viernes, 24 de enero de 2014

La IoT (Internet de las cosas) y sus implicaciones éticas, legales y de seguridad.


Resumen: El fenómeno conocido como la IoT (Internet de las Cosas) representa la interconectividad total entre personas y dispositivos. No dudamos que puede aportar grandes beneficios a la sociedad pero también, como ocurre con cualquier tendencia innovadora de la que no se dispone de la suficiente experiencia,  entraña nuevos riesgos, especialmente relacionados con la privacidad, que deberán irse mitigando mediante la regulación, la transparencia y el autocontrol.

Lo analizaremos desde un punto de vista funcional que permita entender las implicaciones sociales, éticas y legales, ya que  consideramos que centrarse simplemente en los aspectos tecnológicos no aportaría valor a los objetivos del estudio.

Autores del artículo
Colaboración
Luis Felipe López Álvarez
José Luis Colom Planas
Actualizado
24 de octubre de 2014


ÍNDICE
1. INTRODUCCIÓN A LA IoT
2. RETOS DE LA IoT
3. IMPLICACIONES ÉTICAS Y LEGALES
3.1. IMPLICACIONES ÉTICAS
3.2. PbD (PRIVACY by DESIGN – PRIVACIDAD DESDE EL DISEÑO)
3.3. IMPLICACIONES LEGALES DE LA IoT.
4. RASGOS QUE PUEDEN DEFINIR LA IoT
5. ASPECTOS QUE INTERVIENEN EN LA ACTUAL IoT
6. SISTEMAS AUTÓNOMOS DE IoT
7. CONFIANZA, SEGURIDAD Y PRIVACIDAD
7.1. CONFIANZA PARA LA IoT
7.2. SEGURIDAD DE LA IoT
7.3. PRIVACIDAD DE LA IoT
8. IMPORTANCIA DE LA GOBERNANZA DE LA IoT
9. BIBLIOGRAFÍA CONSULTADA
10. ALGUNAS WEBS RELACIONADAS
11. DERECHOS DE AUTOR

1. INTRODUCCIÓN A LA IoT

Mediante IoT nos referimos a la llamada “Internet of Things -  Internet de las Cosas”. Esencialmente se trata de la interconexión de objetos en red, mediante la asignación a cada uno de ellos de un “identificador único”, constituyendo así un dominio en el que pueden interactuar e intercambiar información de forma identificada.

Si éste dominio está unido a Internet, los objetos adquieren la propiedad de la ubicuidad ya que es posible interactuar con ellos simultáneamente desde cualquier lugar del mundo.

NOTA DEL EDITOR: No debe confundirnos el que en algunas traducciones se utilicen las siglas IO (Internet de los Objetos) refiriéndose también a la IoT. Particularmente no es de mi total agrado ya que IO se viene utilizando desde siempre en las TIC para referenciar al flujo de “Entrada/Salida – Input/Output” en los sistemas (p. ej. IOs por segundo).
También se está notando una corriente generalizada que, llevando al límite la imparable expansión de la IoT, pasa a denominarla “Internet of Everything – Internet de Todo”. Acostumbrémonos a este nuevo término que, poco a poco, va ganado terreno [10].

En consecuencia podemos decir que en la IoT los objetos, dispositivos y personas están interconectados en red y pueden interactuar. Queda atrás la idea de que solo se interconectan ordenadores entre sí. Con la IoT se pueden conectar vehículos, electrodomésticos, animales de granja, equipamiento urbano, instrumental hospitalario, etc.

El término “Internet of Things” fue propuesto por Kevin Ashon en 1999. El concepto se popularizó en el Auto-ID Center del MIT (Instituto de Tecnología de Massachusetts) y publicaciones relacionadas.

Las etiquetas RFID (Radio-Frequency IDentification – Identificación por Radio-Frecuencia) a menudo son consideradas como las desencadenantes de la IoT, ya que permiten etiquetar a todos los objetos de la vida diaria (p. ej. los que se encuentran en los supermercados y tiendas de ropa) sin necesidad de disponer de una fuente autónoma de energía, de forma que puedan ser inventariados y gestionados por ordenadores que dispongan de los sensores adecuados.

Podemos concluir que la obtención de información y la interactuación con diferentes objetos cotidianos en la vida diaria de las personas pueden propiciar la aparición de nuevos servicios que mejoren la calidad de vida con los consiguientes beneficios sociales y económicos.

Pero también pueden aparecer nuevos riesgos que restrinjan la esfera de privacidad, un derecho fundamental de las personas, provocando un exceso de intrusismo y control en sus vidas.

Para concretar, podemos citar dos riesgos evidentes:
  • Rastreo. Consiste en el seguimiento en tiempo real de los movimientos de una persona, a partir de objetos  que tiene asignados. Permite conocer la completa trazabilidad de los mismos.
  • Elaboración de perfiles. A partir de los datos almacenados del seguimiento de una persona, mediante técnicas analíticas, permite inferir unos patrones de conducta y llegar a conocer sus hábitos posibilitando elaborar su perfil.

Deberán establecerse procedimientos efectivos para cumplir con:

  • El derecho de las personas a ser informadas previamente a que se recaben (aunque sea de forma automática) sus datos personales.
  • El requerimiento del consentimiento expreso previo para dichos tratamientos analíticos, de forma específica para ellos (principio de finalidad), por parte de los afectados.

