Documente Academic
Documente Profesional
Documente Cultură
net/publication/313400021
CITATIONS READS
0 2,393
1 author:
Alberto Tejero
Universidad Politécnica de Madrid
8 PUBLICATIONS 8 CITATIONS
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
Technology Intelligence Services for SMEs through IBM Watson View project
All content following this page was uploaded by Alberto Tejero on 07 February 2017.
Abstract
El Internet de las Cosas avanza a pasos agigantados, aunque no así su seguridad, algo que
supone un foco importante de riesgos, vulnerabilidades y amenazas, pero que también abre la
puerta al desarrollo de nuevas soluciones y oportunidades. El objetivo de esta investigación se
centra en la creación de una metodología capaz de mejorar la seguridad de los Smartwatch o
relojes inteligentes, uno de los productos de mayor crecimiento dentro del Internet de las
Cosas, mediante un proceso sistematizado de análisis de la seguridad, donde además del
propio dispositivo se analizan el resto de los elementos normalmente implicados: teléfono
móvil, comunicaciones y Cloud. Mediante la evaluación de la metodología en dos de los relojes
inteligentes más conocidos, Apple Watch y LG G Watch R W110, se verifica la idoneidad,
viabilidad y funcionalidad, a la hora de analizar la seguridad de estos dispositivos y recomendar
acciones para la mejora de su seguridad.
Keywords
Internet de las Cosas, IoT, Smartwatch, metodología, análisis de riesgos, evaluación, seguridad
informática.
1
Master’s Degree in Computer Science and Master’s Degree in Business and Administration. Centro de
Apoyo a la Innovación Tecnológica. Universidad Politécnica de Madrid (Spain). Email:
alberto.tejero@upm.es
Contenidos
Abstract ......................................................................................................................................... 1
Keywords ...................................................................................................................................... 1
1. Introducción .......................................................................................................................... 3
2. Metodología para el análisis de la seguridad de Smartwatch ............................................ 4
2.1. Definición de la metodología de análisis de riesgos a aplicar ............................................ 4
2.2. Identificación de los riesgos potenciales............................................................................ 9
2.3. Identificación de los objetivos de control ........................................................................ 12
2.3. Identificación de los controles ......................................................................................... 13
2.4. Definición de las pruebas ................................................................................................. 15
2.5. Diseño del cuestionario .................................................................................................... 17
3. Aplicación de la metodología ............................................................................................. 19
3.1. Revisión de la seguridad ................................................................................................... 20
3.2. Fiabilidad del sistema y recomendaciones de seguridad ................................................. 21
3.2.1. Obtención del riesgo real .............................................................................................. 21
3.2.2. Recomendaciones para mejorar la seguridad............................................................... 24
3.2.3. Resumen de pasos a realizar ......................................................................................... 25
4. Evaluación de la metodología ............................................................................................ 26
4.1. Primer caso de evaluación ............................................................................................... 26
4.2. Segundo caso de evaluación ............................................................................................ 29
4.3. Comparativa de resultados .............................................................................................. 31
5. Conclusiones ....................................................................................................................... 33
6. Trabajo futuro ..................................................................................................................... 34
Referencias ................................................................................................................................. 36
1. Introducción
El Internet de las Cosas (IoT) sigue una línea de crecimiento imparable que sorprende a
extraños y expertos. Así, en 2020 se prevé que existan más de 50 billones de dispositivos IoT
conectados, es decir, que por cada persona se disponga de entre 6 y 7 dispositivos IoT. Para los
consumidores, supone una herramienta que les ayuda a alcanzar sus objetivos mediante una
ampliación en la recopilación de datos de su propia actividad. A nivel empresarial, el IoT ayuda
a las empresas a lograr una mayor optimización y eficiencia de los procesos a través de los
datos recibidos en tiempo real.
