Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad.

EL INTERNET DE LAS COSAS Y SUS RIESGOS

PARA LA PRIVACIDAD
González Larín Yeisson Germán
yeisson416@hotmail.com
Universidad Piloto de Colombia

Resumen—El presente artículo tiene como finalidad cuales avanzan y se complementan día a día.
exponer una tendencia que se está tomando el mundo de la Entre las tendencias más novedosas de la
tecnología, la cual se llama Internet de las cosas (o IoT por sus actualidad está el Internet de las cosas, el cual
siglas en inglés “Internet of Things”), así como detallar los
consiste principalmente en la búsqueda de la
principales sectores en los cuales se está desarrollando este
concepto. Se listan las principales tecnologías de interconexión de objetos por medio del internet, ya
comunicación existentes en el mundo, junto con las empresas sea con tecnologías inalámbricas como bluetooth,
que están incursionando en este nuevo ámbito. radiofrecuencia, Wi-Fi y, en algunos dispositivos
Adicionalmente se da una breve explicación de las principales inteligentes, los actuadores o sensores que están
vulnerabilidades y riesgos a los que las personas, sociedades integrados [1].
y/o empresas se pueden ver expuestos al incursionar en el IoT, Cada día es mayor la población que hace uso de
para finalmente terminar con unas sencillas recomendaciones
estas tecnologías para suplir sus necesidades, por lo
del Proyecto Abierto de Seguridad de Aplicaciones Web
(OWASP por sus siglas en inglés, “Open Web Application que ahora es común ver personas monitorear su
Security Project”) para mitigar los riesgos más significativos ritmo cardiaco por medio de pulseras, bombillas
en el IoT. que se apagan solas a ciertas horas o al no detectar
ninguna presencia, personas que encienden su
Índice de Términos—Internet de las Cosas, OWASP, calefacción desde su Smartphone antes de llegar a
riesgos, seguridad informática, tecnología. casa, neveras que informan sí falta algún alimento
y realizan el pedido a tiendas en línea, entre otras.
Abstract—This article aims at exposing a trend that is Es tal el crecimiento de la tecnología IoT, que en
taking the world of technology, which is called Internet of la actualidad se estima que existen cerca de 20.000
Things (IoT), as well as to detail the main sectors in which this millones de dispositivos conectados a Internet que
concept is being developed. It lists the main communication generan diariamente millones de Terabytes de
technologies existing in the world, along with the companies información, de la cual lamentablemente cerca del
that are entering this new field. Additionally, a brief
explanation of the main vulnerabilities and risks that
90% no es utilizada y, según proyecciones para el
individuals, the society and / or companies can be exposed to 2020, la cifra de dispositivos conectados podría
when entering the IoT is given, in order to finally finish with superar los 50.000 millones [2], [3].
some simple recommendations of the Open Web Application
Security Project (OWASP) to mitigate the most significant
risks in IoT.

Keywords—Internet of Things, OWASP, risks, informatic

security, technology.

I. INTRODUCCIÓN
El mundo ha cambiado considerablemente en los
últimos años gracias a la llegada de la tecnología.
En el pasado, actividades como el uso del
Smartphone para conversar por medio de chats con
otras personas o el uso de GPS para revisión del
tráfico, eran cosas impensables, pero en la Fig. 1. Crecimiento del Internet de las cosas. Muestra la
actualidad constituyen acciones cotidianas, las cantidad de dispositivos conectados a Internet por año [3]
Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad. 2