2. RETOS DE LA IoT [1]

Retos Regulatorios. Debe buscarse el equilibrio entre los beneficios económicos y sociales de la Internet de las cosas y la defensa de la privacidad para preservar el control y la libre disposición de los datos personales de los usuarios y de la sociedad en general.

Retos Tecnológicos. Impulsar la PbD (Privacidad desde el Diseño) y el desarrollo de soluciones que faciliten el consentimiento de los usuarios (do-not-track).

Retos de Mercado. Romper la fase del miedo e impulsar el uso de la Internet de las cosas. Informar y concienciar para incrementar la capacidad de elección del usuario.

Retos de Gobernanza. Desarrollo de un marco de gobierno que fomente los consensos entre los distintos agentes implicados.

3. IMPLICACIONES ÉTICAS Y LEGALES

3.1. IMPLICACIONES ÉTICAS [4]

La macro escala en que se desarrolla la IoT (Internet de las cosas)  provoca que sus implicaciones éticas no sean triviales y quizá requieran de un debate en el que participen los distintos agentes y partes interesadas:






  • Los responsables de los poderes públicos.
  • Las empresas.
  • La sociedad civil.

Hay dos condicionantes que impactan significativamente en la IoT:

  • El factor exponencial de conectividad, implicando complejas soluciones de control, que pueden funcionar bien en un sub-dominio pero a nivel global deben garantizar que no conducirán al caos.
  • Precisamente esa complejidad técnica dificulta el trazado de líneas de desarrollo coherentes.

Tanto los ingenieros e investigadores como los legisladores y políticos deberían tener presente su responsabilidad social en relación a como se acomete el desarrollo y el despliegue efectivo de la IoT.

Los esfuerzos y estímulos en I+D+I (Investigación, Desarrollo e Innovación) en éste área, deberían ir siempre de la mano de la transparencia y el intercambio de aportes que permita llegar a:

  • Una normalización de la IoT.
  • La autorregulación del sector.
  • La regulación legislativa focalizando en la privacidad (Protección de datos personales).

3.2. PbD (PRIVACY by DESIGN – PRIVACIDAD DESDE EL DISEÑO)

Es en ésta línea que el borrador del futuro RGPDUE (Reglamento General de Protección de Datos de la UE) ya recoge conceptos como el de PbD.

No es cuestionable la mayor eficacia y eficiencia de abordar la privacidad en la fase de diseño de cualquier sistema. A posteriori el esfuerzo es mayor y los resultados menores.

En la realidad actual donde se suceden continuos cambios y avances tecnológicos, el enfoque de PbD es el único que puede garantizar la privacidad de forma sostenible a lo largo del tiempo.

La PbD no tiene por qué ser una cortapisa de los avances tecnológicos y los nuevos negocios que surgen asociados a los mismos.  Toda empresa debe perseguir al menos dos fines:

  • La realización de beneficios para todas las partes interesadas.
  • La permanencia en el tiempo.

Por partes interesadas no me refiero, mediante una visión exclusivamente interna, a accionistas y trabajadores sino a clientes, presuntos clientes y proveedores. Y también a la sociedad en general que, en un mundo globalizado, está pendiente de todo.

Entre todos conforman un ecosistema que debe ser sostenible en el tiempo. Si una de dichas partes interesadas descubre que no se respetan sus derechos fundamentales (privacidad), el equilibrio se rompe y el segundo fin (permanencia en el tiempo) pasa a peligrar o en el mejor de los casos se penaliza el primero (realización de beneficios).

Los 7 principios en los que, según Ann Cavoukian (Information & Privacy Commissioner Ontario, Canada) [2], se basa la PbD y son la clave para la consecución práctica de sus ventajas estratégicas son:

  • Proactividad y no reacción; Prevención y no corrección.
  • Privacidad como configuración o "línea base" predeterminada.
  • Privacidad integrada en el diseño.
  • Mantener una funcionalidad plena.
  • Protección de datos en todo el "ciclo de vida".
  • Visibilidad y transparencia.
  • Centrado en el usuario (Respeto por su privacidad).

Volviendo al concepto de "ecosistema sostenible" que emana de la PbD, éste debe perseguir los siguientes logros desde la fase de diseño y durante todo el ciclo de vida:


3.3. IMPLICACIONES LEGALES DE LA IOT

Como venimos exponiendo, la relación que surge entre el objeto y su usuario o propietario genera un tráfico de información por Internet que es susceptible de ser recabada y analizada. En la actualidad, es más claro que nunca, que la información es poder y, también, riqueza. Basta con pensar en la Ley 37/2007 sobre reutilización de la información del sector público, precursora de la reciente Ley 19/2013, de 9 de diciembre [9], de transparencia, acceso a la información pública y buen gobierno, en la que se trata de poner en práctica en España el denominado Open Data y en las oportunidades de negocio que se crean al tratar los datos de los que disponen las Administraciones Públicas.

NOTA DEL EDITOR: La relación entre el Open Data y la IoT es clara. Con la proliferación de las llamadas “Smart Cities – Ciudades Inteligentes”, un inmenso volumen de información tratada mediante técnicas analíticas (Big Data) se genera procedente de infinitos sensores distribuidos por toda la ciudad mediante IoT. Las Administraciones Públicas podrían poner parte de ella a disposición de quien la requiera, además de la procedente de documentos y registros generados por personas.

