¿Es posible regular el paradigma del Internet de las Cosas?

internet_of_things

Por Juan Ignacio Zamora Montes de Oca

El concepto de Internet de las Cosas (Internet of Things) no es nuevo. Trabajando en el Auto-ID Center del MIT (Massachusetts Institute of Technology), Kevin Ashton introdujo el término “Internet de las Cosas” en 1999 en una presentación que defendía la idea de que las etiquetas de identificación por radiofrecuencia (RFID) una vez que se procedían a asociar a objetos físicos, les otorgaba una identidad bajo la cual podían generar datos sobre ellos mismos o sobre lo que percibían, así como publicarlos en Internet. Eso sin duda anticipaba desde ese momento una extensión del Internet al mundo físico.

Lo más novedoso de todo fue que hasta ese momento era fundamental la inclusión de personas físicas en todos los procesos, pues éstos eran quienes generaban la información accesible en la red y nunca antes se había realizado esa conexión directamente desde un objeto físico real.

Fue entonces que se inició el desarrollo del concepto de Internet de las Cosas bajo la premisa de que todo objeto que nos rodea, vehículos, ropa, implementos de cocina, rótulos, y demás se convierten en miembros titulares y ciudadanos de Internet.

El presente tema vino a abrir las puertas de una discusión sobre la necesidad de definir un marco ético y jurídico, con un fuerte sustento en la tecnología y que logre brindarle al ciudadano control y seguridad sobre su propia información.

Ahora bien, es claro que todo avance tecnológico debe por fuerza, de alguna u otra forma, contribuir con el desarrollo de la humanidad, pues es para esto que se lleva a cabo todo el esfuerzo investigativo. El Internet de las Cosas es sin duda alguna un adelanto de la tecnología que actualmente logra grandes beneficios, y que a futuro se espera que simplifique y nos permita mantener un estilo más seguro para quienes utilicen la Internet.

Existen numerosos ejemplos de cómo la Internet de las Cosas realmente logrará que los seres humanos tengamos una mejor calidad de vida. Con el fin de entender mejor el tema y su desarrollo ampliaremos con dos ejemplos.

Existe una silla inteligente que a simple vista parece una silla normal, y realmente lo es, pero en la parte interior del respaldo y el asiento cuenta con unos sensores que están constantemente detectando la postura del usuario. Todos los datos que se obtienen son enviados a través de medios inalámbricos a servidores que almacenan, analizan, y generan patrones que luego sirven para saber si la persona que utiliza la silla adopta una postura apropiada, si esta persona pasa demasiado tiempo en la misma posición o si no realiza los descansos necesarios. Toda esta información que se genera puede eventualmente ayudar a que el usuario cambie su postura de ser necesario, para así lograr un alivio de los dolores de espalda. Asimismo la silla puede vibrar en momentos en que ésta detecte que la postura no es la adecuada, haciendo que el usuario cambie inmediatamente de postura, lo cual va creando un hábito de manera inconsciente.

Otro ejemplo del Internet de las Cosas lo podemos ver en un par de zapatos creado en la India y el cual podría ser el próximo avance en la ayuda a los no videntes. Estos zapatos cuentan con una conexión vía Bluetooth lo cual hace que se sincronicen con una aplicación en el teléfono celular del usuario que utiliza un sistema de ubicación geográfica y que hace que los zapatos vibren cada vez que deben comunicarle al usuario en qué momento y en que lugar debe girar para llegar a su destino. Solamente es necesario indicar en el teléfono el lugar exacto al que se pretende llegar, guardar el teléfono en el bolsillo, y este por medio de la conexión logrará que cada zapato vibre al momento de hacer un giro a la derecha o a la izquierda. De igual forma, los zapatos pueden utilizarse no sólo por no videntes sino por todo tipo de personas.  Casos como turistas, ciclistas, corredores o cualquier otra persona podría verse beneficiado de dicha tecnología, la cual incluso podría dar una medición precisa de distancias recorridas y calorías quemadas.

Estos son solamente dos de las miles de aplicaciones que se pueden realizar con el Internet de las Cosas.  Entonces siendo el horizonte tan amplio como inédito, podemos plantear la pregunta ¿qué nuevos productos híbridos pueden surgir cuando dotamos de capacidad de acceso a internet de objetos tradicionales?, y por consiguiente ¿Cómo podemos regular el flujo de información y el tratamiento de ésta ante la magnitud de la cantidad de datos que se obtendrán y se conservarán?

Una característica de todos los dispositivos conectados a Internet es que hacen visible lo invisible por cuanto permiten revelar datos que siempre han estado ahí, pero nunca se han medido.

