Conference PaperPDF Available

PROPUESTA DE CRITERIOS TÉCNICOS Y LEGALES PARA RESPONDER A LA VULNERABILIDAD DE IoT

Authors:

Abstract and Figures

Dado el amplio desarrollo de IoT (Internet de las Cosas) y su incidencia en las áreas locales y regionales productivas, se considera de interés abordar el marco legal existente, así como los distintos problemas que se vislumbran, cuando las pruebas digitales a obtener se generan en el contexto de IoT. El presente trabajo refleja parte del proyecto de investigación que estamos desarrollando, acerca de la aplicación de tecnologías semánticas a la forensia digital de los sistemas de interconexión digital de objetos cotidianos (IoT). Una de las cuestiones a investigar, es el ámbito jurídico actual respecto de la forensia de IoT, para lo cual se propone analizar las normativas nacionales e internacionales existentes y su aplicación concreta en un caso de estudio real, en el que ocurrieron graves infracciones a la seguridad de los datos, proponiendo un conjunto de criterios base para abordar un curso de acción tendiente a enfrentar esta problemática. Palabras Clave: Internet de las Cosas, forensia digital, ataques de denegación de servicios INTRODUCCIÓN El presente trabajo aborda la problemática de un ataque de denegación de servicios de internet, el impacto producido como consecuencia de esas acciones y plantea el análisis de las consecuencias técnicas y legales implicadas en tal situación. El objetivo que se persigue es realizar una investigación introductoria del tema a partir del análisis de un caso de estudio, y observar el contexto tecnológico-legal disponible para el análisis forense de un caso como el planteado, identificando las fortalezas y debilidades de dicho contexto y proponiendo mejoras para una respuesta más adecuada cuando se requiere la actuación de la forensia digital. Este trabajo consta de las siguientes secciones: la Sección 1 describe el marco conceptual de Internet de las Cosas y Forensia Digital; a continuación en la Sección 2 se detalla el caso de estudio de un ataque de denegación de servicios que se toma como ejemplo para analizar la vulnerabilidad de los sistemas IoT; la Sección 3 aborda un conjunto de criterios necesarios para generar cursos de acción desde los ámbitos técnicos y jurídicos para abordar esta problemática; la sección 4 describe los desafíos que presenta la forensia de IoT y la Sección 5 señala las conclusiones arribadas.
Content may be subject to copyright.
PROPUESTA DE CRITERIOS TÉCNICOS Y LEGALES PARA RESPONDER A LA
VULNERABILIDAD DE INTERNET DE LAS COSAS
Mg. Bibiana B. Luz Clara
1
, Abog. José D. Aráoz Fleming
2
, Ing. Esteban Rivetti
3
, Ing. Alvaro
Gamarra
4
, MBA Ing H. Beatriz Parra
5
Facultad de Ingeniería Universidad Católica de Salta
ABSTRACT
Dado el amplio desarrollo de IoT (Internet de las Cosas) y su incidencia en las áreas locales y
regionales productivas, se considera de interés abordar el marco legal existente, así como los
distintos problemas que se vislumbran, cuando las pruebas digitales a obtener se generan en el
contexto de IoT. El presente trabajo refleja parte del proyecto de investigación que estamos
desarrollando, acerca de la aplicación de tecnologías semánticas a la forensia digital de los
sistemas de interconexión digital de objetos cotidianos (IoT). Una de las cuestiones a investigar,
es el ámbito jurídico actual respecto de la forensia de IoT, para lo cual se propone analizar las
normativas nacionales e internacionales existentes y su aplicación concreta en un caso de estudio
real, en el que ocurrieron graves infracciones a la seguridad de los datos, proponiendo un
conjunto de criterios base para abordar un curso de acción tendiente a enfrentar esta
problemática.
Palabras Clave: Internet de las Cosas, forensia digital, ataques de denegación de servicios
INTRODUCCIÓN
El presente trabajo aborda la problemática de un ataque de denegación de servicios de internet, el
impacto producido como consecuencia de esas acciones y plantea el análisis de las consecuencias
técnicas y legales implicadas en tal situación.
El objetivo que se persigue es realizar una investigación introductoria del tema a partir del
análisis de un caso de estudio, y observar el contexto tecnológico-legal disponible para el análisis
forense de un caso como el planteado, identificando las fortalezas y debilidades de dicho contexto
y proponiendo mejoras para una respuesta más adecuada cuando se requiere la actuación de la
forensia digital.
1
Bibiana B. Luz Clara, Mg. Derecho de Internet y Telecomunicaciones, Doctoranda de la Universidad de
Salamanca. Abogada y Mediadora. Investigadora de UCASAL.
2
Jose D. Aráoz Fleming, Abogado especializado en Abogacía del Estado por la Escuela del Cuerpo de Abogados del
Estado (ECAE), coordinador del Instituto de Derecho de las Telecomunicaciones, Informática y nuevas TICs del
Colegio de Abogados de Salta, profesor universitario e investigador de UCASAL .
3
Esteban RIvetti, Ingeniero en Informática, Perito Informático, Docente e Investigador de la Facultad de Ingeniería
UCASAL.
4
Alvaro Gamarra, Ingeniero en Informática, docente e investigador de la Facultad de Ingeniería UCASAL.
5
H. Beatriz P. de Gallo, Ingeniera en Computación, MBA, doctoranda de la UTN-FRSF docente e investigadora
UCASAL, integrante del Grupo de Investigación en Forensia Digital del Instituto de Estudios Interdisciplinarios de
Ingeniería, Facultad de Ingeniería UCASAL.
Este trabajo consta de las siguientes secciones: la Sección 1 describe el marco conceptual de
Internet de las Cosas y Forensia Digital; a continuación en la Sección 2 se detalla el caso de
estudio de un ataque de denegación de servicios que se toma como ejemplo para analizar la
vulnerabilidad de los sistemas IoT; la Sección 3 aborda un conjunto de criterios necesarios para
generar cursos de acción desde los ámbitos técnicos y jurídicos para abordar esta problemática; la
sección 4 describe los desafíos que presenta la forensia de IoT y la Sección 5 señala las
conclusiones arribadas.
1. MARCO CONCEPTUAL
A fin de introducir al lector en la temática que se trata en este trabajo, cabe describir brevemente
las dos áreas de estudio involucradas: Internet de las Cosas y Forensia Digital.
1.1 INTERNET DE LAS COSAS (IoT)
En la bibliografía consultada se encontraron múltiples definiciones de IoT, según sea el contexto
en el cual se estudia. Si bien la mayoría de los autores definen IoT desde el punto de vista
tecnológico, cabe considerar aquí la definición de Joyanes Aguilar et al [1] que indica que IoT es
… la interconexión de entidades de red altamente heterogéneas con redes, siguiendo un
número de patrones de comunicación como: humano-humano (H2H), humano-cosa (H2T),
cosa-cosa/T2T) o cosa-cosas (T2Ts). A partir de los conceptos de comunicación máquina a
máquina, Internet de las Cosas (IoT) también se puede definir como “…un conjunto de
tecnologías enfocadas a permitir la conexión de objetos heterogéneos a través de diferentes
redes y métodos de comunicación; su principal objetivo es posicionar dispositivos inteligentes en
diferentes lugares para capturar, guardar y administrar información para que ésta sea accesible
a las personas desde cualquier parte del mundo…”[2].