Existen una serie de factores que han hecho posible este crecimiento del IoT, como es que el
tamaño y costes de las radiofrecuencias inalámbricas se haya reducido considerablemente,
que el IPV6 permita asignar direcciones para la comunicación a miles de millones de
dispositivo, que las compañías de electrónica estén construyendo Wi-Fi y conectividad celular
inalámbrica en una amplia gama de dispositivos, la ampliación de cobertura de datos móviles,
y que la tecnología de las baterías haya mejorado considerablemente. Así, la hoja de ruta
tecnológica de IoT pasa por la nube (Cloud), algo con lo que se pretende obtener una
arquitectura flexible y abierta, centrada en el usuario, que habilite que diferentes elementos
puedan interactuar dentro del marco de operación de IoT.
El actual diseño a nivel hardware de las tecnologías IoT impone grandes dificultades para
la aplicación de la seguridad tradicional en estos dispositivos, lo que hace necesario
establecer nuevos métodos para su protección.
Con la evolución del IoT será necesario disponer de una infraestructura mayor de software
y, por tanto, se incrementará su complejidad, típico foco de problemas de seguridad, al
aumentar significativamente la superficie de exposición a vulnerabilidades y amenazas.
Las comunicaciones inalámbricas, vitales para la comunicación actual de los distintos
dispositivos del IoT, además de no ser las más adecuadas a nivel funcional, presentan
grandes deficiencias en cuanto a su seguridad, como en el caso del Bluetooth o el Wi-Fi.
El incremento de información recopilada por estos objetos también complica cada vez más
temas de tanta transcendencia como la privacidad, requiriéndose la aplicación de
controles para evitar accesos ilícitos o incluso robos de información.
La evolución futura y actual que experimenta el IoT hace muy difícil identificar los
controles más apropiadas para la seguridad de estos sistemas, por lo que se apunta a la
necesidad de tener que definir nuevos controles adaptados a cada sistema o arquitectura,
hasta el día que, si es posible, se llegue a una homogeneización de las arquitecturas sobre
la que se basan estos objetos.
Por todo ello, se apunta a la necesidad de que el Internet de las Cosas deba ser construido de
forma tal que se garantice un control fácil y seguro por parte del usuario. Los consumidores
necesitan de esa confianza para entrar en el IoT y disfrutar plenamente de los beneficios que
puede brindarles, pero evitando los riesgos contra su seguridad y privacidad, siempre que sea
posible y dispongan de herramientas para ello.
Según la International Standard Organization (ISO), la definición de activo sería: “Algo que
tiene valor para la organización”. ISO/IEC 13335-1:2004. Cambiando de enfoque, si en lugar de
una organización se tiene en cuenta al usuario, la definición de activo en nuestra metodología
sería: “Algo que tiene valor para el usuario”.
Contextualizando un poco más, la metodología que se pretende debe estar enfocada a analizar
la seguridad de dispositivos Smartwatch. Pero atendiendo a lo mencionado anteriormente,
este tipo de dispositivos no trabaja de forma independiente, sino que requiere de la
interacción de otros elementos para poder realizar las funciones y servicios para lo que ha sido
diseñado. Bajo esta premisa, el Smartwatch, en conjunción con esos elementos necesarios
para su funcionamiento, se podría decir que conforma un “Sistema de Smartwatch”.
- Al usuario.
- La información.
- El software (sistema operativo y aplicaciones).
- Hardware.
- Comunicaciones.
Además, hay que tener en cuenta que todo sistema de información debe:
Teniendo en cuenta todo lo anterior, el presente trabajo tiene por objetivo el diseño de una
metodología de análisis de la seguridad, o auditoría, cuya fase de conocimiento está basada en
la evaluación de riesgos y enfocada al que hemos denominado “Sistema de Smartwatch”. Un
proceso de auditoría basado en la evaluación de los riesgos permite cuantificar el riesgo de los
sistemas de información, es decir, la medida en que es posible asegurar la integridad,
confidencialidad y disponibilidad de la información que manejan estos sistemas. Así una
metodología de análisis de riesgos se compone habitualmente de los siguientes elementos:
2
AENOR es la Asociación Española de Normalización y Certificación, entidad dedicada al desarrollo de la
normalización y la certificación en todos los sectores industriales y de servicios.
o Análisis de riesgos cuantitativo. En el que en función de las pérdidas
financieras y económicas se causaría el impacto.