Si tomamos en cuenta el “yo cuantificado” (quantified self) que ha empezado a llevarse a cabo en forma de productos comerciales que cuentan con la dualidad objeto-servicio tradicional del Internet de las Cosas, en donde el objeto físico que es el activador, es el elemento que recoge los datos del usuario y luego los envía a una plataforma online, en donde el servicio interpreta la información para el usuario, la integra con otras fuentes para darle más valor y se la presenta de la forma más útil posible, obtenemos que los datos que se obtienen se entremezclan y se asocian con otros de manera constante con el fin de lograr mejores resultados, creando así bases de datos enormes y con cantidades inimaginables de datos que pueden ser en un futuro fuentes valiosas de información.

En un estudio reciente de julio de 2014 sobre el Internet  de las Cosas, se entregaron una serie de dispositivos para ser utilizados en distintas actividades de la cotidianeidad con el fin de determinar el uso de los mismos. Una vez que se recuperaron, a la hora de analizarlos, se pudo conocer que el 90 por ciento de los dispositivos captaron datos personales de sus usuarios o de terceros que se encontraban en las cercanías de quien portaba el dispositivo.  Por su parte el 70 por ciento de los datos que se transmitieron se hizo por medio de  una red no cifrada, y el 60 por ciento de los dispositivos tenían interfaces de usuario inseguras. Asimismo, 8 de cada 10 dispositivos fallaron en solicitar una contraseña lo suficientemente fuerte como para proteger la información contenida en el sistema.

Es así como vemos que de un solo estudio podemos obtener datos que nos hacen ver la necesidad que existe de una regulación sobre los temas que se relacionan al Internet de las Cosas, pues los problemas de seguridad que se captan en un dispositivo pueden ser multiplicados y convertirse en cuestión de segundos en decenas o centenas de vulnerabilidades. [1]

Imaginemos además la posibilidad que existe de que los objetos o dispositivos que cuentan con sensores o chips inteligentes pueden percibir el contexto y comunicarse entre sí, realizando transferencias de datos sin autorización del titular de la información.

Un negocio del cual según General Electric calcula que hasta el 46% de la economía mundial se puede beneficiar, y del cual según la consultora global McKinsey calcula que el impacto económico podría alcanzar los 6.200 millones de dólares en 2025, hará que las empresas busquen los medios necesarios para formar parte del Internet de las Cosas y de esta forma contribuir con el tratamiento y la transferencia de datos a nivel global.  Esto de no manejarse de forma correcta podría atentar contra los principios de autodeterminación informativa, consentimiento informado y el derecho fundamental a la privacidad.

Pero más allá de lo que las empresas puedan obtener, tenemos también el peligro latente que existe y que a futuro se multiplicará por la cantidad de datos personales con que cuenten las empresas y que de alguna u otra manera pueden ser objeto de robo por ciberdelincuentes con el fin de lucrar con esas bases de datos tan específicas y valiosas.

Las implicaciones de privacidad y seguridad que genera la creciente conectividad de los dispositivos para comunicarse entre sí y con las personas es un fenómeno que afecta a los consumidores tanto en su entorno como fuera de él. No en vano la Comisión Europea  mediante consulta pública cuyos resultados se publicaron en febrero de 2013 junto con los trabajos del Grupo de Expertos sobre el Internet de las Cosas designado por la propia Comisión, hizo hincapié en los potenciales riesgos sobre la privacidad, la protección de datos y la seguridad que pueden generar los dispositivos conectados al Internet de las Cosas, esto en función de la criticidad de las circunstancias que afectan a cada aplicación o sistema en el que se despliegan estas tecnologías.

Para los expertos de este grupo de la Comisión Europea, los riesgos dependen del contexto y la situación, así como de las funciones que cumplen los objetos conectados (por ejemplo dispositivos de monitorización de indicadores de salud, de geolocalización o para redes inteligentes). Por otro lado, la complejidad del asunto aumenta si consideramos que los sistemas utilizados en el Internet de las Cosas son capaces de ser actualizados de manera remota, lo que puede eventualmente hacer que se adquieran de forma sobrevenida funcionalidades para las que no fueron inicialmente diseñados, pasando así a capturar nuevos tipos de datos o que estos sean utilizados para finalidades diferentes alas inicialmente previstas.

El Internet de las Cosas está fomentando que se de mayor facilidad de acceso a datos sensibles, por lo que al no existir un sistema de seguridad 100 por ciento infalible, existe la posibilidad de que problemas tecnológicos o ataques malignos puedan provocar algún fallo o interrupción en el funcionamiento de los sistemas que pueden derivar en daños irreparables a las personas o a las infraestructuras físicas que utilizan los dispositivos.