Por su parte, Misra et al.[3] señalan que Internet de las cosas, no es más que la combinación en la
red de varios objetos físicos con electrónica, software y conectividad de red, que permite a estos
objetos físicos recolectar e intercambiar datos entre varias fuentes y destinos. La idea básica o
fundamental detrás de este concepto es la presencia omnipresente a nuestro alrededor de una
variedad de cosas u objetos - tales como etiquetas de identificación de radiofrecuencia (RFID),
sensores, actuadores, teléfonos móviles, etc que son capaces de interactuar entre sí y cooperar con
dispositivos vecinos para alcanzar objetivos comunes.
Desde el punto de vista del usuario individual, el efectos más prominentes del IoT será su
visibilidad tanto en el ámbito laboral como en el doméstico. Uno de los puntos más preocupantes
referentes al tema IoT es la seguridad y privacidad de la información, entendiendo que
inicialmente- el contexto de internet de las cosas se presenta como un escenario vulnerable y
proclive a la invasión de la vida íntima y a la comisión de delitos contra las personas.
Desde el punto de vista de la privacidad de la información, IoT involucra a múltiples partes
interesadas: individuos (el sujeto de la recolección de datos), organizaciones (que son
responsables de procesar los datos recolectados de los individuos) y terceros (por ejemplo,
usuarios que se benefician o usan los datos recogidos o procesados). IoT promete múltiples
beneficios a todos estos interesados. Para los individuos, le proporcionaría beneficios de salud y
bienestar. Para organizaciones y terceros, proporcionaría información para ofrecer mejores
servicios a las personas y a la sociedad en general. Sin embargo, teniendo en cuenta la creciente
tendencia a recopilar datos cada vez más íntimos y personalizados, las prácticas de recolección,
manipulación y procesamiento de datos de IoT plantean muchas cuestiones relativas al impacto
en la privacidad de una persona desde una perspectiva jurídica (Caron et al. [4]).
El énfasis de IoT está puesto en la estructura de comunicación que permite esta interacción entre
las personas y las cosas de manera directa, es decir, sin intervención humana en el proceso de
transmisión que vincula todos los componentes. Desde el punto de vista de la integración de
tecnologías se puede resumir la diversidad e interactividad de IoT a partir del gráfico propuesto
por el autor precitado y que se señala en la Fig. 1.
Por su parte, el informe denominado “Things Matter: The user experience of the Internet of
Things in Spain” presentado por Telefonica, Accenture e Ipsos [5] distingue seis grandes
entornos de IoT:
el vehículo conectado, que por aplicación de la telemetría implica mayor seguridad,
mantenimiento eficiente, elección de las mejores rutas de circulación y acceso, y
personalización de las pólizas de seguros de acuerdo a fórmulas de manejo. En el caso de los
transportes de mercaderías el monitoreo constante de las cargas permite obtener mejor
información y rendimientos.
la industria conectada, es el sector que más se ha volcado al uso de IoT, con una producción
más eficiente y competitiva para la empresa y mayor seguridad y desarrollo profesional para
los empleados.
la tienda conectada, la información entre el cliente y la empresa permite el ofrecimiento de
promociones personalizadas a gusto del cliente a través de la información recolectada. Se
mejora la experiencia del usuario y se achican los tiempos, y los costos permitiendo negocios
ágiles y mayor comodidad. Significa la posibilidad de interconectar y automatizar todas las
tareas con el consiguiente ahorro de mano de obra y de tiempo, simplificando los procesos
productivos monitoreándolos a distancia.
la ciudad conectada, para avanzar en la gestión integral del sistema urbano que permita
brindar un entorno sostenible en las ciudades. La digitalización de la administración pública
también mejora la calidad de vida de los ciudadanos y fomenta la transparencia.
la persona conectada: la adopción de IoT para usos individuales depende del estilo de vida
del consumidor, y se relaciona más a las tendencias de ocio y divertimento. Como ejemplo
puede citarse los dispositivos para medir rendimiento deportivo y localización de mascotas.
En términos generales, el uso de IoT en la esfera personal es una de las categorías que más se
ha incrementado en los últimos años, principalmente por la utilización masiva de teléfonos
inteligentes que ponen a disposición del usuario aplicaciones inmediatas para el acceso y
control de dispositivos.
el hogar conectado: relacionando la comodidad y la búsqueda de seguridad para la familia, el
conjunto de componentes hogareños que permiten conectarse mediante IoT ha crecido en los
últimos años, haciendo posible el monitoreo de los distintos espacios de la vivienda así como
el control de gastos de consumo de energía por ejemplo.
Figura 1: Categorización de Ámbitos y Tecnologías de IoT (Fte: Joyanes Aguilar et alt ob.ct.)
Llegados a este punto es crucial hablar de la seguridad en IoT, sin la cual el sistema pierde
confianza y se torna poco sostenible. Joyanes Aguilar et al. [1] destacan varias cuestiones de
seguridad que deberán abordarse para hacer de IoT una tecnología segura para las personas:
Protocolo y seguridad de red: la interconexión entre dispositivos de alta seguridad con otros
de baja seguridad, establece un ambiente vulnerable y de fácil ingreso para las irrupciones
indebidas en la red. Debería abrirse canales de comunicación mediante algoritmos
criptográficos óptimos y un sistema de gestión de claves adecuado.
Los datos y la privacidad: este es uno de los aspectos más sensibles respecto a la seguridad
de IoT. No solo se trata de la generación de datos que cada usuario genera por mismo
(datos de geolocalización, claves de acceso, números de teléfonos, de tarjetas de crédito, etc.)
sino de la puesta a disposición de terceros o extraños de ese conjunto de datos, y ello SIN
conocimiento por parte del usuario. Es posible que el propio sistema IoT adquiera
información de los usuarios de manera automática. En este punto se requieren acciones
tendientes a concientizar al usuario respecto de los datos que genera cada vez que se conecta
a un sistema de IoT, las posibilidades de acceso indebido, el uso restrictivo de determinados
servicios de la web, etc., componiendo un esquema de capacitación y culturalización en el uso
de los sistemas IoT que debe ser abordado integralmente por todos los actores del sistema
(proveedores de servicios, de tecnologías, de conectividad, reguladores estatales de los
servicios, normas legales de protección de datos, entre otros.).
Gestión de Identidad en IoT: la gestión de identidades se refiere a la identificación de cada
objeto de IoT, en cuando a su esencia (como ser) y su función (como servicio). Así, un objeto
puede identificarse a mismo utilizando su identidad o sus características específicas, por
ejemplo: un dispositivo que controle un determinado parámetro debe saber que el valor de ese
parámetro se ajusta al usuario y su entorno específicamente. Esta visión de las cosas desde el
paradigma Orientado a Objetos (POO)
6
será necesario para circunscribir la acción de cada
objeto al contexto y usuario correspondiente, y en función de ello, definir los métodos de
seguridad necesarios, como por ejemplo, una persona puede utilizar métodos biométricos de
autenticación o un objeto dentro de una red (como un pasaporte digital o un teléfono
inteligente).
La confianza y la gobernanza: La confianza es fundamental para implementar IoT. Se debe
definir la confianza en un ambiente dinámico y colaborativo entre todos los componentes IoT
que se vinculan. Pero a esto se suma el sentimiento de confianza que manifieste el usuario al
momento de interactuar en un sistema IoT, cuando se ve capaz de controlar (o no) sus
acciones en el mundo virtual. Por otra parte, la gobernanza de los sistemas de IoT mediante
normas de regulación legal y políticas de interoperabilidad entre los proveedores de servicios
web ayudará a fortalecer la confianza en el contexto IoT, atendiendo por supuesto a no caer
en la figura del “gran hermano” que todo lo ve y lo controla.
