El Internet de las cosas, conocido también como red IoT (Internet of Things), es el futuro pero también el presente, ya que estamos físicamente rodeados de dispositivos conectados capaces de almacenar y transferir datos sumamente valiosos y de invadir nuestra privacidad.
Dar la espalda al IoT o no apostar por él podrá pasar factura a más de una empresa, pero invertir en nuevas tecnologías para redes IoT es costoso y conlleva equilibrar un conjunto de elementos propios de la competencia, como son el coste del punto final, el consumo necesario de energía, el ancho de banda, la calidad del servicio o la seguridad.
A pesar de su vertiginoso crecimiento, IoT también conlleva riesgos importantes, especialmente los que se refieren a la brecha de seguridad que puede llegar a producirse. Conforme continúa expandiéndose, se hace más necesaria la creación de un marco de gobernanza que exija un estándar de comportamiento adecuado en la creación, el almacenamiento, el uso y la eliminación de información relacionada con IoT.
Riesgos sociales, éticos y legales
Con el uso masivo del IoT también se observa un conjunto de riesgos sociales, éticos y legales que merecerán un estudio de impacto detallado, y un marco normativo adecuado del que actualmente carecemos. Porque el Reglamento Europeo de Protección de Datos no es suficiente. Marca un camino pero no fija realmente las reglas de juego; salvaguarda la privacidad de las personas, que se sitúa por encima de otros fines, pero no materializa con detalle los límites, lo que hace ciertamente difícil garantizar un resultado real satisfactorio.
La implantación del citado reglamento, y la Ley de Protección de Datos personales y garantía de los derechos digitales, al conllevar la necesaria actualización de la política de privacidad de los dispositivos, ha llevado a que un número considerable de consumidores haya renunciado a dicho rastreo, en pro de la seguridad y en detrimento de su comodidad y agilidad; incluso se ha producido la eliminación de cuentas de usuarios en redes sociales.
Las responsabilidades del delegado de Protección de Datos, quien debe encargarse de mantener la protección de la información confidencial de empleados y clientes, son muy exigentes. Deberá implantar un protocolo de actuación para gestionar dicho control de la privacidad, así como detectar rápidamente una posible brecha de la seguridad y cualquier violación de privacidad, e informar a la autoridad.
Sin embargo, aún falta en gran número de empresas no solo la puesta en funcionamiento del correspondiente procedimiento de garantía de la privacidad, sino una verdadera asunción por cada individuo de su importancia y de las responsabilidades que de ello se derivan para todos, ya que todos tratamos con datos, y estamos rodeados de IoT.
Dispositivos vulnerables
Hace solo un par de años Hewlett Packard señalaba en un estudio que el 70% de los dispositivos IoT tienen vulnerabilidad de seguridad en sus contraseñas, además de tener problemas con cifrado de datos y permisos de acceso. Además, el 50% de las aplicaciones de dispositivos móviles envían comunicaciones sin encriptar. Estas comunicaciones pueden incluir datos extremadamente sensibles, que deberían estar bien protegidos, y sin embargo son totalmente vulnerables.
La seguridad en IoT es su punto más débil, y es en este punto donde se requiere un gran esfuerzo económico real en innovación e inversión en medios y en recursos humanos. Sin embargo, no es en este aspecto donde realmente se esta invirtiendo.
La previsión de crecimiento de los dispositivos IoT es exponencial y se calcula que en el año 2020 habrá 50.000 millones de dispositivos conectados en todo el mundo.
La conciencia social y las ayudas directas a la innovación serán clave para una protección real, y cualquier integrante de una organización debe conocer los riesgos y tener claras las pautas de actuación ante una brecha de seguridad y el mecanismo de intervención. La exigencia de este nivel de conocimiento es no sólo para el encargado, sino para los demás miembros de la organización. Todos deben conocer y asumir su responsabilidad al respecto.
Finalmente, si bien se ha trabajado en el marco sancionador, queda mucho por hacer. Debemos cubrir no solo el ámbito sancionador administrativo, sino también el penal, especialmente con planteamientos jurisprudenciales claros, y establecer una responsabilidad civil, que es la herramienta punitiva más eficaz.
Ester María Mocholí Ferrándiz, Directora de Departamento de Derecho y Seguridad, Universidad Nebrija
Este artículo fue publicado originalmente en The Conversation. Lea el original.