En 2018 ISO, junto con la Comisión Electrotécnica Internacional (IEC), publicó la ISO/IEC 30141, el primer estándar de arquitectura de referencia normalizada centrada en Internet de las Cosas (IoT), esa compleja fusión de miles de millones de dispositivos inteligentes conectados. La aplicación de esta norma hará posible un IoT más eficaz, seguro, resiliente y mucho más protegido.
La revista de ISO, la Organización Internacional de Normalización, se llama ISOfocus y es bimestral. Aquí se reproducen algunos contenidos. ISOfocus incluye artículos, reportajes y entrevistas que muestran los beneficios de la aplicación de las normas internacionales. Bajo licencia Creative Commons (CC BY-NC-ND 2.5 CH)
Rick Gould
En los dos años transcurridos desde el primer artículo sobre Internet de las Cosas (IoT) en ISOfocus, allá por 2016, han sucedido muchas cosas. En primer lugar, se creó un nuevo subcomité centrado en desarrollar normas para este ámbito en rápida expansión, como es el caso de la ISO/IEC 30141. En segundo lugar, varios ataques a gran escala en IoT han demostrado de forma patente la necesidad vital de este tipo de estándares.
Ya son más de 20 años desde que el tecnólogo británico Kevin Ashton creara el término Internet de las Cosas durante su trabajo en Procter & Gamble. Ashton demostró en una presentación cómo la empresa podría usar la identificación de radiofrecuencia (RFID) –la tecnología inalámbrica ampliamente presente hoy en el pago sin contacto y las tarjetas de identificación inteligentes– para el control y seguimiento de productos. La expresión sin duda dejó huella.
La definición oficial de IoT formulada por ISO y la Comisión Electrotécnica Internacional (IEC) determina que es “una infraestructura de entidades, personas, sistemas y recursos de información interconectados, junto con servicios que procesan y reaccionan a información proveniente del mundo físico y del mundo virtual”. Sin embargo, en palabras sencillas, IoT es una red de dispositivos computarizados y, con frecuencia, inalámbricos que permiten a las personas y las máquinas ver, sentir e incluso controlar gran parte del mundo que nos rodea, ya sea a título individual o a una escala mayor y mundial.
De hecho, los dispositivos y sistemas de IoT se han hecho un hueco en la mayoría de los aspectos de la vida moderna, si no en todos. Algunos ya son bien conocidos y son de uso común en los mercados doméstico y de consumo, aunque los mayores usuarios de IoT operan en la industria, salud, gestión municipal y agricultura. En términos simples, cualquier tecnología calificada como inteligente es, probablemente, parte de la creciente familia de la IoT; por ejemplo, contadores inteligentes, coches inteligentes, tarjetas inteligentes, dispositivos inteligentes para deporte, ciudades inteligentes, teléfonos inteligentes, relojes inteligentes, servicios públicos inteligentes, agricultura inteligente, salud inteligente y hasta la fabricación inteligente, que se considera una nueva revolución industrial.
Tecnología que nos acerca
En conjunto, IoT puede hacer que estemos más conectados e informados, seamos más eficaces y eficientes, y generemos menos residuos. Sin embargo, si se hace un mal uso, puede perjudicar la seguridad y resiliencia de nuestras redes informáticas y nuestros datos. No en vano, la relativa simplicidad de los dispositivos IoT es la que plantea tantos desafíos como oportunidades. “Las ventajas son numerosas pero, al mismo tiempo, los mayores riesgos son la resiliencia y la seguridad”, explica Francoise Coallier, Presidente del Subcomité 41 Internet de las Cosas y tecnologías relacionadas del Comité Técnico Conjunto ISO/IEC JTC 1 Tecnologías de la Información. ISO e IEC fundaron el JTC 1/SC 41 para centrarse en las normas sobre IoT, mientras que el JTC 1 en sí es responsable de la normalización internacional en el campo de las TIC y supera ampliamente las 3.000 normas publicadas desde sus inicios en 1987.
Los desafíos de la interoperabilidad, es decir, la capacidad de los dispositivos de IoT para conectarse de manera integrada entre ellos y a otros sistemas, y la seguridad están interrelacionados. “Se desarrollan nuevas tecnologías constantemente y a un ritmo rápido, por lo que su incorporación a la red se ha producido con rapidez y muchas veces a medida que aparecían nuevas tecnologías”, añade Coallier. El crecimiento de IoT es exponencial y se la atribuye un potencial de hasta 50.000 millones de dispositivos IoT conectados de aquí a 2020 y un valor de mercado de billones de dólares estadounidenses.