Tolerancia a fallos: por supuesto que los riesgos que hoy manifiesta internet serán
potenciados exponencialmente a los sistemas IoT si no se atienden debidamente. En este
contexto, la tolerancia a fallos es indispensable para asegurar la confiabilidad del servicio,
pero se requieren mínimamente tres acciones: a) todos los objetos debe ser seguros por si
mismos tanto de hardware como de software, b) todos los objetos de IoT deberían tener la
capacidad de conocer el estado de la red y sus servicios, y c) todos los objetos deberían tener
la capacidad de defenderse contra fallas y ataques de intrusión.
Como observamos, esta tecnología cambia nuestra industria y por ende nuestras vidas, por lo cual
será también un factor relevante adaptar la legislación a estas nuevas experiencias del modo más
flexible posible, con la finalidad de que las normas no se vuelvan obsoletas antes de ser
sancionadas. Focalizados en la privacidad de los datos Min et al. [6] ya advierten sobre la
necesidad de que los países líderes definan políticas pertinentes y planes dirigidos a la protección
de los usuarios y sus datos personales, como fundamento de la sociedad hiperconectada. Y
avanzando más en este sentido, se observa también el uso de IoT en la consumación de delitos.
Es decir, el contexto de ubicuidad y omnipresencia resulta atractivo para la comisión de
transgresiones contra la ley, a partir de la interconectividad de componentes de diferentes fuentes
y destinos (celulares, GPS, sensores, cámaras de CCTV, alarmas, etc.).
Zulkipli et al. [7] definen las fuentes de amenazas en el contexto de IoT a partir de los siguientes
orígenes:
- Usuario travieso: cuando accede al dispositivo, de manera desprevenida para el fabricante, e
ingresa a utilidades limitadas del producto.
- Fabricante inmoral: el productor del dispositivo usa y explota las tecnologías para revelar
información del usuario a extraños.
- Agresor externo: conocido también como Entidad Ajena porque no forma parte de la red de
IoT y no tiene autorización para acceder, aun así, intenta obtener información confidencial y
puede causar el mal funcionamiento de las entidades IoT.
6
Paradigma OO: proveen a los objetos como el principal medio para estructurar un sistema, en donde el mundo del problema se
ve como objetos que interactúan entre así, y se modela la realidad identificando qué objetos hay en el mundo del problema, cómo
son, cómo se comportan y cómo se relacionan. (Extraído de https://sophia.javeriana.edu.co/~acarrillo/POO/Material
/CursoPOOConceptosOO-parteI.pdf consultado el 09/07/2018)
- Programación Deficiente: el desarrollador de software para la aplicación IoT o los
dispositivos IoT pueden escribir códigos no seguros, que permitan reconocer los datos del
usuario.
Estas fuentes de amenazas pueden ser utilizadas como vía de acceso para vulnerar los sistemas de
seguridad digital del usuario, estableciendo situaciones de extorsión, robo, secuestro u otros
delitos informáticos.
Las áreas que más pueden verse afectadas por IoT son la privacidad y la seguridad de las
personas. Por ello es fundamental tener en cuenta:
- Quien es el dueño de los datos.
- Ciberseguridad, cada vez que nos conectamos a Internet corremos riesgos de sufrir un ataque,
¿cuáles serían los mejores mecanismos de protección?
- ¿Qué políticas de privacidad estamos utilizando?, o tal vez mejor ¿hay políticas de privacidad
sobre IoT?
- Control: ¿quién controla las órdenes emitidas por el objeto?
- ¿Quiénes pueden resultar afectados por los errores trasmitidos o cometidos por el objeto?
La intercomunicación de IoT se extiende horizontalmente destruyendo barreras y conectando
cosas y personas que antes jamás se habían comunicado. Estos sets de aplicaciones que conectan
diversas cosas al mismo tiempo, cruzan jurisdicciones, países e instituciones y diferentes
legislaciones.
¿Podemos seguir aplicando los marcos legales existentes a situaciones tan diferentes? Estos
temas deben ser analizados y tratados para estar preparados de antemano a los litigios que se
generarán prontamente en los sistemas IoT.
Sin pretender agotar el tema, enunciamos hasta aquí las definiciones de IoT que interesan para
este trabajo.
1.2 FORENSIA DIGITAL
La inclusión de las Tecnologías de la Información y de las Comunicaciones (TIC) en la sociedad
ha posibilitado importantes mejoras en las actividades en general, notándose su mayor impacto en
el ámbito de las comunicaciones interpersonales mediante las redes sociales, la mensajería
instantánea y el correo electrónico. Pero de igual forma, así como ha favorecido la vida de las
personas, también se utiliza para el desarrollo de actividades delictivas, en las cuales las TIC
participan con idéntica fuerza que en el resto de los quehaceres sociales.
Ubicados en el contexto legal, a partir de 1990 surge la necesidad de convocar a peritos
informáticos para que actúen como auxiliares de la justicia cuando se presenta una prueba digital.
Con el transcurso del tiempo, y la evolución de las tecnologías, esta primera acción del
profesional informático que solo hacía un aporte técnico pasó a convertirse en una rama de la
disciplina informática con entidad propia.
Proveniente de la Informática aplicada, el desarrollo de la Informática Jurídica tuvo una variante
distintiva cuando se abordaron las pericias informáticas. Así, surge primeramente la Informática
Forense y se transforma en lo que hoy se conoce como Forensia Digital.
A partir del año 2000, comienzan a surgir los ataques a la seguridad informática, lo que produce
un crecimiento en las normas y procesos necesarios para atender la problemática de hacking e
intrusión sobre los sistemas informáticos. Ya en el 2005, con la incorporación de aplicaciones
web, se hace más crítica la cuestión de la seguridad y resguardo de los datos, al punto de tener
que generar esquemas de seguimiento y búsqueda de vulnerabilidades. Aparecen nuevas formas
de la seguridad informática (hacking ético por ejemplo) y allí se formaliza la Forensia Digital,
para dar una respuesta al análisis de los incidentes de seguridad informática.
Por su parte, la Informática Forense toma para sí las herramientas y métodos de la Forensia
Digital y le agrega algunos de los procedimientos propios de la criminalística como la cadena de
custodia y el resguardo de la zona del delito.
Se puede tomar como definición de Forensia Digital la propuesta por Zuccardi et al.[8] que dice:
Forma de aplicar los conceptos, estrategias y procedimientos de la criminalística tradicional a
los medios informáticos especializados, con el fin de apoyar a la administración de justicia en su
lucha contra los posibles delincuentes o como una disciplina especializada que procura el
esclarecimiento de los hechos (¿quién?, ¿cómo?, ¿dónde?, ¿cuándo?, ¿por qué?) de eventos que
podrían catalogarse como incidentes, fraudes o usos indebidos bien sea en el contexto de la
justicia especializada o como apoyo a las acciones internas de las organizaciones en el contexto
de la administración de la inseguridad informática.
La Forensia Digital se aplica principalmente en dos áreas: en el ámbito de la justicia mediante las
pericias informáticas con la inclusión de las evidencias digitales, y en el ámbito
empresarial/institucional cuando se analizan fallas de seguridad y acciones de intrusión
indebidas.