Ya en 2006, el estudio MEPSIR elaborado por la Comunidad Económica Europea estimaba que el valor del mercado de la reutilización en Europa podía llegar a las 47.000 millones de euros. El uso de Internet y de sistemas informáticos hacen posible la reutilización de otras informaciones procedentes de otros mercados, como el estadounidense, pues desde que en 2009 el Presidente Obama firmara el Memorándum para la Transparencia y el Gobierno Abierto, han sido muchos los gobiernos que han puesto en marcha proyectos en este sentido.

Las implicaciones legales de la IoT, como no podía ser de otra manera, son las propias del Derecho de Internet: la protección de los datos de las personas físicas o, como se viene denominando últimamente, la privacidad de las personas; la represión de conductas delictivas; la protección de los derechos de propiedad intelectual y el secreto industrial; y la posibilidad de cesión de esos datos en un formato que sea reutilizable.

Quizá los dos aspectos más claros, en donde a primera vista, se evidencian problemas jurídicos, sean la protección de datos y el ámbito de los delitos.

Tal vez, lo que más llama la atención del público en general son los dos temas apuntados en primer lugar ya que, además, se encuentran íntimamente relacionados. Los objetos que emiten datos son utilizados por personas cuya privacidad puede ponerse en entredicho como consecuencia de la información suministrada.

Desde hace bastante tiempo, es conocido el servicio que algunas empresas prestan, por medio del teléfono móvil, informando de la existencia de comercios que pueden resultar interesantes a quien camina por la calle. Eso es posible porque antes se han recabado datos acerca de nuestros hábitos de compra, aficiones, etc.

Dichos datos, son recopilados en ficheros de tratamiento informático a los cuales resultan de aplicación las disposiciones de la Ley Orgánica 15/1999 de Protección de Datos que, entre otras disposiciones, exige la necesidad de que se nos informe del proceso de recogida de datos.

Precisamente, desde hace relativamente poco tiempo, cuando accedemos a las páginas webs, se nos avisa del uso de las cookies que, como es bien sabido, son pequeños ficheros, archivos o dispositivos que se nos descargan en nuestro equipo o terminal al acceder al sitio web con la finalidad de almacenar datos sobre nuestros hábitos de conducta y que posteriormente pueden ser tratados con la legítima finalidad indicada anteriormente, o con otras que quizá no lo sean.

Podría ser discutible que las cookies puedan considerarse como pertenecientes a la IoT y no es nuestro objeto entrar en ese tipo de disquisiciones, pero no cabe duda de que esa información es generada, antes sin darnos cuenta, por el uso que hacemos de nuestros dispositivos al navegar por Internet.

También podría discutirse si nos encontramos ante un caso de IoT, el producido en los Estados Unidos cuando un padre se enteró del embarazo de su hija menor al recibir en su domicilio información comercial sobre productos para embarazadas a nombre de su hija.

Sea o no un caso de IoT, es evidente que entre la cosa utilizada o producto adquirido y la persona que la usa o adquiere se da una relación que debe ser protegida, al menos en lo que se refiere a la identidad de las personas.

Es lícito saber el número de productos que se adquieren en un supermercado, incluso puede ser beneficioso para todos, de hecho, existen ejemplos de cómo, mediante un traspaso de información entre las agencias de viajes y los supermercados de determinada zona turística, se satisface muy adecuadamente la demanda de determinados productos por parte de quienes vienen a disfrutar de sus vacaciones. Pero lo que no es lícito saber es, si la concreta persona que ha adquirido el billete de avión, también ha consumido determinada cantidad de bebidas alcohólicas.

Una de las últimas noticias sobre este tema y que ha despertado una lógica alarma ha sido el anuncio realizado por Ford acerca de los dispositivos GPS de sus automóviles y de la cantidad de información que esta empresa posee de sus clientes. En una desafortunada intervención, su vicepresidente global de ventas y marketing afirmó que conocían quienes incumplían la ley al haber incorporado la tecnología GPS en sus vehículos. Al mismo tiempo, también hablaba de las medidas adoptadas para preservar la privacidad de sus clientes.

Como es lógico, esa práctica, al menos en España, es completamente ilegal si quien ha adquirido el vehículo no ha dado su consentimiento, por varios motivos:
  • Primero, por el atentado a la privacidad que supone.
  • En segundo lugar, por atentar al derecho de propiedad pues nadie puede instalar aparato alguno en mi vehículo sin mi consentimiento.
  • Y, en tercer lugar, porque es difícil encontrar por parte de Ford una finalidad que le legitime a recabar esos datos, salvo que haya mediado un contrato de, por ejemplo, asistencia en carretera y sólo si se trata de cumplir con la finalidad legítima, de manera que el GPS no podría estar enviando datos constantemente, sino sólo en los casos en que se requiera de la prestación asistencial.

Por lo que se refiere al ámbito del Derecho Penal, no es nada desdeñable la posibilidad de cometer delitos si se accede a dispositivos que sean sensibles, por ejemplo, en el ámbito médico.

En estos supuestos, y salvo que exista un tipo penal específico, habrá que valerse de las infracciones genéricas existentes en el Código Penal, como el homicidio, la estafa, las lesiones, etc.