- Gestión de los riesgos. Donde se selecciona e implanta salvaguardas o controles para
conocer, prevenir, impedir, reducir, controlar o transferir los riesgos identificados. En
este tipo de metodologías siempre se utilizan los conceptos: activos, amenazas,
vulnerabilidades, riesgos y controles o salvaguardas.
En cuanto a los riesgos, es importante destacar la existencia de tres tipos de riesgos asociados
a sistemas de información:
En la siguiente ilustración se presenta un resumen de todos estos conceptos tratados, así como
la forma en la que están relacionados, para su mejor entendimiento.
Por tanto, la auditoría basada en la evaluación de riesgos permite cuantificar el riesgo de los
sistemas de información (la medida en que son capaces de asegurar la integridad,
confidencialidad y disponibilidad de la información manejada), midiendo la completitud,
eficacia y eficiencia de los controles puestos en marcha. En términos generales, se analizan los
riesgos del sistema y se cuantifican, y se evalúa y analiza la completitud y el grado de eficacia
para la gestión del riesgo potencial identificado, sirviéndose de un conjunto de pruebas.
Ilustración 3. Principales elementos de una metodología basada en EDR (Fernández and Delgado, 2014)
Por tanto, como primer paso, a continuación se llevará a cabo la identificación de los riesgos
potenciales, en base a las vulnerabilidades y amenazas para dispositivos Smartwatch
identificadas en anteriores apartados.
Esta fase coincide con la detección de los posibles riesgos en ausencia o deficiencia de
controles relacionados, donde se cuantificará el riesgo potencial o inherente al sistema. El
riesgo potencial es el riesgo asociado a los sistemas de información, con independencia de la
existencia o no de controles.
3
Se entiende por Impacto la medición de la/s consecuencias de la materialización de una amenaza.
4
Se entiende por Explotabilidad el grado de dificultad para explotar o utilizar una vulnerabilidad.
denegación de servicio o facilitar el
ataque a otros dispositivos).
5
Los Smartwach no disponen de servidor Web, es decir, no ofrecen una interfaz web para la conexión
externa al dispositivo, como sí es posible observar en otros dispositivos del IoT.
2.3. Identificación de los objetivos de control
Cada riesgo asociado al sistema tendrá uno o varios objetivos de control asociados para
mitigar ese riesgo. Por tanto, el objetivo de todo control es la reducción del riesgo, bien
reduciendo su probabilidad de ocurrencia o bien mitigando su impacto. La cuantificación de los
riesgos potenciales, conocidos o no, es la base para establecer detalladamente los objetivos de
control. Así, con los riesgos cuantificados en el apartado anterior, se puede obtener la tabla 3
de muestra de objetivos de control, con los que se pretende reducir su probabilidad de
ocurrencia.
OBJETIVO DE
RIESGO POTENCIAL
CONTROL
- Los enfocados a prevenir los accesos físicos no autorizados a la información, así como
la modificación o deterioro de la misma por partes no autorizadas.
- Los enfocados a prevenir los accesos electrónicos no autorizados a la información, así
como la modificación o deterioro de la misma por partes no autorizadas.
- Los enfocados a prevenir los accesos físicos y electrónicos no autorizados a la
información, así como la modificación o deterioro de la misma por partes no
autorizadas.
Para hacer más sencilla la equiparación de controles con objetivos, según cada uno de los
riesgos identificados, se tratará cada objetivo de control de forma individual.