El artículo primero de la ley de Protección de Datos en Costa Rica (N°8968) es claro, y específico al indicar que cualquier persona, independientemente de su nacionalidad, residencia o domicilio, encuentra en este cuerpo de leyes el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.

Tenemos aquí, al inicio de la ley un enunciado que protege nuestros datos personales del tratamiento no autorizado, pero que a simple vista salta una dificultad que se plantea y es entorno a cómo hacer cumplir este primer fundamento de la ley si no logramos controlar los aspectos de seguridad a nivel de Internet. Por ejemplo en caso que un dispositivo “A” que transmite datos sensibles de su usuario a la institución que los conserva por la vía de Internet inalámbrica puede ver su seguridad comprometida u otro dispositivo puede obtener la información que se transmite, todo esto sin autorización ni conocimiento del titular de los datos y la institución responsable del tratamiento de los mismos.

En caso de que estas acciones se llevaran a cabo sin el conocimiento del titular de la información o del responsable de la base de datos, la información obtenida de manera ilegal podría eventualmente ser utilizada por terceros para entablar acciones discriminatorias en contra del titular, contraviniendo así el espíritu del artículo 4 de la Ley 8968.

Aunado a esto, vimos anteriormente como también existe la posibilidad para que de manera remota un dispositivo conectado a Internet transmitiendo datos del titular que lo utiliza, pueda ser actualizado sin necesidad de que la persona interesada lo sepa, y mucho menos llevando a cabo el procedimiento de obtención de datos personales de acuerdo al artículo quinto de la Ley de Protección de Datos de Costa Rica, incumpliendo de esta manera con el principio de consentimiento informado.

Por otro existe un vacío legal en Costa Rica que debe de ser reformado según se desarrolle aún más el Internet de las Cosas. La ley número 8968, al igual que la gran mayoría de leyes de Protección de Datos a nivel global, se crearon con la intención de proteger datos que se encuentran localizadas en bases de datos, y no se refieren a datos que se encuentran en proceso de ser almacenados.

El numeral 14 de la Ley de Protección de Datos de Costa Rica referente a la transferencia de datos personales indica que “Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.” De una lectura del artículo podemos entender que se refiere a una transferencia de datos que se encuentren contenidos en bases de datos, pero no menciona en ningún momento que pasaría si esa transferencia se realiza previo a la inclusión de los datos en la base de datos, tal y como sería el caso de transferir la información al momento preciso de obtenerla pero previo al envío de la base de datos.

No escapa a toda esta discusión el hecho de que las bases de datos a nivel global pasarán a ser enormes, pues siendo que para el año 2020 se espera que existan 50 mil millones de dispositivos conectados a la red, el tráfico de datos será impresionante, haciéndonos pensar en quienes serán las pocas instituciones o empresas capaces de albergar tal cantidad de datos con un dinamismo absoluto e inmediato sin problemas de alteración de datos o errores a la hora de enviar información solicitada, lo cual eventualmente puede poner en riesgo la vida de las personas por un fallo en el sistema o por una alteración en el orden de los datos almacenados.

Viendo el asunto desde otra perspectiva, si bien realmente es maravilloso el hecho de poder estar al otro lado del mundo y abrirle la puerta a un invitado en la casa, o que el médico pueda ver en tiempo real el estado del corazón de su paciente, es necesario un papeleo legal con el fin de obtener obligaciones y derechos en la relación que se pretende llevar a cabo.

Es así como debido a la legalidad de todo proceso hoy en día -y tras firmar contratos de forma obligada- si pretende el usuario acceder a los servicios que se le ofrecen, dichos contratos muchas veces cuentan con términos legales indescifrables escritos por especialistas en redactar ambigüedades, en los que de alguna u otra manera se le cede información personal sensible a alguien que no es siquiera conocido del usuario, lo cual, si no se especifica con la claridad absoluta necesaria a la hora de redactar los documentos legales, no se cuenta con una respuesta clara de a quien le pertenecen los datos obtenidos y conservados en la eventualidad de la muerte del propio titular de esa información. ¿Pasan estos datos a ser parte integral de las bases de datos de la empresa o institución encargada de recopilar dichos datos para brindarle un servicio en vida, o pueden sus herederos legítimos decidir el futuro de esos datos bajo el supuesto de que son los herederos legales del fallecido y todo lo que le perteneció en vida?

Conclusiones

Las posibilidades que se pueden generar  por un correcto uso y manejo del Internet de las Cosas es impresionante: el salvar vidas, ahorro en bienes finitos, el estado de un vehículo en tiempo real, publicidad a la medida, y otras tantas, son todas acciones que de una u otra manera pretenden mejorar nuestra condición de vida. Sin embargo, este auge de la conexión a Internet de todas las Cosas al mismo tiempo debilita la seguridad e incrementa los riesgos de ciberataques si no se toman las precauciones necesarias y se regula de manera que se pueda utilizar sin limitar sus usos positivos.