Pero esta revolución tecnológica trajo consigo mejoras o automatización de procesos, ahorros o
grandes desafíos en cuanto a la seguridad disminución de tiempos muertos, mayores
informática, como lo han señalado empresas eficiencias operativas, mejoras en la seguridad,
especializadas en seguridad como Fortinet, cámaras de vigilancia en las calles y/o lugares
Symantec, Eset y Cisco. Aunque todas estas nuevas públicos, ventajas competitivas frente a la
herramientas sean funcionales y estén supliendo competencia, entre otros [5], [6], [7].
ciertas necesidades, no se puede dejar de lado la En campos como la agricultura, en el cual por
seguridad. La importancia de esta afirmación se vio medio del uso de sensores, dispositivos y
reflejada el pasado viernes 21 de octubre del aplicaciones informáticas se puede obtener la
presente año, cuando por medio de tres oleadas de información detallada de los cultivos, el estado del
ataques de denegación de servicio distribuidos suelo y la condiciones climáticas que pueden
DDoS, que, utilizando una red de dispositivos IoT impactar la calidad de los productos, esta
infectados con malware y funcionando como una tecnología trae consigo mejoras significativas en el
botnet, provocaron la caída o lentitud en proceso y cuidados de los cultivos al automatizar el
plataformas como Twitter, Spotify, Reddit, Paypal, riego, protección de las heladas, y son un gran
Pinterest, New York Times, entre otras [4]. insumo para la toma de decisiones en pro de la
reducción de los costos [2]. En otros sectores en los
cuales se están desarrollando proyectos con este
II. INTERNET DE LAS COSAS (IoT) nuevo concepto es en la construcción, debido a que
El Internet de las cosas es un concepto muchos arquitectos y diseñadores están
implementado por Kevin Ashton en el Auto-ID implementándolo para generar valor agregado a sus
Center del MIT (Massachusetts Institute of productos, como casas inteligentes para clientes
Technologies o el Instituto de Tecnología de exclusivos. Éste es el caso de la empresa Bang &
Massachusetts) en 1999, como un sistema basado Olufsen, quienes, por medio del ideal de hacer la
en la interconexión de cualquier objeto de la vida más agradable y sencilla al mismo tiempo,
cotidianidad a Internet, con el fin de generar implementaron el concepto de IoT para que sus
soluciones y lograr la automatización de las tareas clientes desde un sencillo control remoto puedan
del ser humano en diferentes campos, para que sean dar órdenes a su casa, tales como abrir la puerta
manejadas eficientemente por las personas o por principal, encender la calefacción, la música, abrir
otros dispositivos electrónicos. Esto permite la las cortinas, etc.; ellos lo llaman “Lujo sencillo”.
captura e intercambio automático de información [8], [9].
sobre uso y rendimiento, y, por lo tanto, un mayor Adicionalmente a lo anterior, esta empresa no
control sobre las cosas. Este valor agregado de la solo enfoca sus esfuerzos en los dueños de la
tecnología en las tareas cotidianas de las personas vivienda, sino que también identificaron como un
ya se puede evidenciar en el propio hogar, en interesado clave al personal encargado de instalar y
algunos electrodomésticos y pequeños aparatos configurar los sistemas de integración de viviendas.
llamados gadgets, que toman la información de su Para esto emplean tecnología de fácil acceso y uso,
entorno como temperatura, humedad, actividad y la cual se puede adaptar e integrar fácilmente como
otros, para luego enviarlos a un centro de un sistema con la demás tecnología que tenga el
procesamiento que permita determinar la acción a usuario.
seguir en tiempo real. Un ejemplo de esto se ve en Es tal la fuerza que ha tomado el IoT, que ya se
los sistemas de calefacción independientes, alarmas habla de ciudades inteligentes o Smart Cities,
de seguridad que se activan ante movimientos donde se mantiene el concepto de recolección de
sospechosos cerca de la vivienda y vehículos información, pero se lleva a gran escala, para lo
autónomos como los fabricados por la compañía cual, utilizando una gran red de sensores, se puede
Tesla Motors. alterar el comportamiento en tiempo real de
Esto en el sector de la industria puede significar alarmas, semáforos. alcantarillas, alumbrado y en
Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad. 3

teoría cualquier objeto conectado de la ciudad. Una A. Wi-Fi (Wireless Fidelity)

Smart City es la ciudad New Songdo¸ ubicada en Son una serie de especificaciones para redes
una isla frente a la ciudad de Inchon, a 60 locales inalámbricas basadas en el estándar IEEE
kilómetros al oeste de Seúl (Corea del Sur). Esta 802.11. Este tipo de redes realizan la transferencia
ciudad fue creada con el fin de integrar e de datos a través de radiofrecuencia y permiten
interconectar todos los sistemas por medio del conectar dispositivos compatibles que estén
internet, en la cual los computadores, celulares cercanos geográficamente [11].
inteligentes y demás dispositivos de última
tecnología de las personas que habitan el lugar B. Bluetooth
La tecnología inalámbrica Bluetooth es un
están integrados a las viviendas, las calles y las
estándar universal abierto para enlaces de radio de
oficinas, por lo tanto, las personas pueden acceder
baja potencia, hace parte de las redes Wireless
fácilmente a información sin necesidad de estar
Personal Area Network (WPAN) que normalmente
físicamente en el lugar, como por ejemplo sensores abarcan distancias máximo de 10 metros, con un
que controlan la temperatura, sistemas que bajo consumo de energía, lo que la hace muy
succionan la basura directamente desde el hogar y popular para la comunicación de dispositivos peer-
la reciclen de inmediato, el uso de energía, el to-peer [12]. Desde el 2010, este protocolo
tráfico, entre otras. evolucionó a Bluetooth 4.0, mejorando la velocidad
Sin embargo, aunque la idea de vivir en una y el bajo consumo, precisamente pensando en su
“ciudad inteligente” llama la atención de muchas implementación en sistemas donde el uso de
personas en el mundo, menos del 20% de las baterías podía ser un problema. A mediados del
oficinas y establecimientos comerciales están 2016, la compañía fabricante (Bluetooth Special
siendo utilizados, debido a los altos costos que Interest Group, “SIG”) anunció la liberación de su
conlleva el vivir en esta ciudad, lo que ha versión 5 para inicios del 2017 y afirman que ésta
obstaculizado que muchas personas se muden a tendrá el doble de velocidad, mejor rango de
vivir allí [10]. cobertura y 800% mayor capacidad que la versión 4
Otros de los sectores en los cuales este concepto [13].
está cogiendo fuerza es en el de la salud, debido a
que esta tendencia posibilita a que personas de todo C. Telefonía Móvil (1G, 2G, 3G y 4G)
el mundo puedan tener acceso a especialistas sin Comunicación inalámbrica a través de ondas
tener que estar ubicados físicamente en el mismo electromagnéticas. Esta tecnología está formada por
lugar, lo que conllevaría a un servicio médico con una red de comunicaciones compuesta por antenas a
mayor cobertura a nivel mundial. lo largo de la superficie terrestre y de las células
(teléfonos móviles también llamados celulares), que
permiten la comunicación desde casi cualquier lugar
III. TECNOLOGÍAS DE COMUNICACIÓN [14].
Los dispositivos del Internet de las cosas
actualmente continúan utilizando muchos de los D. RFID
protocolos de comunicación tradicionales. Estos Una tecnología que por medio de etiquetas de
protocolos, aunque hoy en día garantizan la identificación Rifad se pueden seleccionar a los
conectividad de los dispositivos, es necesario que dispositivos remotamente por medio de señales de
continúen evolucionando, ya que los cambios y la radiofrecuencia y así almacenar la información,
adaptación a la tecnología son clave en este para luego ser procesada por los sistemas de gestión
mercado tan cambiante. Dependiendo de la [15].
aplicación, rango de cobertura, seguridad, tamaño
de los datos, exigencia de energía y duración de la E. ZigBee
batería, éstas son algunas de las principales Es un estándar desarrollado por la Alianza ZigBee
tecnologías de comunicación utilizadas por el IoT: que define una serie de protocolos para la
implementación de redes inalámbricas de corta
Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad. 4