1.3 El Proceso de Análisis Forense Digital
Son varios los autores que abordan la definición del proceso de análisis forense digital,
conjugando cuestiones propias de la criminalística con protocolos y normas de la ingeniería. En
particular, se puede tomar la propuesta del Grupo de Investigación sobre Forensia Digital de la
UFASTA[9], quienes incorporan componentes de la ingeniería de Software y proponen el
Proceso Unificado de Recuperación de Información (PURI). La Fig. 2 esquematiza este proceso:
Figura 2: Fases del Proceso Unificado de Recolección de Información (PURI)
La Fase de Relevamiento abarca la investigación para conocer el caso e identificar los posibles
objetos de interés, para considerar la documentación legal y técnica y la infraestructura de IT con
que se va a trabajar. La Fase de Recolección abarca las acciones y medidas necesarias para
obtener los equipos físicos, y/o las posibles fuentes de datos, sobre los cuales se deberá trabajar
posteriormente. La Fase de Adquisición abarca todas las actividades en las que se obtiene la
imagen forense
7
del contenido que se analizará. La Fase de Preparación involucra las actividades
técnicas en las que se prepara el ambiente de trabajo del informático forense, la restauración de
las imágenes forenses y volcados de datos, junto con su correspondiente validación, y la
selección de las herramientas y técnicas apropiadas para trabajar en la extracción y el análisis, de
acuerdo al objeto origen, y a las necesidades del caso. La Fase de Extracción y Análisis
comprende las tareas forenses de extracción de la información de las imágenes forenses, la
selección de la potencial evidencia digital, y su análisis en relación al caso y a los puntos
periciales o requerimientos de servicio forense. Finalmente, la Fase de Presentación comprende
el armado de los informes necesarios y la presentación del caso en un juicio o a los solicitantes.
Hoy en día, la justicia está demandando la participación de peritos informáticos en la obtención y
tratamiento de evidencias digitales que se presentan como prueba de un hecho, dado que los
rastros digitales son cada vez más numerosos en los procesos investigativos.
De igual modo, demanda a los peritos informáticos un entrenamiento en la materia judicial y
criminalística, particularmente respecto de los principios de mantenimiento de la cadena de
custodia, no contaminación de la prueba y el uso de criterios de actuación compatibles con el
derecho procesal.
1.4 Tecnologías semánticas aplicadas a la Forensia Digital
En el contexto forense, es de suma importancia vincular los datos a partir del significado de cada
cosa. No se trata solo de “encontrar la evidencia digital”, sino de interpretarla en el contexto de la
situación, vinculándola con el resto de los componentes de la investigación (pruebas físicas,
interrogatorios, marco legal y procedimental del caso, etc.). De modo que es indispensable
avanzar en la forensia digital desde la óptica de la semántica como elemento vinculante de todos
los componentes del sistema- así como desde un marco referencial que pueda interpretarlo, es
decir, una ontología. El significado de este término se entiende fácilmente a partir de la definición
de De Reuver et al.[10] cuando dice que una ontología es la descripción conceptual y
terminológica de un conocimiento compartido acerca de un dominio específico. Dejando de lado
la formalización e interoperabilidad de aplicaciones, esto no es más que la principal competencia
del término: hacer mejoras en la comunicación utilizando un mismo sistema en lo terminológico
y conceptual”.
En el caso particular de IoT, desde las tecnologías semánticas se pueden proponer varias
herramientas para la comunicación con los actores no informáticos: taxonomía de conceptos,
ontologías para el análisis forense basadas en la trazabilidad de la transmisión, ontologías para la
interpretación de casos particulares, entre otras. Desde el proyecto de investigación encarado por
el Grupo de Investigación en Informática Forense de la Facultad de Ingeniería de la UCASAL, se
están abordando estos temas.
7
Una imagen forense es una copia exacta, sector por sector, bit a bit, de un medio de almacenamiento. De esta manera, es posible
trabajar con la imagen de la misma manera que si se hiciera sobre el original.
2. CASO DE ESTUDIO
El 21 de octubre de 2016 fuimos testigos de un ataque de denegación de servicios
8
distribuido sin
precedentes, que dejó inaccesibles a grandes plataformas de Internet principalmente en
Norteamerica y Europa pero con un alcance global
9
. Dentro de los damnificados, podemos citar a
Amazon, Netflix, Paypal, The New York Times y otras grandes empresas, en nuestra región el
ataque afectó al diario argentino Infobae. Lo novedoso de esta acometida fue que no fue dirigida
directamente a las empresas mencionadas, sino que el apuntado fue una compañía proveedora de
un servicio esencial para el funcionamiento de Internet como es el DNS (Domain Name System).
El servicio DNS es el encargado de vincular un nombre de dominio, ej www.ucasal.edu.ar con su
correspondiente dirección IP para poder establecer la comunicación entre un usuario y el servidor
donde se encuentra albergado el sitio en cuestión. De esta manera podemos inferir la importancia
de este mecanismo dado que sin él no sería posible el uso de Internet de la manera que
acostumbramos a emplear. Dada la importancia de esta “traducción del nombre de la web en una
dirección IP”, las empresas usuarias de Internet suelen contratar a grandes compañías
proveedoras de este tipo de servicios para garantizar un inmediato tiempo de respuesta en la
vinculación dominio-IP, así también como una alta disponibilidad a las respuestas de estas
consultas (lo que hace que el ingreso a la web de la empresa sea inmediato), debido a que cuentan
con una constelación de servidores distribuidos globalmente.
En el caso particular de este ataque, fue dirigido a los servidores de la empresa DYN.com, y
efectuado en dos fases. La primera comenzó a HS 10:10AM GMT y se prolongo por un espacio
de alrededor cuatro horas y consistió en la recepción de consultas maliciosas al servicio DNS
provisto por DYN con una cantidad de trafico completamente inusual lo que impidió que éste
pueda responder a las consultas reales provocando la inaccesibilidad a una gran cantidad de sitios
pertenecientes a sus clientes. De manera inmediata, al detectar el tráfico inusual, principalmente
proveniente de Asia, América del Sur y Europa del Este, iniciaron su protocolo de respuesta y
sorprendentemente el origen del ataque cambió de manera repentina afianzándose en la costa este
de los Estados Unidos. En respuesta a esto, se aplicaron diversos filtros y redireccionamiento de
tráfico que lograron mitigar el ataque finalizando la primera etapa del mismo.
La segunda fase se inició alrededor de las 14:50 GMT y fue más diverso a nivel mundial, con la
misma técnica y extendiéndose hasta aproximadamente hs 16:00.
De acuerdo a información oficial
10
, se observó tráfico entre 10 a 20 veces superior a lo recibido
con asiduidad con algunas ráfagas superiores a 40 veces de lo normal llegando al orden de los 1,2
TBPS
11
y logrando de esta manera perpetuar el ataque por denegación de servicio de mayor
envergadura conocido hasta el momento.
Los análisis posteriores al ataque concluyeron que el mismo fue ejecutado utilizando una red de
dispositivos de Internet de las Cosas (IoT) tales como routers, grabadores de video (DVR),
8
Ataque de denegación de servicios (DDoS) es el que se realiza cuando una cantidad considerable de sistemas atacan a un
objetivo único, provocando la denegación de servicio de los usuarios del sistema afectado. La sobrecarga de mensajes entrantes
sobre el sistema objetivo fuerza su cierre, denegando el servicio a los usuarios legítimos.
9
Se puede leer en https://www.infobae.com/noticias/2016/10/21/un-ataque-hacker-a-un-proveedor-de-internet-en-estados-
unidos-afecta-a-twitter-y-spotify/ (consultado el 10/07/2018)
10
https://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/ (consultado el 10/07/2018)
11
TBPS: Terabits por segundo
cámaras, monitores de bebés, etc que fueron dominados utilizando un malware
12
denominado
MIRAI
13
que se aprovecha de la falta de actualización y precariedad que contiene el software de
base (o firmware) de estos dispositivos genéricos.
