El mexicano David Barrera dirige una línea de investigación muy interesante en la Universidad de Carleton en Canadá. Trata de entender qué sucede con los dispositivos del internet de las cosas, cada vez más habituales en nuestro día a día, cuando el fabricante deja de actualizar el sotware. En su mayoría acaban guardados en un cajón o en un verdadero, pese a que son perfectamente válidos y podrían funcionar durante mucho más tiempo.
Una defectuosa asistencia al cliente se convierte así en un problema medioambiental de primer orden y acaba siendo también una fuente de vulnerabilidades añadida, en un momento en el que la ciberdelincuencia no para de crecer. David Barrera ha comenzado a sugerir alternativas al modelo actual, pero no va a ser fácil que la industria tecnológica actúe de la forma más razonable posible.
Pregunta: No estamos dando atención suficiente al problema de la durabilidad del software de los dispositivos conectados.
Respuesta: Lo que mis alumnos y yo estamos intentando hacer es abrir realmente este campo de investigación. Nos enfocamos en las técnicas que podemos usar para desarrollar productos que duren mucho tiempo. Obviamente eso no solo es un problema técnico, lo denominamos sociotécnico, porque requiere cambios sociales, cambios de política pública, cambios de regulación. El problema es que si tú le dices a alguien "no compres productos que no duran mucho tiempo”, ¿cómo sabes qué productos comprar?"
En Amazon, no te dicen cuánto va a durar, puede que un año, dos, cinco, pero también puede que unos meses si venden algo que ya está fuera de soporte. Hay muchas historias de gente que se queda con productos inútiles, inservibles, y con eso estamos dañando al planeta. Nuestra idea es crear una hoja de ruta, un esquema para decirle a la gente qué puede hacer. Si económicamente le conviene, ese es otro problema y tenemos que investigarlo también.
"Cuando un producto sale en busca de una nueva madre, los malos van a estar disponibles"
Pregunta: Es un enfoque muy original del tema del internet de las cosas. Estamos en el momento inicial de diseño de las redes y de la configuración de esta inteligencia distribuida que va a facilitar la IA. En un paper de 2023, planteas que una empresa diferente del fabricante garantice las actualizaciones del software de los dispositivos conectados del internet de las cosas (IoT).
Respuesta: Nuestro objetivo es sugerir ideas para empezar a tener una solución. Hemos planteado recientemente una opción más práctica a partir de las tres cosas que se necesitan para poder tener soporte a largo plazo de un dispositivo: se precisa que la compañía exista, que tenga los medios técnicos para dar ese soporte y que quiera dárselo. Proponemos que, si el dispositivo detecta que la compañía ya no está disponible, pueda buscar a otra fuente de actualizaciones.
Desde un punto de vista técnico, esto es completamente posible, no es difícil de implementar, pero las compañías no están dispuestas a hacerlo porque no quieren perder la propiedad intelectual, no quieren renunciar a la posibilidad de tener ingresos a largo plazo. Con la ayuda de la regulación podríamos forzarles a implementar algo así en sus productos: “te damos soporte por cinco años y si después ya no estamos disponibles, el software automáticamente busca otras fuentes”.
Ahora hay un problema añadido, y esa es mi especialidad, la ciberseguridad: si el producto sale en busca de una nueva madre, los malos sí garantizo que van a estar disponibles. Ellos van a querer tomar el control, meterse en la red, en el ecosistema.
Pregunta: ¿Cuál sería la dimensión del problema de los residuos que se están generando con dispositivos que funcionan perfectamente, pero no se actualizan?
Respuesta: He batallado para encontrar números correctos o creíbles acerca del ewaste que se está generando y hay un par de problemas. Uno, es que mucha gente deja los dispositivos en su casa porque ya no sirven y no saben qué hacer con ellos. Hay muchos residuos que por el momento no han entrado en el ciclo de la basura. Y la otra cosa es que, una vez que se lleva un producto a una tienda o al ayuntamiento para que se recicle, no se sabe bien qué pasa. ¿Los están deshaciendo y reciclando las partes, los están simplemente incinerando o los están tirando?
No existe esa información, no la proporcionan todos los países. Lo único que sí entendemos es que, si vas a un vertedero, hay más componentes electrónicos en los últimos 5-10 años que cualquier otro tipo de desechos, ya sean muebles o textiles. Están creciendo proporcionalmente más que los otros waste streams. ¿Cuántas toneladas? No lo sabemos. El hardware dura mucho tiempo, no se descompone, en los casos que incluyen sensores y partes móviles, como motores, esos productos pueden durar 10, 20, 30 años.
"La seguridad de la mayoría de dispositivos es muy básica"
En el caso de la ciberseguridad vinculada al IoT, ¿qué características estás encontrando que son diferenciales respecto a otros ámbitos de la economía y la tecnología?
La ciberseguridad es un tema difícil porque los atacantes siempre están evolucionando y cambiando sus técnicas. Uno no se puede defender de manera permanente creando un hardware o un software que no cambie nunca. Necesitamos las actualizaciones para ponernos al corriente de lo que están haciendo los atacantes. Lo que vemos en la industria es que se está fabricando y vendiendo productos con muy poca protección desde un punto de vista de la ciberseguridad, comparado con lo que tenemos en ordenadores y teléfonos móviles.
