Hace pocos días, Uber ha aparecido una vez más en las noticias, al anunciar que aceptará un acuerdo para pagar 148 millones de dólares (unos 129 millones de euros) a todos los Estados de EEUU y al Distrito de Columbia por haberse demorado un año para informar de una filtración de datos y por haber adoptado medidas encaminadas a ocultar dicha filtración.

Tony West, principal consejero jurídico de la firma, valora positivamente el hecho. El acuerdo indica que, a partir de ahora, Uber hará “lo correcto”. La implicación de todo ello, por supuesto, es que Uber podría haber hecho lo correcto en el momento de la filtración, si hubiera informado a clientes y conductores.

¿Pero qué significa dicha frase? Se trata de una frase emotiva y subjetiva, que requiere contexto y un marco común de referencia que permita a todas las partes implicadas emitir un juicio. Tomemos en consideración el caso de la seguridad e Internet de las Cosas.

“Hacer lo correcto”, en un contexto de implantación y uso de tecnologías de Internet de las Cosas seguras, dependerá de los casos de uso. En la actualidad existen muchas directrices y regulaciones que influyen en las conductas de fabricantes y empresas de Internet de las Cosas.

La GSMA publicó en febrero de 2016 sus Directrices de Seguridad para la Internet de las Cosas. Es un documento de trabajo elaborado en colaboración con la industria, que ofrece consejos prácticos a las operadoras móviles y comunidades de Internet de las Cosas para hacer frente a amenazas de ciberseguridad frecuentes y hacerse cargo de la protección de la privacidad de datos relacionados con los servicios de Internet de las Cosas. Posteriormente la Agencia Europea de Seguridad de las Redes y de la Información (más conocida por las siglas inglesas ENISA, de European Union Agency for Network and Information Security) publicó en noviembre de 2017 un informe de referencia titulado Baseline Security Recommendations for IoT in the Context of Critical Information Infrastructures (Recomendaciones fundamentales de seguridad para Internet de las Cosas en el contexto de infraestructuras de información clave). Y el Marco de Seguridad para Internet Industrial del Industrial Internet Consortium (IIC, Consorcio de Internet Industrial), así como el Marco de Seguridad en Internet de las Cosas de la Internet of Things Security Foundation (IOTSF, Fundación para la Seguridad en Internet de las Cosas) persiguen objetivos similares.

En general, las directrices tienen un papel fundamental para que las empresas evalúen la seguridad en Internet de las Cosas, pero no logran estimular a la comunidad de fabricantes, empresas y usuarios para que adopten las prácticas idóneas con la escala y la velocidad adecuadas.

Una plataforma común

La Arquitectura de Seguridad de Plataformas (más conocida por las siglas inglesas PSA) de ARM, anunciada en octubre de 2017, es un nuevo ejemplo de un marco de referencia común que ofrece los elementos de hardware y software necesarios que deben incorporarse a la cadena de valor de Internet de las Cosas a fin de desarrollar nuevos productos, soluciones y servicios.

En el momento en que se anunció, los socios productores de chips como Silicon Labs, ST Microelectronics, Renesas, NXP, Nuvoton y Microchip la firmaron. En febrero de 2018, ARM presentó en el Mobile World Congress de Barcelona un nuevo producto que se sumaba a su línea Kigen, la SIM integrada (iSIM), que también se basaba en su PSA, y con ello amplió esta última a las operadoras de telefonía móvil.

La iSIM es consecuencia de los esfuerzos de ARM para garantizar que incluso los dispositivos de Internet de las Cosas de bajo coste y recursos limitados disfruten de capacidades de administración por control remoto y seguridad. En septiembre de 2018, Sprint y el grupo Vodafone han adoptado las propuestas de iSIM de ARM, como se anunció en el Mobile World Congress Americas.

La presentación de tarifas con iSIM por parte de Sprint era previsible, debido a las sinergias de dicha empresa con la firma matriz SoftBank y con ARM. Con todo, el anuncio de Vodafone constituye una decisión consciente que reconoce la necesidad de ofrecer escala y seguridad a todo tipo de dispositivos de Internet de las Cosas.

Algunos fabricantes de Internet de las Cosas, como Sprint y Vodafone, reconocen que la previsión de la GSMA de que dicho sector alcance ingresos de 1 billón de dólares (unos 8.700 millones de euros) para  2025 solo se cumplirá si se racionalizan las labores de desarrollo (por ejemplo, mediante la aplicación de reglas repetibles en el inicio del diseño de producto) y se saca partido de los conocimientos en seguridad de tercers partes (sobre todo en el análisis de modelado y análisis de amenazas contra la seguridad). Si existe un marco de referencia común, todos los que forman parte de la cadena de valor, como por ejemplo empresas, usuarios y gobiernos, trabajarán por un mismo objetivo de desplegar proyectos de Internet de las Cosas seguros.

La abundancia de directrices podría ser una espada de doble filo para las organizaciones que han emprendido el viaje hacia Internet de las Cosas. Las opciones son interesantes, pero los equipos de seguridad que manejan recursos limitados también disponen de un tiempo limitado para valorarlas. En cualquier caso, para las organizaciones que compran a los fabricantes de Internet de las Cosas que han adoptado las diversas directrices –trátese de la PSA de ARM, las Directrices de Seguridad en Internet de las Cosas de la GSMA, e incluso las recomendaciones del IIC–, el factor decisivo será que la cadena de aprovisionamiento de Internet de las Cosas adopte la misma filosofía de “hacer lo correcto”.

– Yiru Zhong, analista principal de Internet de las Cosas y Empresas, GSMA Intelligence

Las opiniones editoriales expresadas en este artículo son exclusivas del autor y no reflejan necesariamente los puntos de vista de la GSMA, sus Miembros o Miembros Asociados.