Si bien el caso descripto es de interés por que el ataque se generó vulnerando los componentes
IoT, hay otros casos de ataques informáticos a instalaciones que brindan servicios vinculados a
IoT, y que ponen de manifiesto el riesgo social involucrado con impacto directo en las personas,
como por ejemplo:
Ataque a los Sistemas de ventilación y aire acondicionado de edificios
14
: En 2012 un grupo
de atacantes logró manipular remotamente los termostatos de un edificio de gobierno y de
una planta manufacturera para cambiar con éxito la temperatura del interior. De haber
ocurrido en un lugar con alta concentración de gente y sin acceso a ventilación natural
(como un shopping por ejemplo) podría haber ocasionado situaciones de riesgo para las
personas.
Ataques a Redes eléctricas
15
: En 2013, se confirmó el robo de información de planos
detallados de la red y de 71 estaciones eléctricas, ubicación precisa de dispositivos,
diagramas de red y contraseñas de dispositivos de la red eléctrica gestionada por la empresa
Calpine, el principal generador de electricidad de los Estados Unidos, poniendo en riesgo a
las personas de todas las comunidades usuarias de este servicio.
Ataque a una Planta acerera
16
: la Oficina Federal de Seguridad de Información de
Alemania emitió un informe que confirmaba que en 2010 un grupo de hackers había
accedido de forma no autorizada para luego impedir el apagado de uno de los hornos a la
planta, lo cual provocó un daño masivo a la instalación. Los atacantes obtuvieron acceso a
la planta de acero a través de la red comercial de la planta y luego se abrieron camino en las
redes de producción para acceder a los sistemas de control de la planta.
Nuevas variantes a MIRAI: con el correr del tiempo aparecieron redes de bots similares a
MIRAI, generalmente basadas sobre su código fuente con algunas modificaciones que las
vuelven más agresivas. Entre ellas podemos mencionar a Bashlight
17
, Brickerbot
18
y
PERSIRAI
19
todos son malware que aprovechan la vulnerabilidad de fabricación de los
componentes IoT.
2.1 IMPACTO Y CONSECUENCIAS TÉCNICAS Y LEGALES DEL ATAQUE DDoS
12
Malware: abreviatura de “Malicious software”, término que engloba a todo tipo de programa o código informático malicioso
cuya función es dañar un sistema o causar un mal funcionamiento. Dentro de este grupo podemos encontrar términos como:
Virus, Troyanos (Trojans), Gusanos (Worm), keyloggers, Botnets, Ransomwares, Spyware, Adware, Hijackers, Keyloggers,
FakeAVs, Rootkits, Bootkits, Rogues, etc….
13
https://www.csoonline.com/article/3258748/security/the-mirai-botnet-explained-how-teen-scammers-and-cctv-cameras-almost-
brought-down-the-internet.html (consultado el 10/07/2018)
14
Se puede leer en https://www.fastcompany.com/3008148/cybercriminals-hack-factory (consultado el 10/07/2018)
15
Se puede leer en http://bigstory.ap.org/article/c8d531ec05e0403a90e9d3ec0b8f83c2/ap-investigation-us-power-grid-vulnerable-
foreign-hacks (consultado el 10/07/2018)
16
Se puede leer en https://www.wired.com/2015/01/german-steel-mill-hack-destruction/ (consultado el 10/07/2018)
17
Se puede leer en https://krebsonsecurity.com/tag/bashlight/ (consultado el 10/07/2018)
18
Se puede leer en https://arstechnica.com/information-technology/2017/04/brickerbot-the-permanent-denial-of-service-botnet-is-
back-with-a-vengeance/ (consultado el 10/07/2018)
19
Se puede leer en https://blog.trendmicro.com/trendlabs-security-intelligence/persirai-new-internet-things-iot-botnet-targets-ip-
cameras/ (consultado el 10/07/2018)
El ataque a DYN del 21 de octubre de 2016 pone de manifiesto la vulnerabilidad de los sistemas
IoT, ya que los componentes que habitualmente no se consideran informáticos sino electrónicos
(grabadoras, cámaras, monitores de bebés, etc) se fabrican con un firmware cada vez más apto
para la interconexión a otros componentes, pero, con mucho descuido respecto de las normas de
seguridad informática que deberían regular esa interconexión.
Analizando el impacto del ataque ocurrido, se observan algunas características que deben
destacarse:
- La alta escalabilidad de los ataques. Debido a que los sistemas IoT utilizan la red de redes
para la comunicación y desde un punto cualquiera de la red, el ataque se difunde rápidamente
hacia nuevas conexiones de puntos no atacados inicialmente. Todos los componentes
conectados a internet están expuestos a la intrusión indebida.
- El crecimiento exponencial de los dispositivos IoT tanto en cantidad como en tipo de
componentes. Inicialmente los sensores y actuadores eran los componentes a través del cual
se conectaba un equipo electrónico a Internet, ahora están presentes en la mayoría de los
equipos electrónicos, dotando de cierta inteligencia al dispositivo.
- Los procesos de fabricación de los dispositivos IoT no están totalmente regulados, ni cuentan
con normas internacionales sobre seguridad informática de cumplimiento obligatorio.
- Las dificultades para descubrir a los autores de la intrusión ilegal, tanto en la identificación de
las personas u organizaciones, como en la ubicación geográfica de los mismos.
- El cuantioso impacto económico y social que significó a los usuarios de DYN la denegación
de servicios, no solo por la imposibilidad de comerciar en la web, sino también por
situaciones colaterales vinculadas a la salud, la educación y la seguridad de las personas.
Desde el punto de vista del derecho, el análisis que se puede hacer también resulta de interés. El
ataque perpetrado puso de manifiesto la indefensión de los usuarios que quisieron utilizar los
servicios de DYN y no pudieron. Más allá de la responsabilidad comercial que le cabe a este
proveedor frente a sus clientes, habría que definir el marco legal en el cual alguno de estos
usuarios perjudicados pudiera demandar a quien corresponda por lo ocurrido, por ejemplo:
- ¿ante quien se realiza la denuncia? considerando la ubicuidad de internet, y atento a que los
servidores están dispersos en diferentes lugares geográficos que impiden fijar la autoridad
judicial competente cuando se trata un caso de estas características.
- ¿Cuál es la legislación que se aplica? el derecho internacional deberá contemplar el trabajo
colaborativo entre los distintos ámbitos judiciales de los países involucrados
- ¿Hay antecedentes o jurisprudencia que permita marcar el camino a seguir? Es decir, cuanto
se puede aprovechar de procesos judiciales similares, tanto en la resolución de los casos como
en los aspectos menores del proceso de litigación.
- ¿los profesionales de otras disciplinas que no sean informáticos (policías, abogados,
criminalistas, etc.) se encuentran capacitados para atender casos como el citado?
3. CONSIDERACIONES PARA UN CURSO DE ACCIÓN QUE PERMITA ABORDAR LA
VULNERABILIDAD DE IoT
Entendiendo entonces la magnitud del desastre producido por el ataque de denegación de
servicios, y siendo éste uno más de múltiples casos similares que actúan aprovechando la
vulnerabilidad de los sistemas IoT, conviene identificar algunos criterios que puedan ayudar a
definir un camino a seguir.
Sin la pretensión de formular una solución concreta para la problemática planteada por el uso
inseguro de los sistemas de IoT, proponemos un conjunto de elementos o criterios técnicos y
legales que pueden ayudar.