Si alguien accede vía Internet al sistema de calefacción de nuestra casa de campo y lo programa para que esté a la máxima potencia durante toda la semana, es indudable que se produce un daño económico por el gasto inútil de energía. Y no digamos si lo que se interviene es un marcapasos, en este caso pueden existir coacciones, lesiones y daño económico.

Si estas reprobables conductas llegaran a ser habituales, sería necesario tipificar un nuevo delito de manera que se pudiese sancionar tal conducta delictiva de una manera más agravada que las de los delitos genéricos.

Finalmente, y para señalar una de las múltiples ventajas de la IoT, hay que hacer hincapié, por lo que se refiere a las Administraciones Públicas, en el deber de suministrar los datos que posean en un formato susceptible de ser tratado mediante diversas aplicaciones informáticas. En este sentido, previamente deben eliminarse los datos personales y, al contrario de lo que sucede con las empresas privadas, deberían facilitarse de manera gratuita ya que han sido obtenidos con fondos públicos. La necesidad de contar con la oportuna licencia debe considerarse como una simple tasa y para asegurar que se cumplan un mínimo de requisitos en el uso de la información, como por ejemplo, que se cite la fuente de dónde se hayan obtenido.

4. RASGOS QUE PUEDEN DEFINIR LA IoT [5]

La ubicuidad y omnipresencia. Algunos anuncian que las personas estarán envueltas y sumergidas por la Internet de las cosas y no habrá una forma clara de exclusión voluntaria y de pleno derecho de la IoT, a excepción de un retiro a un entorno natural y virgen, que va a ser difícil de encontrar en el resto del siglo XXI.

En consecuencia los que apostamos por la innovación y al mismo tiempo velamos por la privacidad, debemos estar vigilantes.

La miniaturización y la invisibilidad. El ordenador  personal, tal como lo conocemos hoy en día, desaparecerá gradualmente; de hecho ya lo está haciendo. La tecnología informática se convertirá en transparente y ubicua con tendencia a desaparecer de la vista humana. Así que, aunque la funcionalidad es importante, será en gran parte invisible.

Esto requiere medidas especiales de diseño para hacer que la tecnología pueda hacerse aflorar y por consiguiente susceptible a los procedimientos de inspección, auditoría, control de calidad y rendición de cuentas.

La ambigüedad y la ontología. Las diferencias entre los objetos naturales, dispositivos y seres humanos tienden a desdibujarse como resultado de la transformación fácil de entidades de un tipo a otro por medio de la reingeniería y la absorción en redes de dispositivos. Vamos a tener que hacer frente tanto a nivel práctico como conceptual a criterios ambiguos de fronteras identitarias como límites de los sistemas.

La identificación. Se refiere a la identidad electrónica de las cosas obtenida mediante el etiquetado en las redes de objetos. Habrá que acostumbrarse al hecho de que además de los objetos y dispositivos especiales, todo el resto (aparentemente objetos y dispositivos insignificantes y sin valor) posiblemente dispondrán de identidades únicas. Esta característica es fundamental para la idea de la IoT.

Para quienes tengan que asignar, administrar y gestionar estas identidades, el hecho de acceder a ellas y a lo que implican en un mundo globalizado y cada vez más pendiente de la privacidad, no será una cuestión de gobernanza trivial.

NOTA DEL EDITOR: El protocolo de direccionamiento de Internet IPv6 surge como prevención real de que se agoten las posibilidades de asignación de direcciones IP a nivel mundial, mediante el actual sistema IPv4. Con IPv6 será posible asignar una dirección IP unívocamente a cada objeto, de manera que lo identifique de por vida, sin que por ello se agoten las direcciones disponibles. La mayoría de sistemas actuales, aunque no lo estén utilizando, ya admiten IPv6.

  • IPv4 permite un número máximo teórico de 4.294.967.296 direcciones IP (232).
  • IPv6, el futuro protocolo de internet definido en 2008, permite un número máximo teórico de 340 sextillones (2128) de direcciones IP.

Téngase en cuenta que la población mundial actual [referida a 2013] es de aproximadamente 7.116 millones de habitantes. Con IPv4 no se llega ni a una sola dirección IP por habitante.

La conectividad. En la IoT se concibe un grado de conectividad sin precedentes entre los objetos y las personas en las redes, lo que implica un alto volumen de producción y  transferencia de datos.

La mediación y la acción autónoma. El entorno de la IoT posibilita formas de ampliar y aumentar la acción humana. En consecuencia puede existir el riesgo de que se produzcan, de manera imprevista e inesperada, acciones artificiales y espontáneas en el curso de los acontecimientos humanos.

Los seres humanos deberán actuar coordinadamente en entornos IoT junto a objetos, dispositivos y sistemas, constituyendo sistemas híbridos.

La inteligencia embebida y la extensión de la mente. Los objetos inteligentes y dinámicos, actuando como herramientas de comportamiento destacado mediante funciones embebidas de conocimiento e inteligencia artificial, podrían convertirse en una extensión del cuerpo humano y la mente.

En otra escala, algo así ya ocurre ahora en cierta medida con dispositivos tipo Smart-phones, donde el acceso a la inteligencia y a los datos que transportan puede llegar a ser considerada como necesaria para la acción  humana de moverse. Tener acceso a la telefonía móvil, mensajería instantánea, las redes sociales… La gente se sentiría cognitiva y socialmente discapacitada sin ellos pese a tratarse, hoy por hoy, de una tecnología en fase incipiente.