distancia y baja velocidad de datos. La Dell, Broadcom Corporation, Atmel y Wind

comunicación ZigBee es de muy bajo consumo, lo River. Esta alianza también es de código
que la hace muy atractiva para dispositivos que abierto y se enfoca en temas que no están
dependen de una batería para su funcionamiento abarcados en AllSeen, entre ellos la
[16]. seguridad y acceso remoto. Adicionalmente
ofrece normas de interconectividad para
F. Z-Wave desarrolladores, fabricantes y usuarios
Tecnología inalámbrica ampliamente utilizada en finales.
productos domésticos (domótica). Tiene una
cobertura de 30.5 metros y cada red puede incluir
hasta 232 nodos. IV. EMPRESAS QUE LE APUESTAN AL IoT
Es difícil imaginar tareas que desarrolle el ser
G. 6LowPAN (IPv6 Over Low Power Wireless humano que en algún momento de la historia no
Personal Area Networks) puedan llegar a ser desarrolladas por medio de la
Son una serie de recomendaciones sobre el uso de unión de la ciencia y la tecnología. Hoy en día, por
IPv6 en redes, basadas en el estándar IEEE medio de diversos protocolos y aplicaciones, se
802.15.4. Está enfocado a dispositivos simples y al encuentran más dispositivos conectados a Internet
utilizar IPv6 es el ideal para redes con un gran que seres humanos sobre la tierra, y es que gracias a
número de sensores [17], [18]. la gran masificación del IoT, cada vez son más las
empresas que están adoptando estrategias de
Según la fuente [19], como lo señaló en su mercado de estas tecnologías para su negocio. Éstas
momento Jan Brockmann, Director de operaciones son algunas de las empresas líderes en esta
de Electrolux, sí se desea crear una plataforma tecnología, con sus proyectos más ambiciosos:
universal, ésta solo funcionará si todos se unen. Y  Intel: El mayor fabricante de circuitos
es que, con la amplia gama de protocolos y formas
integrados del mundo ha creado una placa
de comunicación, es necesario que todos los
computacional llamada Intel Joule,
dispositivos hablen el mismo idioma. Ante este
problema han surgido varias alianzas que intentan enfocada a utilizar funciones de visión
imponer un estándar común, las dos alianzas que computacional, robótica, drones,
sobresalen son: microservidores, realidad virtual, entre
 AllSeen Alliance: La asociación de otros, dirigida a desarrolladores y empresas
empresas como Microsoft, Cisco, del ámbito del IoT. Por ejemplo, en una
Qualcomm, Panasonic, LG, Harman, HTC, asociación con la empresa francesa
Sharp, Bosch, Haier y Sony, junto con el PivotHead con el uso de Joule crearon unas
apoyo de Linux Foundation, han creado el gafas de realidad aumentada para mejorar la
estándar basado en software Open Source seguridad en entornos industriales [2].
llamado AllJoyn, que garantiza una  Amazon: Con la idea de que la cloud juegue
interoperabilidad entre los dispositivos de un papel importante para el IoT, creó el
los fabricantes con distintos sistemas servicio AWS IoT que ayuda a desarrollar
operativos. Lo definen como un estándar aplicaciones para conectar dispositivos a
flexible, dinámico, avanzado y compatible, través de la cloud. Al día de hoy, ya se han
que quiere enfocarse en resolver problemas dado a conocer dispositivos de domótica,
de alto nivel. El sistema en un principio fue vehículos y sistemas de salud desarrollados
creado por Qualcomm, pero fue adoptado y a través de este servicio, junto con la unión
mejorado con la contribución de todos los de otras de sus herramientas como S3,
aliados. Kinesis y DinamoDB [20].
 Open Interconnect Consortium: La  Google: La empresa que cuenta con más
conforman empresas como Intel, Samsung, productos enfocados al IoT, entre ellos se
destaca un sistema operativo específico
Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad. 5