3.1 CRITERIOS TÉCNICOS PARA ATENDER LA VULNERABILIDAD DE IoT
Desde el punto de vista de las tecnologías IoT, los criterios a trabajar se pueden resumir
considerando los distintos actores intervinientes: usuarios de los sistemas IoT por una parte, y
proveedores de servicios y fabricantes de componentes IoT, por la otra.
3.1.1 Educación del usuario IoT
Podemos sugerir o recomendar ciertas medidas a tomar por parte de los usuarios, que
habitualmente no son expertos informáticos, por lo que deben saber acerca de las
vulnerabilidades de los dispositivos que utiliza y los peligros a los que se exponen.
Si bien los sistemas IoT presenta oportunidades que pueden mejorar tanto el mercado de
consumo como el empresarial, es importante que tanto las personas como las empresas evalúen la
exposición al riesgo cuando adoptan estas tecnologías.
Existe preocupación en el mercado tecnológico sobre este tema, y son varias las empresas telco
que se ocupan de asesorar al usuario final, como ejemplo, Telefónica[11] sugiere:
Cambiar las contraseñas predeterminadas en los enrutadores domésticos y dispositivos de
IoT, usando el cifrado más robusto posible al configurar redes, también asegurando la
seguridad del dispositivo desde el lado de LAN
Usar dispositivos en una red doméstica separada cuando sea factible
Usar contraseñas seguras para cuentas de dispositivos
Deshabilitar o proteger el acceso remoto a dispositivos IoT cuando no es necesario
Investigar las medidas de seguridad del dispositivo del proveedor
Modificar la configuración de privacidad y seguridad del dispositivo según sus necesidades
Deshabilitar características que no están siendo utilizadas
Instalar actualizaciones cuando estén disponibles
3.1.2 Políticas de seguridad de los proveedores de servicios y fabricantes de componentes IoT
Al adoptar IoT es crucial que las empresas tengan en cuenta los aspectos de seguridad desde el
inicio de la iniciativa. Las mismas consideraciones de políticas de seguridad y resguardo de los
datos, que las empresas implementan puertas adentro para sus activos y aplicaciones
tecnológicas, debe implementarse en la provisión de servicios IoT. Las normas de seguridad ya
existen, se pueden adaptar fácilmente en la oferta de servicios de comunicación y
almacenamiento de datos en la nube. Al respecto, el informe de Telefónica sugiere a los
proveedores de servicios y/o fabricantes de dispositivos de IoT, la implementación de políticas de
seguridad acerca de:
Utilización de conexiones cifradas.
Anonimización de los datos y su recopilación sólo cuando sea estrictamente necesario.
Requerir al usuario un cambio obligatorio de las contraseñas por defecto por otras robustas
y no permitir contraseñas “quemadas” en el código.
Permitir la configuración de reglas detalladas de control de acceso.
Implantar medidas que dificulten ataques de fuerza bruta para adivinar credenciales de
acceso.
Verificación mutua de certificados SSL y de listas de revocación de certificados.
Implementar medidas inteligentes de fail-safe cuando la conexión o la energía del
dispositivo falla.
Realizar análisis de seguridad del código fuente y ofuscarlo si es accesible para los
usuarios.
Aun considerando estas sugerencias, faltan resolver varias cuestiones técnicas, que requieren de
la definición de regulaciones exigidas a los fabricantes, como por ejemplo:
No permitir el uso de usuario y contraseña por defecto, obligando a que el usuario se haga
responsable de generar las credenciales de acceso
Se debe implementar instancias de actualización automática del firmware de los dispositivos
IoT.
Sería deseable implementar esquemas de soporte técnico para los dispositivos IoT,
particularmente para aquellos componentes que se fabrican a gran escala y a muy bajo costo,
permitiendo que se incorporen en arquitecturas de procesamiento seguras.
3.2 CONSIDERACIONES JURÍDICAS PARA ATENDER LA VULNERABILIDAD DE IoT
Desde el punto de vista legal, está claro que la normativa debe evolucionar, debe adecuarse a los
tiempos que corren. El tratamiento de temas como el que nos ocupa siempre será ex post, la
evolución tecnológica condicionará la posterior regulación normativa, pero justamente la
discusión y generación de la norma debe darse en un marco temporal adecuado, acorde a la
necesidad inmediata que la evolución tecnológica genera.
Las técnicas de procesamiento y tratamiento de datos, por citar un caso, que no existían hace tan
solo unos quince años atrás, demandan no solo legislar en aras de proteger a los consumidores de
estos objetos sino de exigir a los fabricantes adoptar medidas acordes a estas necesidades de
protección. Asimismo, desde lo penal, resulta fundamental legislar nuevas sanciones para los
ilícitos que se cometiesen mediante su uso.
Acorde a esta innovación tecnológica constante, deberán los legisladores de los distintos países
abordar la urgente discusión que esta nueva revolución tecnológica demanda.
Temas como la recientísima aprobación del Reglamento General de Protección de Datos europeo
(RGPD)
20
deben ser abordados y servir de marco comparativo para la futura legislación local o
regional. Las normas más estrictas en materia de protección de datos implican que las personas
tienen más control sobre sus datos personales y que las empresas se benefician de igualdad de
condiciones. Este reglamento contiene dos documentos de altísima utilidad para el tema que se
trata en el presente trabajo:
20
Se puede leer en https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-
protection-rules_es (consultado el 10/07/2018).
- “Siete pasos para que las empresas se preparen para el Reglamento general de protección de
datos (RGPD)” resumido en los siguientes puntos:
- Verifique los datos personales que recopila y trata, el fin para el que lo hace y sobre qué
base jurídica
- Informe a sus clientes, empleados y otras personas cuando recopile sus datos personales
- Conserve los datos personales únicamente mientras sea necesario
- Proteja los datos personales que esté tratando
- Conserve documentación sobre sus actividades de tratamiento de datos
- Asegúrese de que su subcontratista respeta las normas
- Compruebe si está sujeto a las disposiciones del RGPD
- Guía para los ciudadanos sobre la protección de datos en la UEresumido en los siguientes
puntos:
- Derecho a saber quién trata qué y por qué
- Derecho a acceder a sus datos
- Derecho a oponerse
- Derecho a corregir sus datos
- Derecho a borrar los datos y al olvido
- Derecho a opinar cuando las decisiones son automatizadas
- Derecho a trasladar sus datos
Es fundamental que el enfoque considerado por el RGPD sea revisado a la luz de su aplicación en
los sistemas IoT.
Particularmente, en el caso argentino, la actualización de la ley 25.326, de protección de datos
personales, debe ser necesariamente abordada y es el camino que se está recorriendo. Pensada en
un mundo en donde internet no tenía la relevancia que hoy tiene, en donde la interconexión de los
objetos era algo impensado, esta ley debe adaptarse a los tiempos. En el año 2000, en que fue
sancionada, no se concebían las amenazas, ni vulneraciones posibles en materia de datos que la
tecnología permite a la fecha. Casos como el que nos ocupa describen perfectamente esta
vulnerabilidad vigente.
Es dable destacar que desde el año 2016 Argentina viene abordando esta y otras necesidades de
modificación en el marco del proyecto Justicia 2020
21
del Ministerio de Justicia y Derechos
Humanos de la Nación y que, en el caso citado, ya existe un anteproyecto de reforma a la ley de
protección de datos personales.
En igual sentido se aprobaron, en el año 2017, los Estándares Iberoamericanos de Protección de
Datos Personales
22
, con el objetivo de convertirse en marco de referencia para homologar la
regulación de la protección de los mismos en la región, instancia sumamente necesaria a la luz de
una temática que claramente escapa de lo que un solo estado pudiese legislar al respecto.