La transferencia continuada. La interacción, el flujo de información en el contexto de la IoT se producirá sin demasiado esfuerzo económico, al ser muy bajos los costes de la información y las transacciones.

El control distribuido. El control y la gobernanza de la IoT no estarán centralizados debido a su gran cantidad de nodos, hubs y datos. Deben contemplarse propiedades emergentes y fenómenos que deberán ser gobernados y controlados de forma adecuada a su naturaleza distribuida. Esto tiene implicaciones para el principio  de rendición de cuentas.

Big Data. IoT puede considerarse como la “zona cero” de la enorme generación de datos conocida como Big Data, con almacenamiento, flujo y proceso a nivel de Exabytes y más allá.

La imprevisibilidad e incertidumbre. El desarrollo incremental de la IoT puede dar lugar a nuevos comportamientos sin que las personas tengan pleno conocimiento del entorno IoT.

5. ASPECTOS QUE INTERVIENEN EN LA ACTUAL IoT

Hay una lista muy amplia de  aspectos que intervienen o pueden intervenir en la actual Internet de las Cosas. Esto nos da una idea del grado de complejidad que puede adquirir la IoT:

Marcos de referencia: Desarrollo y perfeccionamiento de los marcos de referencia estructurales en relación a nuevas tecnologías. Cuestiones clave son las técnicas de identificación de objetos, la virtualización, la descentralización mediante Cloud Computing y las técnicas analíticas sobre grandes volúmenes o Big Data.  También debe garantizarse la interoperabilidad en todos los ámbitos de aplicación.

Seguridad y Privacidad: Desarrollo de procedimientos y marcos (PbD: Privacy by Design - seguridad en el diseño) para garantizar que todos los usuarios, tanto de las empresas como particulares, confíen en las aplicaciones basadas en la IoT y mantengan un cierto poder de control sobre los propios datos y el ciclo de vida asociado. Una herramienta que puede ayudar es acompañar los proyectos con un PIA (Privacy Impact Assessment – evaluación de impacto en la privacidad).

Software (Apps y Middleware): Soporte para el análisis (técnicas analíticas de Big Data) y el procesamiento de flujos de datos provenientes de muestreos, mediante gran cantidad de sensores, de diferentes dispositivos. Se complementa con el filtrado de eventos y capacidad de gestión de la complejidad.

Sensores: Integración de sensores inteligentes y capacidades de razonamiento en las redes y en los dispositivos de recolección.

Interfaces: Integración mediante interfaces multi-nodales que permitan todo tipo de interacciones H2M (hombre-máquina), enriqueciendo la experiencia del usuario al posibilitar hacer frente a una gran densidad de información.

Pruebas y Normalización: Las disposiciones vigentes en la IoT están aún en evolución y los efectos sobre los despliegues masivos tienen que ser mucho mejor estudiados. Las pruebas y los “pilotos” de gran escala son absolutamente cruciales y deberían conducir posteriormente a la normalización para garantizar la interoperabilidad y la reducción de la complejidad.

Modelo de negocio: Se requiere una explotación racional del potencial que representa la IoT.  No solo para los actores ya existentes, sino también para los nuevos que irán apareciendo debido al “modelo de negocio” que lleva asociado y que está en una fase incipiente de desarrollo.

Implicaciones sociales y éticas: La Internet de las cosas está empezando a cambiar nuestras vidas, pero paralelamente a los grandes avances tecnológicos de la IoT, se debería también avanzar en consideraciones respecto a la privacidad de las personas y su repercusión en la sociedad que también evoluciona.

Gobierno de la IoT: El gobierno de IoT, más que el gobierno de los objetos en sí mismos se refiere a su interacción con el entorno, en un contexto global gracias a Internet. No podemos gobernar de espaldas a los riesgos. Nuevos modelos, protocolos y marcos de referencia deben cubrir también aspectos legales que son necesarios para garantizar la adecuada confianza, preservar la identidad y gestionar responsablemente.

Cooperación internacional: La IoT es un tema verdaderamente global, que muestra interesantes casos de aplicación en diferentes partes del mundo. Además, como sólo funcionará si se mantiene un cierto nivel de interoperabilidad, es fundamental un entendimiento común entre las diferentes naciones implicadas.

Integración de los resultados de otras disciplinas: Básicamente las TIC, la robótica, la nanotecnología, la biomedicina y las ciencias cognitivas, proporcionan una rica fuente de inspiración y aplicaciones para el desarrollo futuro de la Internet de las cosas.

También se debe mencionar que la IoT conecta ampliamente a otros campos de actividades como enfoques Cloud, Internet del futuro, Big Data, Smart Cities, etc.



 6. SISTEMAS AUTÓNOMOS DE IoT [3]

Los espectaculares avances en la tecnología que soporta la IoT han introducido cada vez más complejidad y ha aumentado también la escala requerida en los sistemas TIC (Tecnologías de la Información y las Comunicaciones).