para estos dispositivos, basado en Android. dispositivos para que puedan entrar en esta
También ha creado toda una división de tendencia.
desarrollo de esta tecnología llamada X.
Entre sus proyectos más destacados se
encuentran las Google Glass (gafas de V. RIESGOS DEL INTERNET DE LAS
realidad aumentada), un vehículo autónomo COSAS
y una herramienta para ayudar a los Con esta masificación de dispositivos
diabéticos a verificar constantemente sus conectándose a Internet y cada vez con más
niveles de glucosa sin utilizar ningún tecnologías para su comunicación, el controlar las
método intrusivo [2], [21]. vulnerabilidades de estos dispositivos es una tarea
muy dispendiosa y, que muchas veces no se tiene en
 IBM: Con una inversión de 200 millones de
cuenta. Hasta hace unos días, para gran parte de la
dólares para el campo de la computación población era casi imposible que se produjera un
cognitiva, con su proyecto Watson, quieren ataque de denegación de servicio distribuido DDoS,
crear sistemas que comprendan el lenguaje como el que se presentó el viernes 21 de octubre del
natural de las personas, puedan recopilar y presente año, en el cual, por medio de millones de
asimilar grandes cantidades de datos, dispositivos IoT infectados con malware, se logró
responder a preguntas complejas y aprender provocar la caída de varias de las plataformas más
de la experiencia [2]. sofisticadas del mundo e intermitencia en el servicio
 Microsoft: El gigante tecnológico que de internet de más del 30% del mundo [1].
gracias a su plataforma de servicios en la Aunque en los eventos IoT Solutions World
nube Azure ha creado varias soluciones en Congress de los últimos años se ha hecho especial
el ámbito del IoT, entre ellas Azure IoT énfasis en los temas de la seguridad, quedó en
Suite, que permite a las empresas evidencia que muchos de los grandes fabricantes de
monitorear y manejar sus soluciones IoT, la estas tecnologías aún no están tomando el tema con
Azure IoT Hub para gestionar dispositivos el cuidado que se merece o simplemente se les ha
por medio de herramientas de software y salido de las manos. Para agravar un poco más el
nuevas herramientas de enrutamiento de panorama, se suma el aumento significativo de
una forma más potente y sencilla; Windows ciberataques y técnicas de hacking cada vez más
10 IoT Core, un sistema operativo de bajo sofisticadas.
Es innegable que el papel de la seguridad
costo para dispositivos que hacen parte del
informática nunca había tenido tanta importancia,
Internet de las Cosas [22].
porque con el paso del tiempo cada vez hay más en
 Samsung: Con la promesa que para el año juego; un solo ataque con éxito a la red de
2020 todos sus dispositivos hagan parte del dispositivos que conforma el Internet de las Cosas
IoT y así mejorar la calidad de vida de las podría llegar a afectar todos los objetos físicos que
personas en todo el mundo, en junio del nos rodean y, en el peor de los casos, la integridad
presente año destinó una inversión de 1.200 física de las personas.
millones de dólares en el desarrollo de esta En los últimos años, importantes empresas y
tecnología junto con I + D [23]. asociaciones se han tomado el trabajo de evaluar
La mayoría de las empresas están empezando a qué tan seguras son las soluciones IoT, y los
usar esta tecnología para la fabricación de sus resultados obtenidos siempre llevan a la conclusión
productos a la vanguardia, sin embargo, algunas de que esta tendencia es muy riesgosa tanto para
compañías se están dedicando a modificar los empresas como para las personas.
aparatos electrónicos ya existentes, adaptándolos La Asociación de Auditoria y Control de Sistemas
con señales Wifi de internet, con el fin de que las de Información (ISACA por sus siglas en inglés,
personas no tengan que cambiar todos sus aparatos “Information Systems Audit and Control
electrónicos, sino solamente adaptarles unos Association”) revela que los grandes retos a los que
se enfrenta el IoT son la protección de la privacidad
Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad. 6

de los datos, la gestión de la identidad de acceso, los

requisitos de cumplimiento, la propiedad de los
datos fuera de IT y mayores amenazas de seguridad
[24].
Según la fuente [25], un estudio realizado por HP
(Hewlett-Packard) a 10 dispositivos IoT de
seguridad para el hogar y a sus componentes de
aplicación en la nube y móviles, reveló que la
totalidad de estos dispositivos contenían
vulnerabilidades significativas como problemas de
seguridad, cifrado y autenticación. Los dispositivos
seleccionados para las pruebas fueron de varios
fabricantes líderes que operan con distintos sistemas
operativos, lo que le da mayor valor al estudio.
Resumiendo, algunas de las vulnerabilidades más
críticas detectadas en el estudio fueron:
 Autorización insuficiente: Los sistemas con
aplicaciones web conectadas a la nube no
exigían contraseñas seguras. Aunque era
obligatoria, bastaba con ingresar una Fig. 2. Principales vulnerabilidades del IoT. La figura muestra
contraseña alfanumérica de seis caracteres las principales vulnerabilidades que afectan a los dispositivos
de longitud, debido a que no existían IoT, según el estudio realizado por HP en el año 2014 [26]
políticas que exigieran cierto grado de
complejidad. Sin restarle importancia a cada una de las
vulnerabilidades del IoT, es evidente que las que
 Interfaces inseguras: Por medio de técnicas
más afectan a las personas y empresas son las
de recolección de cuentas se logró tener
relacionadas con la privacidad de la información
acceso. Estas técnicas consisten en que al que están recolectando, y es que, con todas las
no existir el bloqueo de cuentas y política tecnologías emergentes, la información ha pasado a
de contraseñas seguras se pueden realizar ser un activo sumamente importante, por lo que
ataques de fuerza bruta. gran parte de la población ha tomado acciones para
 Problemas de privacidad: Todos los protegerla. En Colombia se creó la Ley 1581 de
dispositivos recolectan información 2012 con los mecanismos para garantizar la
constantemente, y en algunos casos, esta protección, almacenamiento y el buen uso de datos
información es sensible; como por ejemplo personales. Esta norma concede el derecho a todas
los números de tarjetas de crédito. Cabe las personas de conocer y solicitar la eliminación de
añadir que algunos de los dispositivos sus datos personales registrados en cualquier base
cuentan con cámaras de video integradas de datos susceptibles de tratamiento en entidades
que permiten la visualización del hogar de públicas y privadas [27]. Igual que esta ley para
forma remota, lo cual también podría Colombia, en el resto del mundo existen otras
resultar en un problema de privacidad. legislaciones con el mismo fin como la Ley Federal
 Falta de cifrado: Aunque los dispositivos Bundesdatenschutzgesetz para Alemania o la
utilizados en las pruebas ya contaban con Privacy Act de 1974 en Estados Unidos (en algunos
países latinoamericanos como Argentina, Chile,
cifrados de transporte, aun había muchas
Panamá, Paraguay, Brasil y Uruguay se utiliza un
conexiones a la nube que estaban
modelo similar al europeo), pero todas estas leyes
vulnerables.
solo protegen los datos considerados sensibles.
Según la ley 1581 de 2012 los datos sensibles son
Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad. 7

