Si no te has dado cuenta, el Internet de las Cosas (IoT) ya está aquí, tejido en nuestros hogares, hospitales, lugares de trabajo y ciudades. Y no se irá. Una predicción reciente de IHS Markit predice que el número de dispositivos conectados alcanzará los 125 mil millones para el año 2030. Las posibilidades son emocionantes y es difícil no contagiarse del entusiasmo generalizado. Sin embargo, antes de emocionarnos demasiado, debemos echar un vistazo serio al horizonte de seguridad de esta nueva frontera. Para aquellos que no están al tanto de la situación, la situación no es buena y alguien tendrá que encargarse de este desastre.

En algún momento entre cuando decidimos poner computadoras en nuestros automóviles y el ataque DDoS del año pasado al proveedor de DNS Dyn, que dejó fuera de servicio grandes partes de Internet con una botnet creada con monitores de bebés y cámaras IP, deberíamos haber comenzado a preguntarnos quién debería ser responsable de asegurar el IoT. En algún momento, esto se convirtió en un problema de seguridad pública y justicia penal, por lo que tiene sentido que al menos parte de esa responsabilidad para abordar este problema recaiga en el ámbito estatal.

Ya hay intentos de abordar este problema en los pasillos del poder, aunque de manera limitada. Aún no existe una regulación específica para el IoT. La Agencia de la Unión Europea para la Seguridad de las Redes y de la Información publicó un informe contundente a principios de este año, afirmando que no se había definido un “nivel cero” para la seguridad y privacidad de los dispositivos conectados e inteligentes. Tampoco encontró “directrices legales para la confianza en los dispositivos y servicios de IoT”. Este es un problema que se encuentra a nivel internacional; existe legislación de protección de datos y privacidad que podría actuar como una especie de regulación para el IoT, pero solo si se unen y se ensamblan. Las jurisdicciones también importan y se vuelven aún más problemáticas cuando se tienen en cuenta las cadenas de suministro globales. Con la producción de IoT en constante crecimiento, no será fácil asegurarse de que todos los productos en todas las jurisdicciones pasen una prueba de seguridad definida localmente, especialmente cuando muchos de los productos de IoT baratos e inseguros que tanto les gustan a los consumidores se fabrican en países con barreras regulatorias bajas.

El nivel de producción parece ser un buen lugar para que recaiga la responsabilidad. Después de todo, son los fabricantes quienes lanzan dispositivos con contraseñas fáciles de adivinar, vulnerabilidades conocidas y sin capacidad de actualización. Dicho esto, necesitarán algo que los obligue a hacerlo y, como se mencionó, hay poco para cumplir ese propósito a nivel político. Los consumidores, la última línea de defensa, pueden votar con sus pies. Las empresas y organizaciones más grandes ciertamente deberían saber mejor y ya existen leyes de protección de datos en todo el mundo, como el GDPR, que podrían alentarlos en parte a utilizar dispositivos más seguros. ¿Y el usuario promedio en casa? Es dudoso. Muchos todavía no son conscientes de la amenaza que representan sus refrigeradores con Wi-Fi. Puede parecer conveniente culpar a aquellos que compran con entusiasmo tales dispositivos y no se molestan en tomar precauciones básicas. Sin embargo, eso no hace más que satisfacer nuestras propias frustraciones. Una encuesta de Pew realizada el año pasado encontró que si bien el 54% de los usuarios de Internet podían identificar un correo electrónico de phishing, el 73% no sabía qué era una botnet. En términos más generales, el público parece indiferente ante la perspectiva de asegurarse a sí mismos. Otro estudio del Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos reveló que las personas se sienten impotentes cuando se trata de seguridad en línea.

En resumen, el futuro de la seguridad en el Internet de las Cosas es un desafío que debe abordarse de manera integral. Los fabricantes deben asumir la responsabilidad de producir dispositivos seguros, mientras que los gobiernos y las organizaciones deben establecer regulaciones claras y efectivas. Los consumidores también deben educarse sobre los riesgos y tomar medidas para protegerse. Solo a través de un enfoque conjunto y colaborativo podremos garantizar la seguridad en el mundo cada vez más conectado del IoT.