Una de las ideas para protección de la privacidad más interesantes que he leído ha pasado desapercibida. Se trata de la propuesta de la investigadora informática Sara Matheu, explicada con una claridad envidiable en una entrevista en El País el pasado día 24 de noviembre.

A poco que uno vea o lea las noticias ya sabe que la mayor parte de la atención respecto a las amenazas a la privacidad se están centrando en los dispositivos: ordenadores, smartphones, o en los sistemas basados en software tipo gestores de correo, aplicaciones, y otros.

Ocasionalmente se habla de alguna amenaza del entorno personal a través de objetos cotidianos, lo que se ha dado en llamar “Internet de las Cosas”, pero que igual podría llamarse “el espía en casa”. Porque de eso se trata en muchas ocasiones, de espías que igual que te facilitan la vida te están limitando las opciones ofreciéndose lo que el programador de algún algoritmo cree que encaja en tu vida. Pero eso es harina de otro costal. De lo que hablamos es de la que debe ser la segunda frase más tópica de la ciberseguridad, por detrás de la de “si es gratis, tú eres el producto”. Esa segunda frase es “si tiene IP, es hackeable”. Y es tan cierta como la primera.

La posibilidad de que unos malhechores usen tu ordenador para zombificarlo y minar criptomoneda, o lo hagan con tu móvil, es alta. Cierto. E inquietante. ¿Hay alguna idea más inquietante? Pues sí, la hay. La posibilidad de que el osito de peluche de tu hija grabe su voz, o la tuya, transmita datos de localización, mida gustos por las palabras que “escucha”, o saque fotos sin permiso, no es ficticia. Es real.

Si tiene la tecnología, puede hacerlo. Y no siempre con permiso. Incluso teniendo permiso ¿es deseable? No lo creo.
Así que Sara Matheu ha propuesto, si no una solución, una buena aproximación a ella. Ha propuesto nada menos que crear un etiquetaje para los dispositivos que permita conocer de un vistazo los riesgos del uso de los mismos. Un sencillo esquema en tela de araña, como este, tan majo, que se plantea en el artículo «Proposal of Certification and Benchmarking for the Internet of Things» de la investigadora que deja ver en un instante donde están los mayores riesgos en varias de las posibles dimensiones del dispositivo y su funcionamiento. Según indicaría Sara en su modelo, a más concentrado el “círculo”, más seguro. Y ya si cuenta con un código de colores, pues fenomenal.

Propuesta de etiquetaje ciberseguridad de dispositivos IoT Internet de las Cosas por Sara Matheu

 

Pero ¿por qué es interesante?

Pues además de por ejemplo de que estés hablando tranquilamente de comprar un cortaúñas y a continuación tu teléfono te ofrezca media docena en cuanto abras el navegador, por dos razones.

Dos razones para adoptar este etiquetaje de seguridad

Primera, permite a los consumidores tomar decisiones sobre lo que instalan o activan en sus casas con más información. Recordemos que la Ley de Protección de Datos y Garantía de Derechos Digitales liga las decisiones libres a que se tenga la información necesaria para tomarla (con una lógica impoluta). Esto aparece en su artículo 6, que habla del consentimiento de los interesados.

Así, cualquier consumidor podría evaluar si una webcam, un juguete, o un smartphone en el mercado cuentan con unas características que nos interesan o no. Igual que sucede desde hace mucho con otros etiquetajes, que podrían implicar si un alimento lleva un alérgeno o si un colchón es especialmente inflamable.

Luego estaría la posibilidad de que las organizaciones de consumidores evaluaran si en etiquetaje declarado se corresponde con las características del producto. Como cuando la OCU revisa, por ejemplo, los dispositivos de retención para bebés de los coches.

Y segunda, que no crean los lectores que me he perdido, la defensa contra técnicas limitantes del mercado basadas en oferta masiva.

Lo explico. Tenemos una de las grandes empresas de seguridad doméstica actuando en nuestro barrio. Sus comerciales peinan la zona y a al cabo de un tiempo tienen todos los domicilios con su sistema de seguridad contratado. Ese sistema incluye una webcam que se activa en caso de intrusión. En principio, SOLO en caso de intrusión. Ejem.

Pero claro, estas quinientas cámaras y su software han sido proporcionados por un mismo proveedor, que las ha vendido por todo el país como las cadenas de comida rápida venden diez mil hamburguesas iguales, de la misma carne, la misma plancha, el mismo peso…

Ahora, gracias a una buena oferta y un esforzado ímpetu comercial, tenemos un millón de cámaras iguales a todos los efectos en un millón de domicilios. Ahora, tenemos un problema. Un problema que se llama que la vulnerabilidad de una de ellas está replicada nada menos que en las novecientas noventa y nueve mil cámaras hermanas gemelas. Un hacker que hackea una de ellas… Sí, ha descubierto cómo hackear todas las demás. Igual puede subir su descubrimiento a YouTube. Igual puede vender los accesos en TOR. Igual una potencia extranjera puede hacer daño a medio país de un disparo.

Pues en eso estamos.

Sí, lo sé. Proveedores más pequeños son igualmente vulnerables por otras razones, por ejemplo, por menos profesionalidad, o por mayores dificultades para controlar la seguridad. A fin de cuentas, Microsoft ™ es grande porque todos los hackers del mundo comienzan probando sus habilidades contra sus sistemas. Eso hace que la empresa aprenda, y hasta crezca.

Pero eso no quita para que el efecto de las vulnerabilidades, en el caso de dispositivos muy vendidos, tengan un mayor potencial para hacer daño masivo a mucha gente.

Y por esto también es interesante la idea de Sara Matheu, que desde aquí deseo se implante en el marco legal de la Unión Europea, como obligatorio.

Como mejora, de cara a la Protección de Datos, que es lo que aquí nos ocupa, proponemos añadirle la Transparencia como dimensión adicional al esquema de tela de araña, entendida como Transparencia Normativa para con ésta dejar claro los recursos de protección y defensa legal que como consumidor se asocian al uso del producto etiquetado.

 

 

Si deseas conocer más del trabajo de la investigadora en ciberseguridad Sara Matheu, puedes encontrarlo en Research Gate