todos aquellos que por el uso indebido puedan listas Top 10 de vulnerabilidades. En el año 2014
generar algún tipo de discriminación al titular [27]. hizo pública su lista OWASP Internet of Things
Y aunque es importante que existan este tipo de Top Ten Project, en la cual dan a conocer las
normativas, se quedan cortas frente a la realidad por debilidades más críticas del IoT, sus agentes de
la que atraviesa el mundo moderno, la llamada “era amenaza, vectores de ataque, impactos técnicos,
digital” que gira en torno a la información. impactos del negocio y algunas recomendaciones
El valor que se le da a la información es diferente para mitigar el riesgo [28].
para cada organización y/o individuo, y cada uno la Según el portal web oficial de OWASP [29], [30],
califica frente a los beneficios o daños en los que éstas son las vulnerabilidades más críticas de la IoT:
podría verse involucrado, pero siempre tiene alguna
cuantía. Por dar un ejemplo, en algo tan simple A. Interfaz Web Insegura
como los datos de geolocalización recolectados por Esta vulnerabilidad es la más común en el mundo
algunos de los llamados gadgets para vestir o los del IoT y se presenta cuando los sistemas permiten
Smartphone, que se están enviando constantemente la enumeración de cuentas, falta de bloqueo de las
a un servidor en algún lugar del mundo, ya sea para cuentas o credenciales débiles. Su impacto es
indicar la ruta en la que el sujeto hizo alguna clasificado como grave porque puede provocar la
actividad deportiva o sugerir la mejor ruta para pérdida o corrupción de datos, denegación de
llegar a un destino; sí esta información cayera en acceso y pérdida completa del control del
manos de un atacante, éste podría detectar las dispositivo. Las recomendaciones para proteger la
costumbres o rutinas de la víctima y así encontrar el interfaz web son cambiar la contraseña
momento justo para hacer daño, ya sea directamente predeterminada durante la configuración inicial,
a la persona o alguno de sus bienes cuando no esté exigir contraseñas robustas, verificar que las
presente, todo esto gracias a la localización exacta contraseñas no sean expuestas en el tráfico de las
proporcionada por los dispositivos. redes internas o externas y configurar el bloqueo de
Si bien por medio del ejemplo se refleja la las cuentas después de cierto número de intentos de
importancia de cualquier dato, por simple u obvio acceso erróneos.
que sea, éstos no están incluidos en todas las
legislaciones actuales como datos sensibles, y B. Autenticación / Autorización insuficiente
aunque los fabricantes o prestadores de los servicios La debilidad se presenta cuando los mecanismos
al perder la información tienen un fuerte impacto en de autenticación o autorización no son lo
sus ganancias, credibilidad, entre otras, no le suficientemente fuertes para evitar la intrusión de
prestan atención a las consecuencias que podrían usuarios no autorizados a los sistemas, lo que podría
tener los verdaderos dueños de la información. comprometer totalmente el dispositivo atacado. Para
Referente a este tema, aún existe un problema mitigar el riesgo es necesario establecer contraseñas
importante con los prestadores de servicios que robustas, implementar la autenticación de dos
establecen que la información recolectada por factores y exigir autenticación de la aplicación, del
medio de sus soluciones es de su propiedad siempre dispositivo y el servidor.
y cuando no sean datos natos del usuario final como
su nombre, correo, cuentas bancarias y otros del C. Servicios de red inseguros
mismo estilo. Los servicios de red podrían ser vulnerables a
Pero, así como se han detectado vulnerabilidades ataques de desbordamiento de búfer o denegación
en los dispositivos IoT, organizaciones del servicio, dejando al usuario sin acceso a los
especializadas en seguridad ajenas a los fabricantes dispositivos, alterando la integridad de los datos o
están trabajando para reducir los riesgos. Una de facilitando ataques a otros dispositivos. Para
estas organizaciones es el Proyecto Abierto de asegurar los servicios de red es necesario verificar
Seguridad de Aplicaciones Web (OWASP por sus que solo los puertos necesarios están abiertos,
siglas en inglés, “Open Web Application Security garantizar que no son vulnerables a los ataques de
Project”), reconocido por la documentación denegación de servicio y bloquear todas las
relacionada a la seguridad de aplicaciones web y las solicitudes de servicios anormales.
Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad. 8