La computación autónoma, inspirada en los sistemas biológicos, se ha propuesto como gran reto el permitir que los sistemas auto-gestionen esta complejidad, mediante orientaciones de alto nivel y políticas definidas por los humanos. El objetivo es proporcionar algunas propiedades de auto-x en el sistema, donde “x” puede ser de adaptación, organización, optimización, configuración, protección, curación, descubrimiento, descripción, etc.
La autonomía es por lo tanto una propiedad imprescindible que deben tener los sistemas de IoT. Los sistemas autónomos, sin embargo,
también requieren de mayor atención en cuanto a regulación y cumplimiento legal.

Las siguientes propiedades son particularmente importantes para poder entender los riesgos inherentes de este tipo de sistemas de IoT:

Auto-adaptación. En el contexto muy dinámico de la IoT, desde la capa física hasta la capa de aplicación, la auto-adaptación es una propiedad esencial, que permite comunicarse a los nodos y a los servicios que los usan, para reaccionar de una manera oportuna a los continuos cambios de contexto de acuerdo con, por ejemplo, las políticas del negocio u objetivos de rendimiento definidos por los seres humanos. Los sistemas autónomos de IoT deben ser capaces de razonar autónomamente y tomar sus propias decisiones  auto-adaptativas.

Auto-organización. En los sistemas de IoT es frecuente  disponer de nodos que se unen y abandonan la red de forma espontánea. La red debería por lo tanto, ser capaz de reorganizarse a sí misma a pesar de esta topología evolutiva. Protocolos de enrutamiento eficientes tienen una considerable importancia en aplicaciones de IoT con el fin de proporcionar intercambio de datos sin fisuras a través de redes altamente heterogéneas.

Auto-optimización. Un uso óptimo de los recursos limitados en los dispositivos de IoT (Como la memoria, el ancho de banda, el procesador, y lo más Importante, la energía), es necesario para despliegues sostenibles y de larga vida. Teniendo en cuenta algunos logros de optimización en términos de rendimiento, consumo de energía o QoS (Quality of Service - Calidad de Servicio), el propio sistema debe realizar las acciones necesarias para alcanzar sus objetivos.


Auto-configuración. Los Sistemas de IoT están potencialmente constituidos por  millares de nodos y dispositivos como sensores y actuadores. La configuración del sistema es por tanto muy compleja y difícil de manipular a mano. El Sistema de IoT debe proporcionar facilidades de configuración remota para que las aplicaciones de autogestión configuren automáticamente los parámetros necesarios basándose en las necesidades de las aplicaciones y los usuarios. También la instalación, desinstalación y actualización remota de software.


Auto-protección. Debido un su naturaleza inalámbrica y ubicua, IoT es vulnerable a numerosos ataques maliciosos. Como la IoT está estrechamente relacionada con el mundo físico, los ataques vendrán con el objetivo de controlar dicho entorno o también para la obtención de Datos Privados. Los sistemas de IoT autónomos deberían poder reajustarse a sí mismos en diferentes niveles de seguridad y privacidad, sin afectar demasiado a la calidad del servicio y a la calidad de la experiencia, algo que se conoce como equilibrio win-win (ganar-ganar).


Auto-curación. El objetivo de esta propiedad es detectar y diagnosticar  problemas cuando ocurran e inmediatamente tratarlos y corregirlos de forma autónoma. Los Sistemas de IoT deben controlar continuamente el estado de sus diferentes nodos y detectar cuando se comportan de manera diferente de lo esperado. Pueden entonces realizar acciones para solucionar los problemas encontrados mediante la reconfiguración de parámetros o la instalación de una actualización de software.


Auto-descripción. Las “cosas” y sus recursos (sensores y actuadores) deben ser capaces de describir sus características y capacidades de una manera clara y completa con el fin de permitir que otros objetos comunicadores puedan interactuar con ellos. Dispositivos adecuados, formatos de descripción de servicios y lenguajes deben ser definidos, posiblemente en el nivel semántico. Los lenguajes existentes deben readaptarse con el fin de encontrar un equilibrio entre la expresividad, la conformidad y el tamaño de las descripciones. La auto-descripción es una propiedad fundamental para implementación de dispositivos y recursos “plug ’n play”.


Auto-descubrimiento. Junto con la descripción de sí mismo, la función de auto-descubrimiento juega un papel esencial para implementaciones exitosas de IoT. Los dispositivos/servicios de IoT deben ser dinámicamente descubiertos y utilizados por los otros de una forma sencilla y transparente. Sólo unos potentes y expresivos protocolos de descubrimiento de dispositivos y servicios (junto a los protocolos de descripción) permitirán a un sistema de IoT ser totalmente dinámico (topología sabia).


Auto-adaptación. Para aprovechar completamente el potencial de la IoT, los objetos virtuales tendrán que:
  • Ser reutilizables fuera del contexto para el que fueron originalmente desplegados.
  • Ser confiables en el servicio que proporcionan y los que puedan llegar a proporcionar.

7. CONFIANZA, SEGURIDAD Y PRIVACIDAD [3]

7.1. CONFIANZA PARA LA IoT

La IoT es un fenómeno a gran escala abarcando sensores, aplicaciones y servicios a través de múltiples dominios administrativos y regímenes de propiedad. Por consiguiente surge la necesidad de establecer un marco de confianza que permita a los usuarios del sistema confiar en la información y servicios que se intercambian.

El marco de confianza debe ser capaz de tratar con los seres humanos y con las máquinas y debe ser lo suficientemente robusto como para ser utilizado sin DoS (Denegación de Servicio).