En síntesis, temas como la debida notificación de incidentes en materia de seguridad, la
comunicación de estos, las sanciones ante la no comunicación, el deber de información necesaria
suficiente y eficiente cuando se introduce un nuevo objeto al mercado, el consentimiento expreso
o tácito del titular de los datos cuando se trabaja con ello, deben ser necesariamente abordados y
encajonados en el marco legal adecuado.
21
Se puede leer en https://www.justicia2020.gob.ar/ (consultado el 10/07/2018).
22
Se puede leer en http://www.jus.gob.ar/datos-personales/comunicados/2017/06/22/estandares-de-proteccion-de-datos-
personales-para-los-estados-iberoamericanos-(1).aspx (consultado el 10/07/2018).
En idéntico sentido, la debida sanción penal de los ilícitos cometidos por esta vía, los consensos
entre los países y el camino a la homologación normativa permitirán impedir la generalización de
los mismos y minimizar su impacto.
Lo antes expuesto, sin olvidar la necesidad de adecuar la legislación procesal existente a fin de no
tornar ilusorios los derechos o protecciones que la normativa de fondo regulen.
¿Qué se debería tener en cuenta para avanzar en un curso de acción que atienda situaciones como
el caso citado como ejemplo? Además de generar un marco legal de alcance internacional- que
sirve de ámbito de contención para quienes son perjudicados por estos actos delictivos, se debe
trabajar en:
- Conformación de espacios de trabajo internacionales e interdisciplinarios, para abordar el
estudio de normas técnicas y legales que generen un ámbito seguro para la utilización de
sistema IoT.
- Generación de acciones de concientización sobre la exposición al riesgo que generan los
sistemas IoT dirigido principalmente a los usuarios finales, y también sobre la
responsabilidad de evitar la intrusión indebida que le cabe a los proveedores de servicios y
fabricantes de dispositivos IoT.
- Regulaciones para la fabricación de dispositivos IoT (sean éstos de cualquier tipo,
microsensores o dispositivos de gran porte), a fin de que se ajusten a los requisitos de
seguridad informática necesarios.
- Implementación de las normas de resguardo de datos y protección de la privacidad, en todas
las instancias de la comunicación IoT, sean éstas provenientes de servicios de transmisión y/o
almacenamiento en la nube.
4. CONSIDERACIONES PARTICULARES PARA LA FORENSIA DE IoT
Para el investigador forense la tecnología IoT plantea un gran desafío, principalmente en las fases
de extracción y preservación de la prueba digital. Zulkipli et al. [7] identificaron los desafíos que
plantea IoT a la Forensia Digital, entre los cuales se enuncian:
- Las herramientas y tecnologías forense generalmente no son medios aptos para identificar y
analizar la infraestructura de IoT, es necesario desarrollar nuevas herramientas y protocolos
de actuación pericial. Como se puede apreciar no está claro cómo proceder en estas
situaciones, no existen protocolos formales de actuación y los que existen abundan en
consideraciones tecnológicas pero escasamente se ajustan a los procesos normados de la
justicia. Por su parte, desde el ámbito del derecho, también deben modificarse los
procedimientos de obtención de pruebas digitales para ajustarlos a las arquitecturas de
procesamiento distribuidos tales como cloud computing y cloud services.
- El proceso de análisis forense tradicional se verá afectado. Los dispositivos IoT producen una
gran cantidad de datos, que se siguen generando al momento mismo de la investigación
forense, requiriendo más tiempo para la identificación de la información relevante, su
resguardo y preservación. Estos dos últimos pasos son los más críticos debido a que
usualmente los dispositivos de IoT no se pueden desconectar para aislarlos y preservar la
prueba digital. Hay otros temas que también deben estudiarse y ajustarse para actuar en la
búsqueda de pruebas digitales en el contexto tecnológico de IoT: la cadena de custodia y la
preservación de la escena del delito. Cuando se trata de sistemas IoT, mayormente
implementados en la nube, estos dos aspectos son cruciales al momento de definir cuándo y
cómo se obtiene la prueba digital. Por ejemplo: el perito debe decidir si corta la energía para
no sobrescribir la evidencia con el riesgo que eso implica, o si corta el servicio de internet
para no alterar la información o perderla, aunque también es posible cortar la comunicación
entre si e intentar la extracción local de la evidencia en los dispositivos.
- El proceso de extracción de pruebas también se podría complicar ya que los dispositivos IoT
cuentan con formatos de datos heterogéneos, protocolos e interfaces físicas involucradas. Se
destaca particularmente la diversidad de dispositivos, con sistemas operativos propietarios, y
la creciente capacidad de inteligencia de los sensores y actuadores. Por otro lado, existen
dispositivos que trabajan en una arquitectura distribuida de modo que los datos de las
actividades realizadas se encuentran distribuidos en distintos nodos y/o servicios en la nube.
Este es un gran desafío para el forense que deberá analizar y determinar cuáles son los nodos
de interés para la investigación, y el consecuente trámite de obtención de los datos ante
proveedores del servicio que no se encuentran radicados en un único país, o a veces, no se
encuentran bajo la competencia de la autoridad judicial ante quien se tramita el caso. Otra
característica propia de los dispositivos IoT que también dificulta la tarea de extracción y la
preservación de la prueba digital, es la capacidad de sobreescritura que tienen estos
dispositivos. Esto implica que la evidencia residente en los componentes IoT es muy volátil,
ocurriendo muchas veces que cuando se va a realizar la pericia el dato ya no existe.
Estos aspectos destacados, se suman a la problemática que en ya tiene la Forensia Digital,
como ser: rigurosidad en la cadena de custodia, capacitación de los analistas forenses en estas
nuevas tecnologías, normalización y estandarización de los registros (logs) de eventos, normativa
legal y jurisprudencia sobre el tema.
5. CONCLUSIONES
Internet de las Cosas propone un contexto totalmente diferente al conocido hasta hoy. El
procesamiento de datos pasó de un estadio controlable a un estadio altamente dinámico y
maleable, que se ajusta automáticamente a los requerimientos del usuario. Si también
consideramos los avances de la Inteligencia Artificial, Big Data y la Inteligencia Ambiental
23
, se
puede considerar que IoT es el inicio de una nueva forma de relacionarnos con la tecnología, que
presenta muchísimos desafíos para las personas, principalmente en aquellas cuestiones
relacionadas con la propia esencia del ser humano: el respeto, la dignidad, la interacción con los
otros, la vida en sociedad.
Hoy los millenniams que constituyen la generación IoT, viven en el cambio permanente, y ya se
están incorporando a la sociedad productiva de estos momentos. Por esto es necesario reconocer
los cambios, adaptarse a ellos y nunca dejar de aprender. Esta constituye la característica
imprescindible en estos tiempos. Si podemos aceptar que los estándares, la colaboración, la
comunicación, los modelos de negocios y los modos de interacción entre nosotros y la tecnología
sean abiertos y flexibles, y que la legislación también acompañe de este modo el proceso de
cambio, podremos hacer de nuestro mundo un sistema colaborativo e integrador donde se puedan
23
Inteligencia Ambiental o Computación Ubicua es la integración de la informática en el entorno de la persona, de forma que los
ordenadores no se perciban como objetos diferenciados, creando un entorno que se puede controlar desde un dispositivo móvil o
un mouse.
desarrollar soluciones agiles y acordes al entorno digital en el que estamos inmersos bajo
premisas de convivencia que nos permita ser mejores personas.