D. Falta de cifrado de transporte implementar políticas para la creación de

Esta vulnerabilidad permite que los datos sean contraseñas robustas, el bloqueo de las cuentas
legibles a través de las redes, generalmente en las móviles por el número erróneo de autenticación,
locales, porque se asume que éstas no son visibles implementar la tecnología de ofuscación de
por los atacantes; pero en el caso de las redes aplicaciones web, proteger la memoria y evitar la
inalámbricas, por una mala configuración, la ejecución de la aplicación móvil en ambientes para
información quedaría accesible para cualquier los que no fue concebida.
persona conectada a esa red. Para garantizar que
esta vulnerabilidad no sea explotada, se pueden H. Configuración de seguridad insuficiente
implementar protocolos de cifrado de datos como Está presente cuando los usuarios tienen pocos o
SSL, y mientras se mueven por las redes el cifrado ningún privilegio para modificar sus controles de
TLS, asegurando la integridad de los datos seguridad; esto es evidente cuando no se pueden
recibidos. configurar los permisos de los usuarios o forzar el
uso de contraseñas seguras. La configuración de
E. Preocupaciones de privacidad seguridad insuficiente podría llevar a comprometer
Las preocupaciones de privacidad se consideran los dispositivos intencional o accidentalmente y,
una vulnerabilidad por la forma desproporcionada como consecuencia, la pérdida de datos. Como
en la que se recolecta información innecesaria o no sugerencias OWASP se recomienda permitir la
se protegen de la mejor forma los datos. Su impacto separación de usuarios normales de los
está categorizado como grave al involucrar datos administrativos, políticas de contraseñas seguras,
personales de los usuarios y, en sí, toda su así como guardar el registro y notificar de los
información. Las recomendaciones para reducir el eventos de seguridad.
riesgo son: garantizar que los dispositivos solo
recolectan los datos básicos para su funcionamiento, I. Software / Firmware inseguro
en lo posible evitando que sean datos sensibles y Este problema común en todo tipo de dispositivos
cifrar la información. se presenta cuando los archivos de actualización y
la red en la que se transportan no están protegidos,
F. Interfaz cloud insegura por lo que se puedan alterar antes de llegar a su
Cuando la interfaz cloud es insegura, ésta podría destino y, como resultado, instalar en el dispositivo
ser atacada por cualquier persona con acceso a IoT software malicioso, perder el control del
Internet, ya sea por credenciales de acceso fáciles dispositivo y realizar ataques contra otros equipos.
de adivinar o por la enumeración de cuentas; y de Para prevenir estos incidentes, es necesario
ser explotada la vulnerabilidad, se podrían asegurarse que el archivo esté encriptado, que está
comprometer los datos de los usuarios y el control firmado por el fabricante y verificar que la red por
total sobre los dispositivos. Para minimizar el riesgo la que se transmite el archivo tiene una conexión
de explotación se deben cambiar las contraseñas cifrada.
predefinidas por contraseñas robustas, definir el
bloqueo de cuentas después de cierto número de J. Mala seguridad física
intentos fallidos de inicio de sesión, proteger los Se presenta cuando un atacante puede acceder
campos de entrada para evitar inyección de SQL, físicamente a un dispositivo, ya sea directamente o
implementar una doble autenticación y bloquear por medio de alguno de sus puertos externos, y
todas las solicitudes de intentos anormales. modificar su configuración o robar información. De
acuerdo a OWASP, es importante que la
G. Interfaz móvil insegura información en reposo esté cifrada, solamente estén
Esta debilidad causada por falta de estrictas disponibles los puertos externos necesarios para el
políticas de autenticación en las interfaces móviles funcionamiento y se garantice que no se tenga
podría ocasionar alteración en los datos de los acceso al dispositivo fácilmente.
usuarios y pérdida parcial o total de los sistemas
IoT. Para prevenir su explotación es necesario
Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad. 9