El año de la bombilla
2016, el mismo año en el que nació el JTC 1/SC 41, fue también el año de la bombilla para IoT, en sentido tanto literal como figurado, debido a varios ataques a gran escala contra las redes. Por ejemplo, en marzo de ese año, el ataque conocido como “Mirai Botnet” paralizó gran parte de Internet en la costa Este de EE. UU., en lo que constituye el mayor incidente en la red hasta la fecha. A muchas personas les sorprendió la rapidez con la que se propagó el código malicioso y lo fácil que le resultó al hacker entrar en redes en apariencia seguras. Pero ¿cómo ocurrió? Se trató de un caso del eslabón más débil de la cadena: los dispositivos IoT situados en el borde de la red. “El creador de Mirai Botnet atacó dispositivos tales como cámaras de CCTV inalámbricas y televisores inteligentes vendidos con un número limitado de nombres y contraseñas de administrador predeterminados”, explica Coallier.
El fabricante produjo millones de estos dispositivos. “El botnet atacante probó cada combinación de nombre de administrador y contraseña en secuencia hasta que pudo acceder y tomar el control del dispositivo. Tras hacerse con el control de más de 100.000 de estos dispositivos, fue capaz de generar fuertes ataques de denegación de servicio que lograron tumbar temporalmente parte de Internet en EE. UU.”, concluye Coallier.
Otro de los ataques se produjo en una fábrica que fue objeto de sabotajes por métodos de ingeniería social contra los equipos personales (PC). “En este caso, parece que desde tales PC se tenía acceso a los sistemas de producción industriales, algo que se habría evitado si estos sistemas hubieran tenido una segmentación de red correcta para aislarlos de los equipos administrativos expuestos a Internet”, apunta Coallier. Lo que es más importante, la red habría sido mucho más segura si simplemente se hubieran aplicado procesos y procedimientos bien documentados y ya descritos en numerosas normas, por ejemplo, la serie ISO/IEC 27033 sobre técnicas de seguridad informática, que exigen la segmentación de las redes para una mayor seguridad.
El mismo año del “Mirai Botnet”, un grupo de investigadores israelíes demostraron el riesgo de hackeo de las redes de iluminación mediante un dron volador modificado y explotando la vulnerabilidad de una popular bombilla inteligente. Bastaba con derrotar las medidas de seguridad de una sola lámpara para infectar y dominar las adyacentes. Los investigadores informaron de que, si una ciudad tenía suficientes bombillas inteligentes con los mismos protocolos de comunicación, el ataque malicioso era capaz de infectar toda la red de bombillas en minutos. Aunque sea un escenario extremo, este ejercicio demostró el posible alcance de los ataques masivos en redes aparentemente seguras, tan solo aprovechando vulnerabilidades imprevistas de los dispositivos sencillos situados en el borde de la red.
Las normas para IoT, al rescate
El desafío de los dispositivos IoT estriba en su simplicidad, unida a una implementación poco cuidadosa y a que los usuarios prestan poca atención a su seguridad. Muchos de estos dispositivos son minicomputadoras simplificadas y de baja potencia dotadas de sistemas operativos compactos basados en Linux, un sistema omnipresente y popular entre los hackers. Significa que los dispositivos IoT tienen requisitos distintos de los de otros equipos; si sus usuarios no aplican unas normas rigurosas para su seguridad, estos factores convierten a IoT en el blanco de los ataques. “IoT es cuestión de yin y yang, ofrece oportunidades; pero tenemos que equilibrarlas con una implementación cuidadosa y prestar mucha más atención a la seguridad”, observa Coallier.
Aquí es donde las normas internacionales reforzarán la operabilidad y la resiliencia de IoT. ¿De qué modo pueden hacerlo? La serie de normas ISO/IEC 29192, por ejemplo, define técnicas de criptografía liviana ideal para los dispositivos sencillos y de baja potencia. En el ejemplo de la bombilla, los investigadores israelíes recomendaron una técnica de seguridad concreta descrita en la Norma ISO/IEC 29192-5 y que especifica tres funciones hash adecuadas para aplicaciones que requieran implementaciones criptográficas livianas. Sin embargo, como en cualquier otro campo en desarrollo, también necesitaremos nuevas normas; y aquí es donde entra en juego el JTC 1/SC 41, cuya misión bien definida abarca la interoperabilidad y, sobre todo, la seguridad.