6. REFERENCIAS BIBLIOGRÁFICAS
[1] CSIRT-CV, “Seguridad en Internet De Las Cosas,” Cent. Segur. TIC la Comunitat
Valencia., p. 42, 2016.
[2] D. Betancourt, G. Gómez, and J. I. Rodríguez, “Introducción a la Internet de las Cosas.”
2016.
[3] G. Misra, V. Kumar, A. Agarwal, and K. Agarwal, “Internet of Things (IoT) – A
Technological Analysis and Survey on Vision, Concepts, Challenges, Innovation
Directions, Technologies, and Applications (An Upcoming or Future Generation
Computer Communication System Technology),” Am. J. Electr. Electron. Eng. Vol. 4,
2016, Pages 23-32, vol. 4, no. 1, pp. 2332, 2016.
[4] X. Caron, R. Bosua, S. B. Maynard, and A. Ahmad, “The Internet of Things (IoT) and its
impact on individual privacy: An Australian perspective,” Comput. Law Secur. Rev., vol.
32, no. 1, pp. 415, 2016.
[5] Telefonica; Accenture; Ipsos, “Things Matter: The user experience of the IoT in Spain,”
2017.
[6] K. Min and S.-W. Chai, “A comparative analysis of personal data protection policies of
leading countries in the internet of things (IoT) environment,” Contemp. Eng. Sci., vol. 9,
no. 13, pp. 627633, 2016.
[7] N. H. Nik Zulkipli, A. Alenezi, and G. B. Wills, “IoT Forensic: Bridging the Challenges in
Digital Forensic and the Internet of Things,” Proc. 2nd Int. Conf. Internet Things, Big
Data Secur., no. IoTBDS, pp. 315324, 2017.
[8] G. Zuccardi et al., “Evidencia Digital: Contexto, Situación, e Implicaciones Nacionales,”
no. Evidencia Digital, pp. 117, 2006.
[9] D. I. Haydée A. et al., “El rastro digital del delito Aspectos técnicos , legales y estratégicos
de la Informática Forense.”
[10] M. de Reuver and T. Haaker, “Designing viable business models for context-aware mobile
services,” Telemat. Informatics, vol. 26, no. 3, pp. 240248, 2009.
[11] T. Detection, “Threat Detection Telefónica Trend Report Insecurity in the Internet of
Things,” 2015.
ResearchGate has not been able to resolve any citations for this publication.
Conference Paper
Full-text available
The smart devices have been used in the most major domain like the healthcare, transportation, smart home, smart city and more. However, this technology has been exposed to many vulnerabilities, which may lead to cybercrime through the devices. With the IoT constraints and low-security mechanisms applied, the device could be easily been attacked, treated and exploited by cyber criminals where the smart devices could provide wrong data where it can lead to wrong interpretation and actuation to the legitimate users. To comply with the IoT characteristics, two approaches towards of having the investigation for IoT forensic is proposed by emphasizing the pre-investigation phase and implementing the real-time investigation to ensure the data and potential evidence is collected and preserved throughout the investigation.
Article
Full-text available
The Internet of Things (IoT) has been inscription in this review paper. Internet of Things is a keyword to cover various challenges related to internet and the web to the real physical world. We know that, today internet has already taken an important part of everyday life and it has also dramatically changed the lives of human being. The most important factor of this invention is, integration or combination of several technologies with the communication system solutions. The most applicable factors of IoT is the identification and tracking various factors for smart objects. The universal sensing networks is enabled by Wireless Sensing Networks (WSN) and these technologies cuts across many areas of modern day living. The escalation of these devices in a communicating and actuating network will create the Internet of Things (IoT). Here the sensors and actuators combine easily with the environment around us and the information is shared across various platforms in order to develop a common operating picture (COP). Internet of Things predicts the future that, the advance digital world and the physical world will get linked by means of proper information and wireless communication system technologies. In this survey paper we have mentioned the visions, concepts, technologies, various challenges, some innovation directions, and various applications of Internet of Things (IoT).
Article
Full-text available
The Internet of Things (IoT) heralds a new era of computing whereby every imaginable object is equipped with, or connected to a smart device allowing data collection and communication through the Internet. The IoT challenges individual privacy in terms of the collection and use of individuals' personal data. This study assesses the extent to which the Australian Privacy Principles protect individual privacy associated with data collection through the IoT. A systematic literature review identified four key privacy themes that represent issues related to the collection of individuals' data through the IoT: unauthorised surveillance, uncontrolled data generation and use, inadequate authentication and information security risks. These four themes are used to critically analyse the Australian Privacy Principle's (APPs) protection of individual data. Findings indicate that (1) the APPs do not adequately protect individual privacy of data collected through the IoT, and (2) future privacy legislation must consider the implications of global reach of IoT services, and ubiquity and security of IoT data collection with respect to individual privacy.
Article
The evolution to the hyper-connected society reveals itself through the Internet of Things (IoT). In the future service-oriented IoT environment, personal data will be collected, processed and distributed in various ways. The requirements for protection of personal data will also grow. The advanced countries, including EU, USA and Japan, are proactively preparing legal, institutional and technical measures to protect personal data in the IoT environment. This study analyzes the threats of personal data in the IoT environment and the relevant policies of the leading countries. Based on these analyses, this study suggests the policy plans to protect users and the distribution of personal data in the IoT environment which is the foundation of the hyper-connected society.
Article
Technologies of 3G and beyond open up new opportunities to develop and commercialize context-aware services that utilize information like user location and social context. Although initial expectations were high, the adoption and diffusion of context-aware ser-vices have thus far been limited. Existing literature points to failing business models to explain part of the disappointing uptake. However, most authors focus on the factors that explain failing business models rather than providing practical design issues to improve business model viability. This paper fills this gap by specifying generic mobile business model design issues for the domain of context-aware services. As such, we provide a well-grounded, holistic overview of design issues that are the most critical in developing viable business models for context-aware services, based on interviews with eighteen esteemed practitioners and academics in the mobile services domain, at CEO and Professor level. Our findings indicate key challenges in the service domain (i.e. defining value adding elements, specifying target groups and generating trust of consumers in the service), the technology domain (i.e. integrating emerging technology platforms and safeguarding pri-vacy and security), the organizational domain (i.e. division of existing and new roles in complex value networks, openness of the value network towards new service providers and governing the activities in the value network) and the financial domain (i.e. pricing; dividing costs and revenues and combining multiple revenue models). Our research has scientific implications, because it applies generic mobile business model theory to the con-text-aware services domain. In addition, we provide practical clues to practitioners with regard to the design issues on which they should focus while developing more viable con-text-aware business models.
Seguridad en Internet De Las Cosas
  • Csirt-Cv
CSIRT-CV, "Seguridad en Internet De Las Cosas," Cent. Segur. TIC la Comunitat Valencia., p. 42, 2016.
Introducción a la Internet de las Cosas
  • D Betancourt
  • G Gómez
  • J I Rodríguez
D. Betancourt, G. Gómez, and J. I. Rodríguez, "Introducción a la Internet de las Cosas." 2016.
Things Matter: The user experience of the IoT in Spain
  • Ipsos
Ipsos, "Things Matter: The user experience of the IoT in Spain," 2017.
El rastro digital del delito Aspectos técnicos , legales y estratégicos de la Informática Forense
  • D I Haydée
D. I. Haydée A. et al., "El rastro digital del delito Aspectos técnicos, legales y estratégicos de la Informática Forense."
Threat Detection Telefónica Trend Report Insecurity in the Internet of Things
  • T Detection
T. Detection, "Threat Detection Telefónica Trend Report Insecurity in the Internet of Things," 2015.