La seguridad de la mayoría de dispositivos es muy básica, tienen nombres de usuario y contraseñas por defecto que no cambian, tienen sistemas operativos muy antiguos, sin actualizaciones. El estado del arte no es muy bueno para el administrador de una red de productos IoT. Debes crear tus propias defensas a nivel de la red y de la infraestructura para que no entren los malos. No he visto nada que me haga pensar que estamos a punto de resolver el problema y no tenemos que preocuparnos. El problema está cambiando constantemente, evoluciona y hay que estar al corriente.
¿Cómo es posible que en el momento de diseño no se tengan en cuenta cosas que luego resultan tan críticas para la ciberseguridad?
Ese es un problema que sufre toda la industria de ciberseguridad. No se la tiene en cuenta en el momento de diseño y solamente se empieza a considerar cuando hay algún ataque. Eso existe en todas partes, en Windows, en Linux, en Mac, en teléfonos móviles. Es cierto que en el momento del diseño no se puede predecir todos los ataques que van a ser posibles en los próximos 10 o 20 años porque van a ser van a ir cambiando. Por eso, la seguridad no es un estado final, sino un proceso. Siempre hay que estar monitorizando, cambiando y actualizando, nunca puedes decir: “terminé, ya tengo ciberseguridad".
"Las compañías no se lo toman en serio porque hoy no se las penaliza por problemas de ciberseguridad"
Con el incremento de la capacidad de procesamiento local, con esa inteligencia artificial generativa que va a mejorar los interfaces, se nos dice que podremos entrar en internet a través de cualquier sitio. ¿Cuál es tu visión acerca de ello?
Vamos a seguir con la tendencia de poner un ordenador allí donde se pueda. Ya sean audífonos, tazas de café, lavadoras, tostadoras de pan. Por una razón muy sencilla: cuando pones un ordenador, puedes obtener información sobre cómo se está usando ese producto, puedes entender mejor cómo actúan los usuarios, y puedes también vender esa información y esa analítica. Vale muchísimo dinero. Si se sabe cuántas veces levantas tu taza de café, a alguien se le va a ocurrir alguna manera de utilizar esa información y venderla. Eso no lo vamos a parar y el problema se va a volver más y más complejo porque vamos a tener más y más ordenadores, más y más dispositivos IoT y menos y menos ciberseguridad.
No avanzamos a la velocidad necesaria, las compañías no se lo toman en serio porque hoy no se las penaliza por problemas de ciberseguridad. Si una compañía tiene datos sobre el uso de la lavadora por parte de un millón de usuarios y alguien se la roba, pide perdón y dice que ha aprendido la lección y no volverá a suceder. Pero ¿y el millón de usuarios que perdieron su información? No se les está compensando, no se les notifica y nadie es multado por ello. Yo no tengo mucha esperanza de que vayamos a resolver esto a corto plazo.
Cuando compremos una televisión conectada a internet deberíamos poder decidir si queremos que Samsung o Google sepan lo que estoy viendo. Es un problema de privacidad, y lo mismo sucede con el móvil, el ordenador o el vehículo, para que las aseguradoras no puedan cobra más por conducir de manera diferente. Es triste el futuro, no lo veo mejorando a corto o medio plazo.
La contradicción de una gobernanza en manos de las compañías más poderosas
Quizás haya que resolver antes el tema de la gobernanza de las redes de dispositivos conectados.
El problema es que existe un número pequeño de compañías muy poderosas con muchos recursos que están decidiendo cómo hacemos las cosas. Amazon, Google, Apple, las compañías de inteligencia artificial, están decidiendo el modelo de gobernanza, y no es distribuida. La gobernanza es uno a uno. Ellos deciden lo que pasa con todos sus productos. Idealmente sí podríamos tener algo un poco más distribuido y tenemos más o menos la capacidad técnica de diseñar algo así, pero en la práctica no veo esa gobernanza a corto plazo.
En el tema del IoT hay una carrera tecnológica por la conectividad wireless más allá de las redes de 5G. Bluetooth, RFID, Wi-Fi… ¿algunas tecnologías son preferibles a otras en términos de ciberseguridad?
La mayoría de las compañías quieren utilizar Wi-Fi porque la gente ya tiene esas redes en sus hogares. En el caso del Bluetooth es un poco más difícil el despliegue. Lo interesante es que los chips Wi-Fi que están metiendo los dispositivos IoT son viejos, no soportan las nuevas tecnologías de seguridad en Wi-Fi. Si se quiere conectar un dispositivo a la red Wi-Fi, debe tener una versión de 2.4 GHz u otra sin las versiones más recientes de los protocolos de seguridad. Se hace para reducir costes, para que el precio sea de cinco dólares en vez de 10 o 20, porque hay que pagar licencias para tener esos nuevos protocolos, hay que poner software nuevo y hay que tener más capacidad de procesamiento.
