías? 

  • ¿Hasta qué punto son responsables de las consecuencias que se derivan del uso de sus servicios?

P. Aunque los smartphones ya recopilen una cantidad abismal de datos, a nivel de intimidad los smart objects parecen abatir una barrera más que protege nuestra intimidad. ¿Te preocupa también que puedan sentar las bases para generalizar progresivamente un tipo de vigilancia estatal siguiendo el modelo chino/orweliano? 

R. Creo que es importante no pensar que los dispositivos conectados son algo aislado… ¡están conectados! Es decir, se van a integrar en el ecosistema digital en el que ya vivimos y van a producir un efecto de red relevante por su elevado volumen.

Hay ya casos preocupantes donde las grandes compañías tecnológicas han actuado como mediadores entre los ciudadanos y los gobiernos que desean acceder a esos datos. Mi impresión es que estas situaciones van a continuar y debemos valorar hasta qué punto son los ciudadanos realmente conscientes de estos peligros.

Desde el 11-S, especialmente en EEUU pero también en otras democracias, la infraestructura de vigilancia se ha construido gracias a una estrecha colaboración entre las grandes empresas tecnológicas y el Estado. Si quieres leer más sobre esto, en Anestesiados (capítulo 4) analizo los distintos pasos que han llevado el gran aparato de control de los ciudadanos hasta extremos que no sospechamos. 

P. ¿Qué puedo hacer a nivel personal? ¿Realmente se compensan los riesgos de estos dispositivos con la comodidad que pueden brindar? ¿Te parece razonable la recomendación de no conectar las infraestructuras básicas de tu hogar –a menos que sea imprescindible? 

R. No estoy seguro de que podamos, simplemente con nuestra decisión personal, gestionar estos riesgos. Pensemos que nuestro vecino podría instalar un timbre inteligente con cámara y micrófono que va a vulnerar nuestra intimidad de igual forma.

Pero sí es posible también gestionar, como en todo riesgo, el uso de estas tecnologías, por ejemplo: 

  • Aislando nuestra red doméstica de otras redes (configurando una red wifi de invitados para los dispositivos domésticos IoT)  

  • Forzando a que todos los dispositivos y teléfonos inteligentes estén protegidos con contraseña (Contraseñas seguras que sean difíciles de descifrar y, sobre todo, no usando contraseñas que sean fáciles de adivinar).

  • Cambiando el nombre de usuario y la contraseña predeterminados en el router. Utilizar siempre la autenticación WPA para crear una red segura. 

  • Usar firewalls en cualquier ordenador y router. La mayoría de los routers tienen un firewall integrado en su hardware, pero primero debe ser habilitado por el usuario. 

  • Siempre ejecutar los parches y actualizaciones de seguridad y mantener nuestro software actualizado. El software obsoleto tiene vulnerabilidades que son fáciles de explotar para los piratas informáticos.

Estoy de acuerdo con Alejandro en que no todo lo podemos solucionar a nivel individual, pero sus recomendaciones muestran que no por ello tenemos que bajar la guardia e incluso tenemos el deber de actuar para protegernos. Así que quizás la primera pregunta que nos debamos hacer es: ¿Realmente quiero entregar mi intimidad, una cantidad de datos y las llaves de mi casa a corporaciones que las podrán explotar a cambio de un poco de comodidad?

P. A nivel de regulación, ¿recomiendas algo específico en relación con los objetos conectados en el hogar o crees que podemos apoyarnos en el arsenal legislativo más general que se está desarrollando?  

R. El Digital Markets Act (DMA) de la Unión Europea es probablemente la política digital más avanzada del mundo y tiene como objetivo ampliar el poder de negociación de la UE contra las empresas de plataformas centrales unificando las reglas de la economía digital de los Estados miembros y llevando a cabo investigaciones de mercado a nivel de la UE que pueden conducir a sanciones por comportamiento no conforme. Todavía está por verse si la Comisión Europea podrá hacer cumplir esta Ley. 

A principios de 2022, la Comisión Europea publicó los resultados de su investigación del sector de la competencia sobre el Internet de las cosas (IoT) y señaló preocupaciones muy similares a las que hemos venido comentando hasta ahora. Un factor importante que debemos tener en cuenta en relación con la regulación es su impacto en la innovación, es decir, si restringimos con regulaciones excesivamente fuertes a las compañías podemos impactar de forma no controlada en su capacidad de innovar.

Como consumidor me gustaría mucho poder entender de forma sencilla y amigable en todo momento:

  • qué datos se están almacenando;

  • dónde geográficamente se están almacenando;

  • para qué se están usando, si se están cediendo a terceros ;

  • hasta qué punto el dispositivo inteligente está siendo o ha sido atacado en algún momento. 

Todo lo anterior es técnicamente posible, y en gran medida muchos de estos puntos son o van a ser cubiertos por la legislación, si bien, para el usuario medio, creo que aún no es sencillo acceder y entender en su totalidad esta información. 

OFF #10 | La newsletter para retomar el control

Septiembre 2023

Los riesgos de vivir en un hogar "smart"

Suscríbete a OFF, la newsletter para retomar el control.

Una vez al mes, propongo una reflexión sobre una faceta específica de la influencia de la tecnología digital en nuestras vidas para ayudar a entender mejor la transformación acelerada de nuestro día a día.

¿Te ha interesado?