Estamos enfermos de tecnología y no lo sabemos

En pocos años estaremos rodeados de billones de dispositivos del tamaño de un grano de arena conectados a la red. Sabrán todo sobre nosotros y podrán usarlo en nuestra contra.

Se llama Michigan Micro Mote, pero se la conoce como M3. Es la computadora más pequeña del mundo: en un dedal entran 150 de ellas. Tiene diferentes sensores (temperatura, presión, movimiento, etc.) y se comunica vía «wireless» por internet. Y para dimensionar correctamente su tamaño, podemos decir que se utiliza para medir la presión intraocular en pacientes con glaucoma. Sí, un ordenador dentro del ojo. Enviando información constantemente a través de la red. El M3 se puede usar también para detectar coágulos en vasos sanguíneos o analizar la composición de diferentes químicos en el cuerpo humano.

Cuando pensamos en el Internet de las Cosas (IoT por sus siglas en inglés) los dispositivos que habitualmente relacionamos con esta tecnología son cámaras de seguridad, termostatos inteligentes, smartwatches y hasta neveras. Pero en 2020, cuando, según un estudio de Intel, haya 200.000 millones de objetos conectados a la red (más de 20 por habitante del planeta), la mayoría de ellos serán tan minúsculos como el M3 y el 30% estarán en la industria médica. O lo que es lo mismo, formarán parte de nuestro cuerpo. Allí se almacenará tanto información personal como nuestro número de seguridad social, todo el historial médico y el tratamiento actual.

Intel especula con que en menos de una década el valor total de la tecnología IoT será de unos cinco billones de euros y la mitad tendrá que ver con medicina. Y esto es importante debido a que el último Informe del Coste de la Filtración de Datos (Cost of Data Breach Report) realizado por el Instituto Ponemon e IBM, la industria más afectada por ataque de «hackers» es la médica: sólo en 2015 se han robado más de 100 millones de informes médicos, los cuales en el mercado negro valen unos 50 euros aproximadamente. Obviamente las instituciones y grandes empresas estarán cada vez más protegidas contra este tipo de ataques, pero los usuarios de a pie son cada vez más vulnerables debido en parte a su ignorancia y en parte a una falta de regulación hacia las empresas, que aún no tienen la obligación de establecer un protocolo de seguridad en los dispositivos. Justamente eso fue lo que permitió el masivo ataque a la red de diez días atrás.

Información anónima

Hemos hablado al respecto con un alto cargo de una de las firmas más importantes del mundo de dipositivos IoT, y nos asegura que «la información que guardamos es anónima, ni vendemos ni compartimos los datos. Eso no forma parte de nuestro negocio. Somos una compañía francesa, con base en Francia y sujeta a las leyes de la CNIL (el equivalente a la Agencia Española de Protección de Datos) que señalan que el usuario es el dueño de la información». Para este empresario, que prefiere que su nombre y su firma se mantengan en el anonimato «el problema es que los dispositivos IoT forman parte de un universo mucho más diverso que el de los ordenadores y smartphones y algunos no son muy transparentes acerca de las tecnologías que usan. Los fabricantes de IoT son los responsables de la seguridad de sus productos y algunos no son muy cuidadosos».

Para Juan Rosell, de S2 Grupo, especialistas en ciberseguridad, uno de los mayores obstáculos es la ausencia de una normativa de seguridad desde el fabricante y es que «la falta de estandarización afecta, más que a la facilidad de los ataques que se pueden producir sobre estos equipos, a la dificultad de protegerlos una vez se han descubierto vulnerabilidades en ellos». Para el usuario final, la alternativa de seguridad es «cambiar las contraseñas por defecto –explica Rosell– apagarlos cuando no estén en uso, mantener el dispositivo actualizado y cifrar los datos si el dispositivo lo permite». La empresa francesa que prefiere no revelar su identidad asegura que ellos tienen un sistema de cifrado de datos de extremo a extremo, igual que WhatsApp.

Pero hay un problema aún mayor que los hackers. O al menos igual de importante. A medida que crezca el valor de IoT, también lo hará la frecuencia de los ataques a esta tecnología en la que se esconde información personal muy sensible y deseada por aseguradoras, farmecéuticas y hasta por gobiernos. No, no es paranoia. El Grupo de Autoridades europeas de protección de datos, liderados por la AEPD y el CNIL, ha elaborado un dictamen sobre IoT. Y en su primera referencia bibliográfica citan un estudio de la Comisión Federal de Comercio (FTC) de Estados Unidos en el que se afirma que 33 de los estados de dicho país, venden o comparten información médica.

Afortunadamente en Europa estamos protegidos del uso de material sensible (como el médico), tal como explica el dictamen de la AEPD, ya que «es necesario que los responsables del tratamiento de datos obtengan el consentimiento explícito del usuario». El problema es que la situación no siempre es tan clara. ¿Qué ocurre si una empresa regala a sus clientes unos podómetros que fueron programados por una compañía diferente con aplicaciones de un tercero? Se trata de un regalo, no de una compra... Pero allí se guarda y se comparte información médica y hábitos de un sector de la población. Y si ese dispositivo tiene la capacidad de conectarse al smartphone, la cantidad de datos que se pueden obtener, es enorme.

Si un ecosistema es un sistema formado por un conjunto de organismos vivos y el medio físico donde se relacionan, el mundo digital es claramente un ecosistema: los humanos somos los organismos vivos e internet el medio físico. ¿Qué lugar ocupa la IoT? Podría comenzar a considerarse como otro organismo que compite con nosotros por los recursos. Y puede convertirse en un simbionte, que mejore nuestra vida o en un parásito que nos la dificulte. La recomendación de los principales implicados, desde la AEPD hasta los fabricantes, es que los usuarios conozcan sus derechos. Y los ejerzan.