Un objetivo de control está cubierto por uno o varios controles. Un control protege frente a
posibles pérdidas y corrige las desviaciones que se presentan en el desarrollo normal de las
actividades. Los controles pueden actuar de forma:
En esta metodología los controles utilizados serán del tipo preventivo, ya que partimos de una
relación de vulnerabilidades provenientes del proyecto OWASP IoT Top 10. En los controles de
hardware y software de sistemas destacan los controles de seguridad lógica y de seguridad
física, que se encargan de asegurar las propiedades de la información: confidencialidad,
integridad y disponibilidad. La seguridad lógica está referida a la protección de la información,
procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a dicha
información (Ej. Control de acceso restringido a un dispositivo mediante la asignación de un
identificador de usuario y contraseña personal e intransferible). La seguridad física se centra
en la protección del hardware y los soportes de datos, así como la seguridad de los lugares que
los albergan, ya sean edificios, instalaciones, CPD, etc. (Ej. Controles físicos para asegurar que
el acceso físico a un dispositivo queda restringido a las personas autorizadas).
También existen controles por motivos legales, donde se suelen tener en cuenta las Leyes de
Propiedad Intelectual (LPI), de Protección de Datos (LOPD), etc. Estos controles deben existir
para poder garantizar el cumplimiento de las leyes y normativa aplicable. Este enfoque podría
ser tratado como línea de trabajo para ampliar la base de conocimiento creada en la presente
metodología, donde se prestara atención a controles de tipo normativo y legal, que como se
mostró en el apartado referido al estado del arte, se constituyen como uno de los retos a
enfrentar en el ámbito del IoT.
Una vez identificado el riesgo potencial y definidos los objetivos de control encaminados a la
mitigación del riesgo, es necesario valorar la eficacia y completitud de los controles puestos en
marcha. Para este fin se diseñan las pruebas. Las pruebas permiten obtener evidencias y
verificar la consistencia de los controles existentes, así como medir el riesgo por deficiencia de
éstos (no funcionan como deben) o por ausencia. De esta forma se cuantifica el riesgo real del
sistema.
El riesgo real es el riesgo actual del sistema, aún con la existencia de controles. Este riesgo se
debe normalmente a:
En general, se pueden distinguir dos tipos de pruebas: las de cumplimento y las sustantivas.
Las pruebas de cumplimiento son empleadas para probar y verificar el cumplimiento de una
técnica de control o controles. Una prueba de este tipo reúne evidencias para indicar:
- Si un control existe.
- Si funciona de forma efectiva.
- Si logra sus objetivos de forma eficiente.
El otro tipo de pruebas, las pruebas sustantivas, son empleadas cuando las pruebas de
cumplimiento no han satisfecho los objetivos. Se podría decir que las pruebas de cumplimiento
son pruebas de alto nivel mientras que las sustantivas entran en el detalle para verificar de
forma más específica el funcionamiento o no de los controles establecidos, y por tanto, de su
seguridad. Por tanto, las pruebas sustantivas permiten profundizar para comprobar la
fiabilidad y consistencia de los controles existentes e identificar la magnitud y el impacto de los
errores e incidencias, consiguiendo cuantificar con ello el riesgo real y el grado de eficacia de
los controles.
Teniendo en cuenta el enfoque práctico de esta metodología y de cara a una mayor eficacia y
simplicidad para el usuario, se tenderá mayoritariamente a realizar pruebas sustantivas,
siempre que sea posible, que permiten profundizar y comprobar de forma directa la fiabilidad
del sistema. A continuación en la tabla 5, teniendo en cuenta las recomendaciones y análisis
desarrollado dentro del proyecto OWASP IoT Top 10, se presenta una muestra del detalle de
las pruebas sustantivas a realizar para cada uno de los riesgos previamente obtenidos en cada
una de las categorías, que permitirá verificar la existencia o deficiencia de controles.