Para ello se requieren avances en las siguientes áreas:
  • Infraestructuras Ligeras de Clave Pública (PKI), como base para gestionar la confianza mediante conceptos de certificados digitales que habiliten soluciones para hacer frente a los requisitos de escalabilidad.
  • Sistemas ligeros de gestión de claves que permitan a las relaciones de confianza que se establezcan, la distribución de mensajes cifrados utilizando las mínimas comunicaciones y recursos de procesamiento en coherencia con la naturaleza de recursos limitados en la mayoría de dispositivos de la IoT.
  • La calidad de la información es un requisito para muchos sistemas basados ​​en la IoT donde los metadatos se pueden utilizar para proporcionar una evaluación de la fiabilidad de los datos de la IoT.
  • Los sistemas descentralizados y auto-configurables como alternativa a PKI para establecimiento de relaciones de confianza, por ejemplo, federación de identidades y sistemas de igual a igual. Nuevos métodos para la evaluación de la confianza en las personas, los dispositivos y los datos, más allá de los sistemas de reputación.
  • Métodos de garantía para las plataformas de confianza, incluyendo hardware, software, protocolos, etc.

7.2. SEGURIDAD DE LA IoT

A medida que la IoT se convierte en un elemento clave de la Internet del Futuro y una infraestructura crítica nacional/ internacional, la necesidad de proporcionar una seguridad adecuada a la infraestructura de la IoT se hace cada vez más importante. Aplicaciones y servicios de gran envergadura basados ​​en la IoT son cada vez más vulnerables a las interrupciones por ataques o al robo de información.

Se requieren avances en varias áreas para que la IoT esté a salvo de las personas con intenciones maliciosas, incluyendo:
  • Ataques de DoS (Denegación de Servicio) / DDoS (Distributed Denial of Service) que ya están actualmente presentes en Internet. En consecuencia, la IoT también es susceptible a este tipo de ataques.  Se requieren técnicas y mecanismos específicos para asegurar que el transporte, la energía, (…), las infraestructuras críticas de la ciudad no puedan  desactivarse o manipularse.
  • Detección de ataques y recuperación / resiliencia para hacer frente a amenazas específicas de la IoT, como los nodos comprometidos y los ataques de hackers mediante código malicioso.
  • Se requerirá Ciber-conocimiento de la situación, para desarrollar herramientas / técnicas que permitan monitorizar las infraestructuras de IoT. Los avances son necesarios para que los operadores adapten las medidas de protección de la IoT durante el ciclo de vida del sistema, de modo que éstas sean las más adecuadas a los ataques.
  • La IoT requiere una variedad de controles de acceso y esquemas de rendición de cuentas asociados para soportar los diversos modelos de autorizaciones y acceso que son requeridos por los usuarios. La heterogeneidad y diversidad de los dispositivos / gateways que requieren control de acceso requerirá desarrollar nuevos esquemas ligeros.
  • La IoT debe manejar virtualmente todos los modos de operación por sí misma sin confiar en el control humano. Las nuevas técnicas y enfoques, por ejemplo, el  aprendizaje automático, nos llevan a una IoT auto-gestionada.

7.3. PRIVACIDAD DE LA IoT


Como parte de la información en un sistema de IoT pueden ser datos personales, existen requerimientos legales para apoyar el anonimato y la manipulación restrictiva de dicha información de naturaleza personal.

Hay una serie de áreas donde los avances son necesarios:
  • Técnicas de cifrado que permiten que los datos protegidos sean tratados (almacenados, procesados y compartidos), sin que el contenido de la información sea accesible a terceros.
  • Técnicas de apoyo al concepto de “PbD - Privacidad por Diseño”, incluyendo minimización de datos, identificación, autenticación y anonimato.
  • Mecanismos de control de accesos de grano fino y auto-configurables emulando el mundo real.

Hay una serie de implicaciones de privacidad, derivados de la ubicuidad y omnipresencia de los dispositivos de la IoT, en que se requiere más investigación incluyendo:
  • Preservar la privacidad de la ubicación, donde la ubicación puede inferirse a partir de objetos asociados con las personas.
  • Prevención de inferencias a la información personal, que los individuos desearían mantener en privado, a través de la observación de los flujos de intercambio de datos relacionados con la IoT.
  • Mantener la información lo más local posible utilizando informática descentralizada y gestión de claves.

8. IMPORTANCIA DE LA GOBERNANZA DE LA IoT [6]

La conexión entre objetos en la IoT se efectúa habitualmente asignándoles un identificador y un medio para que se conecten a otros objetos o a la red.

La cantidad de información en el mismo objeto suele ser limitada, y el resto reside en algún otro lugar de la red. En otras palabras: acceder a la información sobre un objeto implica establecer una comunicación en red, por lo que se plantean las siguientes preguntas inmediatas:
  • ¿Cómo está estructurada esta identificación? (denominación del objeto).
  • ¿Quién asigna el identificador? (autoridad responsable de la asignación).
  • ¿Cómo y dónde puede obtenerse información adicional sobre el objeto, incluida su historia? (mecanismo de direccionamiento y depósito de información).
  • ¿Cómo se garantiza la seguridad de la información?
  • ¿Qué “partes interesadas” son responsables de cada una de las cuestiones anteriores y cuál es el mecanismo de rendición de cuentas?
  • ¿Qué marco ético y jurídico se aplica a las diferentes partes interesadas?


