Por Francisco Elizalde -
Foresenics Argentina

Qué es el Internet de las cosas?

Es probable que el Internet de las cosas (IoT, por Internet of the Things es el término, que por razones de simplicidad, usaré en adelante como sinónimo) afecte severamente la seguridad de nuestra información  y su  privacidad, ya bastante vapuleadas. Y es cierto que ya generan  dudas sobre  su regulación legal - o más bien,  su falta de regulación.
Sería bueno ponernos de acuerdo en definir su concepto. Básicamente, son productos,  que están equipados con conectividad inalámbrica a Internet. Se trata de la interconexión digital de objetos cotidianos con Internet. Son productos que están en el mercado y generan una gran cantidad de data, que  en tiempo real envían a la web.  El volumen de información que generan es abrumador e incontrolable. Por ejemplo los termostatos, heladeras, autos, porteros eléctricos, micrófonos, GPS. Casi siempre los expertos de marketing escriben a continuación  el adjetivo “inteligente” con cada uno de ellos. Es curioso pensar que no lo hacen con muchas personas físicas, pero lo usan al cansancio al vender  celulares inteligentes, cámaras inteligentes, aspiradoras (sic) “inteligentes”.

Una presencia que se expande.

Los productos con IoT se han convertido en algo omnipresente. Habrá 2.400 millones en 2020.Viene a ser una suerte de “It girl”. El derecho lo entiende, claro, solo que corre un poco más despacio que el fenómeno. Existen tantos direcciones de IP, ordenadores, sensores, teléfonos y relojes, alarmas y cámaras, electrodomésticos y autos conectados a Internet, que cuando entramos a un cuarto ni siquiera somos conscientes  de las aplicaciones con las que interactuamos y cuyo funcionamiento no autorizamos expresamente. Y en las que dejamos un rastro que va a desfilar por  tribunales, si es preciso.

Las dudas existenciales. Seguridad.

La primera cuestión que me viene a la cabeza respecto del IoT es su vulnerabilidad, que pone en jaque a la privacidad del usuario. De este modo, una cuestión tecnológica como la de la arquitectura de seguridad de los producto con IoT, trae consecuencias sobre un derecho protegido por la Ley.

Debo ser franco:  cualquiera de estos productos  puede ser fácilmente hackeado. Son vulnerables porque se accede a ellos desde muchos puntos y sus programas son lo suficientemente conocidos para que sean una tentación para el hacker - que no necesita ser un genio,solo hábil. Y que, una vez demolida la defensas de uno de estos productos, puede replicar su acción en todos los que son similares.

Los fabricantes y los hackers pueden literalmente invadir la privacidad de un hogar, por medio de la data que generan las TV o los micrófonos con IoT. -y los termostatos y encendidos electrónicos de la puerta de  nuestro garage.

La velocidad con que se desarrollan y lanzan al mercado estos productos hace que no haya en muchos casos ni siquiera protocolos de seguridad generalmente aceptados. En contados casos encriptan la data que colectan y transmiten y  en general, las contraseñas que usas son muy simples- no la temible “papi 1234”, pero parecidas.

Por último en este aspecto, los fabricantes (y hackers) no solo pueden recolectar más data, sino que pueden hacerlo en tiempo real, aún cuando ni siquiera están conscientes que la existencia u operatividad de algún artefact con IoT.

Privacidad

Hablemos de privacidad. Por medio del celular que se encuentra conectado con un producto IoT, podemos conocer patrones de conducta del usuario. Y sus estados de ánimo, hábitos, nivel de stress, tipo de personalidad, progresión de una enfermedad como el Parkinson, desórdenes bipolares.

Por medio de un producto hogareño con IoT, cuando la casa está vacía, cuando está ocupada sólo por niños o personas ancianas, que cocinó el ocupante de la casa (y si es que cocina regularmente)

Por medio de una autoparte con IoT, cuales son los hábitos de manejo del usuario,a qué lugares suele manejar, en qué horario, con qué clima, en que compañía.

Así, una aseguradora puede sacar sus conclusiones sobre los hábitos de manejo y calcular la prima del asegurado, gracias a los sistemas con IoT del auto. Y una prepaga sabe, gracias a la aplicación de fitness que se usemos,  cuantas veces nos ejercitamos al día, por donde y con qué intensidad. O si no lo hacemos. De allí a medir el riesgo cardíaco (y la prima!)) no hay mucho trecho.

Se me ocurren varias cuestiones, relacionadas con el derecho a la privacidad, que no están resueltas:

Existe en el mercado quien garantice la seguridad y privacidad de la información  que os IoT trasladan a la nube?

Quien es el responsable legal de tener al día en materia de seguridad en routers y cualquier medio de acceso a la nube?

Qué ocurre cuando el vendedor del producto IpT descontinúa la fabricación y ya no da soporte al usuario?

Quien es el propietario de la data recolectada y generada por los productos con IoT?

Qué ocurre cuando los productos IoT actúan independientemente de la voluntad o el conocimiento del usuario? Y si algo sale mal, como por ejemplo dejan de funcionar o lo hacen sin el conocimiento del usuario?

Los remedios- si son tales.

Con este panorama, parece lógico que el público estadounidense (no hay estadísticas locales) esté de muy (44%) a moderadamente (27%) preocupado por su seguridad-  y solamente el 10% de sus vendedores siente que son seguros. Pero más seguridad costará dinero. Y no deberá concentrarse exclusivamente en cada modelo de aparato, habrá que  reforzar la seguridad en sus aplicaciones de software y redes que se conectan con los productos. Los analista estiman que se quintuplicara la inversión en seguridad en los próximos cinco años.

Existen algunos desarrollos, que ofrecen a los usuarios la posibilidad de pulsar un link, ver la data que el fabricante tiene sobre ellos e incluso ejercitar su derecho a la privacidad borrando la data de un modo permanente, ó volverla anónima y estipular que no pueda ser vendida a terceros. Ventajosos como aparece, me da la impresión que tampoco son completamente seguros o incluso efectivos. Qué ocurre con los productos de los que no somos conscientes, o no son nuestros, o no están a su alcance físico? Y el concepto de “borrar” no se corresponde a la eliminación de la data en Internet. A esta altura todos los abogados lo sabemos. Y por último, lo aceptarían todos lo fabricantes?

Honestamente, me parece bastante utópico. Los términos de  uso y los consentimientos que los usuarios firman antes de usar estos productos son casi incomprensibles para  la mayoría de ellos. En la práctica, terminan (o empiezan) consintiendo  un derecho de compartir información privada con el fabricante que es realmente pasmoso por su amplitud.

Conclusiones. Más interrogantes que respuestas.

IoT está  en su infancia, pero su desarrollo es increíblemente veloz. Las incertidumbres sobre la seguridad y la privacidad de la data que colectan y generan hacia la web no están debidamente resueltas por una regulación especial. Quizás lo mejor ( o lo  más realista) sea la de resolverlas, en caso de litigio, de acuerdo a las normas que por similitud, pero no por origen especial, serían aplicables.  Más dudas que certezas para jueces, legisladores y abogados litigantes en definitiva.