La implementación del protocolo IPv6 a nivel mundial aunque va a paso lento no es casualidad, pues para que cualquier objeto pueda conectarse a internet, necesita una dirección IP, y es por eso, que desde el año 2012 el mundo online comenzó la migración a un nuevo protocolo de Internet, el cual en vez de tener 4.000 millones de direcciones IP, como tenía el anterior, tendrá la posibilidad de crear 340 trillones de trillones (es decir, el número 340 seguido de 36 ceros) de direcciones, cumpliendo con los requerimientos que tendrá el Internet de las Cosas a futuro.

Otra interrogante que plantea este tema es la posibilidad de que los usuarios de estos dispositivos conectados a la red tengan la posibilidad de “silenciar los chips” que captan o transmiten los datos, teniendo así la posibilidad de mantener su privacidad en el momento en que así lo quieran tener, ejerciendo su derecho a desconectarse y que las redes de sensores dejen de capturar y monitorizar sus actividades.

Es necesario determinar que todo lo que se encuentre conectado por el Internet de las Cosas venga de fábrica con un sistema de “Privacidad por Default” en donde si bien el producto que se obtiene puede venir con un chip inteligente para la transferencia de datos, la decisión de activarlo dependa única y exclusivamente del usuario, aplicando siempre el principio de consentimiento informado. Aunado a esto, el producto debe contar con un documento que cumpla con los requerimientos del consentimiento informado con el fin de que quien lo adquiere tenga toda la información de lo que sucede con sus datos desde que son captados hasta que son eventualmente eliminados.

El Internet de las Cosas no está exento de peligros, pues todo estará conectado y por ende todo estará en riesgo por posibles fallos de seguridad. La ciberseguridad es una ciencia profundamente imperfecta que se encuentra en la vertiente de ser probada y deberá demostrar la capacidad de respuesta que ha venido creando.  No obstante, esto debe de estar complementado por regulaciones que le permitan a los usuarios, titulares, y demás partes que intervienen en los procesos del Internet de las Cosas, tener la posibilidad de defender sus derechos sin que la afectación sea irreparable.

Esa alianza que se ha formado del Internet de las Cosas con otras tendencias tales como “Big Data” (cantidades masivas de datos recogidos continuamente e imposibles de analizar con mecanismos tradicionales por su volumen y complejidad) y “Open Data” (datos abiertos, públicos y disponibles para su análisis por cualquier persona o entidad) también está creando un semillero para la aparición de una nueva generación de servicios de análisis capaces de encontrar asociaciones entre factores intuitivamente alejados entre sí.

El Internet de las Cosas no pretende detenerse y es por esto que debe de existir una supervisión continua de la privacidad y protección de los datos personales capturados, una identificación de posibles riesgos y la constante creación de grupo y foros de seguimiento del paradigma de Internet de las Cosas, incluyendo temas necesarios como la posibilidad del “silencio de los chips”.

En esta ponencia se ha señalado a algunos productos comerciales disponibles con el Internet de las Cosas que pueden ser identificados como “espías silenciosos”, pues son monitores de nuestra actividad. El rápido avance que existe en este tema es precisamente por sus beneficiosos, pues  tienen la capacidad de revelar información oculta, y hacer visible lo invisible ayudando así a conocer mejor nuestro entorno y a nosotros mismos. La parte peligrosa y oscura de la cual debemos estar pendientes es que la información personal que estos objetos recogen tienen un gran valor, y ésta se puede asociar con otro tipo de información que se encuentra en Internet, haciendo necesario el extremar medidas de seguridad y proceder a desarrollar de manera pronta pero cuidadosa las regulaciones necesarias para proteger la privacidad de las personas y la protección de sus datos personales, de esta forma otorgándoles el pleno derecho a ser los decisores del destino de dicha información.

Se debe entonces iniciar con una campaña en donde se las leyes de protección de datos que se crean se adapten al avance del Internet de las Cosas y se proceda a mejorar y actualizar las regulaciones existentes.  Lo anterior con el fin de no detener esta corriente pero si encausándola, permitiendo a todos los involucrados en el proceso de transferencia de datos conocer de forma clara y precisa sus derechos y sus obligaciones reconociendo la necesidad del avance tecnológico acompañado de una regulación a la medida.

[1] http://fortifyprotect.com/HP_IoT_Research_Study.pdf

Fuente de la imagen: CIO América Latina