Los sistemas de IoT que no hayan tratado adecuadamente estas cuestiones podrían acarrear graves consecuencias negativas, como las siguientes:
  • El tratamiento inadecuado de la información podría dar lugar a la revelación de datos personales o comprometer la confidencialidad de datos empresariales.
  • La asignación inadecuada de derechos y deberes de los agentes privados podría bloquear la innovación.
  • La falta de transparencia podría poner en peligro el funcionamiento y la sostenibilidad del propio sistema de IoT.

9. BIBLIOGRAFÍA CONSULTADA

[1] Arturo Vergara Pardillo (Investigador de la UPM). “Retos del Internet de las Cosas”. Colegio oficial ingenieros de telecomunicación. Presentación.

[2] Ann Cavoukian, Ph.D. "Privacy by Design - The 7 Foundational Principles". January 2011.
7 principles

[3] Dr. Ovidiu Vermesan and 8+. “Europe,s IoT strategic research agenda 2012”. (The Internet of Things 2012. New Horizons. CASAGRAS2 an EU Framework 7 Project / IERC European Research Cluster on the Internet of Things). 3rd Edition of the Cluster Book.

[4] Neelie Kroes (Vice President of the European Commission and Commissioner Digital Agenda Europe). “Ethical implications of tomorrow’s digital society”. (The Internet of Things 2012. New Horizons. CASAGRAS2 an EU Framework 7 Project / IERC European Research Cluster on the Internet of Things). 3rd Edition of the Cluster Book.

[5] Jeroen van den Hoven and 7+ (Chair Ethics Subgroup IoT Expert Group). “Fact sheet- Ethics Subgroup IoT - Version 4.0”. Delft University of Technology. 2012.

[6] COMISIÓN DE LAS COMUNIDADES EUROPEAS. “Internet de los objetos — Un plan de acción para Europa”. Bruselas, 18/06/2009.
IoT Plan de acción para UE

[7] Fundación de la innovación Bankinter. “El Internet de las cosas – En un mundo conectado de objetos inteligentes”. 2011.

[8] INTECO - AEPD “Guía sobre seguridad y privacidad de la tecnología RFID”. Mayo 2010.
Guía RFID

- [9] BOE número 295. “Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno”. Martes 10 de diciembre de 2013. 12887.
Ley 19/2013


- Pablo García Mexía. “Internet de las cosas: aún más retos para un marco legal de por sí desbordado”. 2 de septiembre 2013. La Ley en la Red. ABC. Página web consultada el 24 de octubre de 2014.
Internet de las cosas: aún más retos para un marco legal
- [10] Enrique Dans. “The Internet of Everything”. Profesor de IE Business School. Video en Youtube consultado el 2 de febrero de 2014.
The Internet of Everything  (Video)

10. ALGUNAS WEBS RELACIONADAS

[A] Information & Privacy Commissioner Ontario, Canada. PbD (Privacy by Design).
PbD

[B] IERC (European Research Cluster on the Internet of Things). IoT (Internet of Things).
IERC

[C] The Internet of Things Council.  IoT IInternet of Things).
COUNCIL


11. DERECHOS DE AUTOR


Imágenes bajo licencia 123RF internacional.


La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.


Sobre los autores:


Luis Felipe López Álvarez es Doctor en Derecho por la Universidad de Santiago de Compostela y Licenciado en Derecho por la Universidad Complutense de Madrid.

Es profesor de Derecho Administrativo y de Internet de la Universidad a Distancia de Madrid- UDIMA y Socio Director de Syntagma, Centro de Estudios Estratégicos.

También es árbitro TIC y abogado en ejercicio.


José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.
A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.

También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.






6 comentarios:

  1. Gracias. Un artículo muy interesante y completo.

    En relación a la seguridad precisamente estos días ha trascendido la notícia de los primeros ciberataques a dispositivos IoT: se ha descubierto una 'botnet' formada por más de 100.000 dispositivos (Smart-TV y - ¡atención! - Frigoríficos) infectados para ser utilizados como emisores de 'spam'.
    http://investors.proofpoint.com/releasedetail.cfm?ReleaseID=819799

    ResponderEliminar
  2. Gracias a ti Joan por la información adicional.
    Saludos: José Luis

    ResponderEliminar
  3. Interesante artículo. Además de ilustrativo a nivel legal, me ha hecho plantearme otro tipo de cuestiones como por ejemplo la transcendencia e influencia en variados campos del asunto de la inteligencia embebida y la extensión de la mente... Gracias por la información y por darnos materia para pensar..

    ResponderEliminar
    Respuestas
    1. Muchas gracias por tu opinión Eugenia.
      Hemos intentado plasmar, con la visión de hoy, las situaciones susceptibles de plantearse con la futura proliferación de la IoT, a partir de un análisis de sus características, aspectos esenciales y riesgos a tener en cuenta.
      Saludos: José Luis

      Eliminar
  4. Me parece muy interesante y bastante amplia su publicacion

    ResponderEliminar
    Respuestas
    1. En nombre de Luis Felipe y el mío propio, muchas gracias Yan por tu comentario.
      Saludos cordiales,
      José Luis

      Eliminar

Nota: solo los miembros de este blog pueden publicar comentarios.