Por su parte el Instituto de Ingeniería Eléctrica y críticas junto a sus respectivas recomendaciones de
Electrónica (IEEE por sus siglas en inglés, “Institute mitigación.
of Electrical and Electronics Engineers”) creó un Pero sin lugar a dudas los beneficios que trae el
grupo para trabajar en la estandarización del IoT, IoT para la era moderna son incalculables. Como se
haciendo énfasis en aspectos de seguridad como el mencionó anteriormente, grandes fabricantes
descubrimiento del dispositivo, la autenticación, crearon alianzas para estandarizar la comunicación
alertas, rastreo de personas y la gestión de la entre dispositivos y junto con el trabajo de los
privacidad. La Organización Internacional de organismos de seguridad y estandarización, ya se
Normalización (ISO) en el 2014 publicó un informe están dando avances significativos en la prevención
preliminar de estándares y, aunque no tenía ningún de ataques en el internet de las cosas.
enfoque específico, trabajó sobre algunos aspectos Finalmente, entre los controles que se deben
de seguridad para tecnologías IoT como la gestión implementar para reducir los riesgos en la
de los datos, privacidad / confidencialidad, privacidad, es importante la creación de políticas de
infraestructura y comunicaciones [31], [32]. seguridad, no solo de los grandes fabricantes, sino
La idea no es que se implementen todos los de todos los participantes que de una u otra manera
controles y recomendaciones expuestos en las trabajan en pro de esta tecnología. Asimismo, se
normas, sino que, a raíz de un excelente análisis de debe concientizar a los usuarios sobre los riesgos
vulnerabilidades, se determinen cuáles son las que asociados al Internet de las Cosas, así como el
se van a tratar, pensando en conjunto con las almacenamiento y tratamiento que tendrán sus
afectaciones que tendrían tanto las empresas datos.
fabricantes, como los desarrolladores
independientes, comercializadoras y usuarios
finales. REFERENCIAS
[1] Mora González, S. (septiembre de 2015). Entendiendo el
Internet de las cosas. Investiga TEC. Academic Journal
[Online]. Disponible en:
VI. CONCLUSIONES http://revistas.tec.ac.cr/index.php/investiga_tec/article/vie
Está claro que la tecnología siempre está w/2381/2169
evolucionando, y el factor predominante hoy en día [2] Futurizable. (4 de noviembre de 2016). Tres letras que
están cambiando el mundo. [Online]. Disponible en:
es la conectividad de los objetos cotidianos. Muchas http://futurizable.com/iot
formas de comunicación están emergiendo y otras [3] SmartTravelNews. (2016). Infografía: El imparable
se están perfeccionando, a esto se suma el interés de crecimiento del internet de las cosas. [Online]. Disponible
grandes compañías que, al ver la proyección de en: http://www.smarttravel.news/2016/05/14/infografia-
inversión del IoT, están cambiando sus estrategias y el-imparable-crecimiento-del-internet-de-las-cosas
[4] O'Brlen, S. A. (21 de octubre de 2016). Un ciberataque
alineando esta tendencia para crear nuevas líneas de tumba sitios populares de internet como Reddit, Twitter y
negocios o mejorar las ya existentes. Netflix. [Online]. Disponible en:
Contar con los objetos de uso cotidiano http://cnnespanol.cnn.com/2016/10/21/esta-seria-la-razon-
conectados a Internet, implica serios problemas para por-la-que-twitter-reddit-y-netflix-estan-caidos/#0
la privacidad de la información, a esto se suma la [5] TEC. (8 de febrero de 2015). El Internet de las Cosas
[Archivo de video]. [Online]. Disponible en:
indiferencia hacia la seguridad de muchos https://www.youtube.com/watch?v=G1NH3k8EFHA
fabricantes y, aunque algunos trabajan para asegurar [6] TEC. (22 de febrero de 2015). El Internet de las Cosas –
sus dispositivos, no lo hacen al ritmo al que avanza Parte 2 [Archivo de video]. [Online]. Disponible en:
la tecnología. A diario aparecen nuevas técnicas de https://www.youtube.com/watch?v=TbRTnfhxLds&t=18
hacking más sofisticadas y cada vez es mayor el 2s
[7] Mirales, D. (28 de noviembre de 2014). ¿Qué es el
número de ciberataques exitosos al IoT. Para ayudar Internet de las Cosas? [Archivo de video]. [Online].
a mitigar un poco este problema, organizaciones de Disponible en: https://www.youtube.com/watch?v=s641-
regulación y de seguridad se han tomado el trabajo eJAB1w
de crear normas de estandarización del IoT, [8] Bang Olufsen. (2016). THE LIVING HOME. [Online].
abarcando aspectos de seguridad. Por su parte Disponible en: http://www.bang-
olufsen.com/fr/solutions/beolink-smarthome
OWASP creó una lista de las vulnerabilidades más
Universidad Piloto de Colombia. González Larín Yeisson G. El Internet de las cosas y sus riesgos para la privacidad. 10