El subcomité JTC 1 ha publicado hasta la fecha 18 documentos centrados, sobre todo, en las redes de sensores. Entre ellos está también una nota de orientación en la forma del informe técnico ISO/IEC TR 22417 Tecnologías de información – Casos de uso de la Internet de las Cosas (IoT), que proporciona un contexto para los usuarios de normas de IoT. Esta guía abarca aspectos importantes, tales como los requisitos básicos, la interoperabilidad y las normas aplicadas por los usuarios. Lo que es más importante, los ejemplos que aporta aclaran en qué casos entran en juego las normas existentes y resaltan dónde se requiere un mayor desarrollo de la normalización.
Construimos los fundamentos
Las normas de IoT establecen un marco común en temas tales como terminología o arquitecturas de referencia que ayudarán a los desarrolladores de productos a implantar un sistema interoperable. La ISO/IEC 30141 sienta las bases y el marco de referencia para las muchas normas aplicables producidas por el JTC 1/SC 41. “Fuimos conscientes de la necesidad de una arquitectura de referencia para maximizar los beneficios y reducir los riesgos, explica Coallier. Otra norma fundamental es la ISO/IEC 20924 Tecnologías de la información – Internet de las Cosas (IoT) – Definición y vocabulario. En este sentido, Coallier añade que “es importante que quienes trabajan en IoT hablen un mismo lenguaje”. Y las Normas ISO/IEC 20924 e ISO/IEC 30141 proporcionan ese lenguaje común y necesario.
El grupo de trabajo que desarrolló la Norma ISO/IEC 30141 estuvo encabezado por la Dra. Jie Shen de China y contó con el apoyo de dos coeditores, concretamente Wei Wei de Alemania y Östen Frånberg de Suecia. En conjunto, los responsables del proyecto acumulan muchas décadas de experiencia en este campo, complementada por un equipo de más de 50 especialistas que contribuyeron directamente en la elaboración de la norma. “IoT conlleva un sinfín de riesgos y oportunidades. Necesitamos diseñar el mecanismo de mantenimiento perfecto para superar estos riesgos y la clave está en los detalles”, apunta la Dra. Jie Shen.
Gran parte de los detalles ya están presentes en las muchas normas publicadas por los subcomités del JTC 1. Y la Norma ISO/IEC 30141 las dota de una arquitectura de referencia común y se suma a las nuevas normas que el JTC 1/SC 41 está desarrollando. “La Norma ISO/IEC 30141 proporciona un marco común para los diseñadores y desarrolladores de IoT. Así, describe sus características principales, además de un modelo conceptual y una arquitectura de referencia”, explica Coallier. Las descripciones que incluye la norma van acompañadas de numerosos ejemplos.
Una cadena de seis dominios
La Norma ISO/IEC 30141 también refleja una estructura nueva e innovadora que se conoce como el modelo de seis dominios para la arquitectura de referencia de IoT. Proporciona un marco que permitirá a los diseñadores de sistemas integrar toda la variedad de dispositivos y operaciones dentro de IoT. El equipo del proyecto comprobó que los planteamientos convencionales no son adecuados para las redes más simples.
La Dra. Jie Shen explica que “es más complicado construir el ecosistema en IoT para conectar muchas entidades heterogéneas: usuarios humanos, objetos físicos, dispositivos, plataformas de servicios, aplicaciones, bases de datos, herramientas de terceros y otros recursos. Comprobamos que el modelo de referencia convencional por capas aplicado tradicionalmente a los sistemas de TI resultaba insuficiente”. Por otro lado, el modelo de seis dominios puede ayudar a subdividir el ecosistema de IoT con toda claridad y guía a los usuarios a establecer este nuevo modelo de negocio. El modelo en sí será aún más eficaz si se sustenta en la cadena de bloques, la técnica altamente segura empleada cada vez más en las transacciones financieras.
Asimismo, la Norma ISO/IEC 30141 describe en profundidad la interoperabilidad –o cómo hacer posible una comunicación fluida entre tipos diversos de dispositivos– y el concepto de confiabilidad en IoT. Esta última, a su vez, se define como el grado de confianza que los usuarios pueden tener en que un sistema funcione del modo previsto, pero garantizando la protección, seguridad, privacidad, confiabilidad y resiliencia ante disrupciones tales como desastres naturales, fallas, error humano y ataques. “Ya existen muchas normas publicadas sobre resiliencia, protección y seguridad, pero la ISO/IEC 30141 proporciona la arquitectura de referencia para aplicarlas”, explica Coallier. Al mismo tiempo, a medida que IoT sigue evolucionando y creciendo, el JTC 1/SC 41 está inmerso en el desarrollo de otras nueve normas para la IoT que permitirán avanzar en confiabilidad, interoperabilidad, seguridad y especificaciones técnicas.