[9] Gassée, J.-L. (2014). Internet of Things: The “Basket of [22] Microsoft. (2016). Cloud Platform. Obtenido de Internet
Remotes” Problem. Monday NOTE. [Online]. Disponible Of Things Azure. [Online]. Disponible en:
en: https://mondaynote.com/internet-of-things-the-basket- https://www.microsoft.com/en-us/cloud-platform/internet-
of-remotes-problem-f80922a91a0f#.t0zylmhas of-things-azure-iot-suite
[10] LA NACION. (5 de Septiembre de 2013). Songdo, la [23] News Samsung. (21 de Junio de 2016). Samsung Shows
ciudad más inteligente del mundo. [Online]. Disponible Dedication to IoT with $1.2 Billion Investment and R&D.
en: http://www.lanacion.com.ar/1616937-songdo-la- [Online]. Disponible en:
ciudad-mas-inteligente-del-mundo https://news.samsung.com/global/samsung-electronics-
[11] INFORMATICAHOY. (s.f.). ¿Qué es Wifi?. [Online]. announces-vision-for-a-human-centered-internet-of-
Disponible en: http://www.informatica- things-planning-1-2-billion-for-u-s-research-and-
hoy.com.ar/aprender-informatica/Que-es-Wifi.php development-of-iot
[12] Corredor Camargo, O. F., Pedraza Martinez, L. F., [24] ISACA. (2015). Internet of Things: Risk and Value
Hernández, C. A. F. (2009). TECNOLOGÍA Considerations . ISACA. Academic Journal. [Online].
BLUETOOTH: ALTERNATIVA PARA REDES. Visión Disponible en: http://www.isaca.org/knowledge-
Electrónica. [Online]. Disponible en: center/research/researchdeliverables/pages/internet-of-
https://dialnet.unirioja.es/descarga/articulo/4168662.pdf things-risk-and-value-considerations.aspx
[13] Bluetooth. (2015). Bluetooth® 5 Quadruples Range, [25] Geek. (5 de Junio de 2015). Estudio de HP revela
Doubles Speed, Increases Data Broadcasting Capacity by vulnerabilidades en los sistemas de seguridad para el
800%. [Online]. Disponible en: hogar IoT. [Online]. Disponible en:
https://www.bluetooth.com/news/pressreleases/2016/06/1 http://geek.com.mx/2015/06/estudio-de-hp-revela-
6/-bluetooth5-quadruples-rangedoubles-speedincreases- vulnerabilidades-en-los-sistemas-de-seguridad-para-el-
data-broadcasting-capacity-by-800 hogar-iot/
[14] Área Tecnológica. (s.f.). Telefonía Móvil. [Online]. [26] Miessler, D. (29 de Julio de 2014). HP Study Reveals 70
Disponible en: http://www.areatecnologia.com/telefonia- Percent of Internet of Things Devices Vulnerable to
movil.htm Attack. [Online]. Disponible en:
[15] Niño, D. L. (2015). PANORAMA DE APLICACIÓN DE https://community.hpe.com/t5/Protect-Your-Assets/HP-
INTERNET. Bogotá: Universidad Santo Tomás, Facultad Study-Reveals-70-Percent-of-Internet-of-Things-
de Ingeniería de Telecomunicaciones. [Online]. Devices/ba-p/6556284#.WEPH4uZ97IU
Disponible en: [27] EL CONGRESO DE COLOMBIA. (2012). LEY
http://porticus.usantotomas.edu.co/bitstream/11634/672/1/ ESTATUTARIA 1581 DE 2012. [Online]. Disponible en:
Panorama%20de%20aplicacion%20de%20internet%20de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.
%20las%20cosas.pdf jsp?i=49981
[16] Dignani, J. P. (2011). ANÁLISIS DEL PROTOCOLO [28] OWASP. (2014). OWASP Internet of Things Project.
ZIGBEE . La Plata: Universidad Nacional de La Plata. [Online]. Disponible en:
[Online]. Disponible en: https://www.owasp.org/index.php/OWASP_Internet_of_
http://postgrado.info.unlp.edu.ar/Carreras/Especializacion Things_Project
es/Redes_y_Seguridad/Trabajos_Finales/Dignanni_Jorge [29] OWASP. (2014). Top 10 IoT Vulnerabilities (2014).
_Pablo.pdf [Online]. Disponible en:
[17] Ravera, G. (2010). ZigBee o 6lowPAN. Networking and https://www.owasp.org/index.php/Top_10_IoT_Vulnerab
Internet Technologies. [Online]. Disponible en: ilities_(2014)
http://blogs.salleurl.edu/networking-and-internet- [30] OWASP. (2014). Internet of Things Top Ten. [Online].
technologies/zigbee-o-6lowpan Disponible en:
[18] García, D. G. (2015). Estudio de 6loWPAN para su https://www.owasp.org/images/7/71/Internet_of_Things_
aplicación a Internet de las Cosas. La Laguna: Escuela Top_Ten_2014-OWASP.pdf
Superior de Ingeniería y Tecnología. [Online]. Disponible [31] Ballarin, Usieto, P. (2016). Gestionar la seguridad del
en: Internet de las cosas. Govertis Advisory Services.
http://riull.ull.es/xmlui/bitstream/handle/915/945/Estudio [Online]. Disponible en:
%20de%206loWPAN%20para%20su%20aplicacion%20a http://www.govertis.com/gestionar-la-st-de-las-cosas
%20Internet%20de%20las%20Cosas.pdf?sequence=1&is [32] ISO/IEC JTC 1 Information technology. (2014). Internet
Allowed=y of Things (IoT). Preliminary Report 2014. ISO. [Online].
[19] Maria, G. (2014). La marea del Internet of Things. Disponible en:
smartcio.es. [Online]. Disponible en: http://www.iso.org/iso/internet_of_things_report-jtc1.pdf
http://smartcio.es/internet-of-things/
[20] Amazon, Inc. (2016). ¿Cómo funciona la plataforma González Larin, Yeisson German. Ingeniero de
AWS IoT?. [Online]. Disponible en: Sistemas de la Escuela Colombiana de Carreras Industriales.
https://aws.amazon.com/es/iot/how-it-works/ Se desempeña como Ingeniero de desarrollo y Consultor de
[21] Google. (2016). INTERNET OF THINGS (IOT) proyectos de software.
SOLUTIONS. [Online] Disponible en:
https://cloud.google.com/solutions/iot/