RIESGO POTENCIAL
PRUEBA
Tabla 5. Muestra de pruebas generadas a través de los riesgos y para comprobar los controles
Hasta el momento, se han utilizado las categorías ofrecidas por el proyecto OWASP IoT Top 10
para mayor comodidad a la hora de identificar tanto los objetivos de control, como los
controles y finalmente las pruebas. Llegados a este punto, para utilizar las distintas pruebas
obtenidas y aplicarlas a un “Sistema de Smartwatch”, se agruparán las nueve categorías de
OWASP aplicables a estos dispositivos en las cuatro distintas secciones o categorías que
representan un típico “Sistema de Smartwatch”. El resultado se presenta en la tabla 6.
Por tanto, la tabla 8, que resume las preguntas por cada prueba, se presenta a continuación.
1 1 11 11 21 21
2 2a+2b+2c+2d 12 12 22 22
3 3 13 13 23 23
4 4 14 14 24 24
5 5 15 15 25 25
6 6 16 16 26 26
7 7a+7b 17 17 27 27
8 8 18 18a+18b 28 28
9 9 19 19a+19b 29 29
10 10 20 20
3. Aplicación de la metodología
En los siguientes apartados se describe este proceso de forma más detallada. Cabe destacar
que esta fase de aplicación sería mucho más sencilla de utilizar, y ese es uno de los objetivos a
corto-medio plazo como futuro trabajo, si tanto las respuestas obtenidas del usuario, como el
cálculo del riesgo, representación y recomendaciones fueran facilitados a través de una
aplicación software. Es decir, en este trabajo se presentan las distintas fases y recursos a
utilizar para la aplicación de la metodología, que puede ser utilizada de forma totalmente
“manual” por un usuario para evaluar su sistema, aunque como se menciona sería mucho más
aceptable por los usuarios si se facilitara a través de una aplicación que realizara las preguntas
al usuario y mediante sus respuestas llevara a cabo internamente los cálculos y ofreciera el
riesgo real del sistema por las categorías definidas, así como las recomendaciones en base a
los riesgos encontrados. Hasta ese momento, se presentan los pasos de la metodología para su
aplicación manual en un sistema de Smartwatch, con la posible complejidad que pudiera
conllevar esta aplicación.
Tal como se apuntaba, para la aplicación de la metodología es necesario seguir una serie de
pasos. El primer paso consiste en responder a las preguntas del cuestionario de seguridad y
rellenar una plantilla de respuestas. Las respuestas a las preguntas del cuestionario deben ser
apuntadas en la plantilla generada para tal fin. De esta manera, el usuario, contestando al
cuestionario, revisará la seguridad de su "Sistema de Smartwatch".
1 9 19b
2a 10 20
2b 11 21
2c 12 22
2d 13 23
3 14 24
4 15 25
5 16 26
6 17 27
7a 18a 28
7b 18b 29
8 19a
Una vez completada la plantilla con las respuestas obtenidas sobre el cuestionario, el segundo
paso consiste en la obtención del riesgo real del sistema evaluado. El objetivo de la
metodología es calcular el nivel de riesgo del sistema, por lo que se parte de un nivel ideal de
riesgo 0 (estado inicial). Cada pregunta respondida ser obtendrá un valor de 0 si lo respondido
se corresponde con seguro y 1 si es inseguro. Responder a una pregunta “Sí” no será
equiparado a un “1” o a un “0” siempre, sino que dependiendo de las preguntas y las
respuestas ofrecidas, se entenderá que el sistema es seguro “0” o por el contrario es inseguro
“1”.
Por otro lado, en función del riesgo obtenido en el apartado “2.2. Identificación de los riesgos
potenciales”, se pueden obtener los valores numéricos de riesgo siguientes:
(Alto =3,
Medio=2,
Bajo =1)
I2 ALTO 3
I3 MEDIO 2
I4 ALTO 3
I5 ALTO 3
I6 ALTO 3
I7 ALTO 3
I8 MEDIO 2
I9 MEDIO 2
I10 ALTO 3
Si hacemos el cálculo del riesgo para las nuevas categorías, se obtendría la tabla 11.
Tabla 11. Tabla de relación de riesgos de las categorías evaluadas por la metodología
1 = se detecta riesgo)
1 2a 2b 2c 2d 3 X=X1+X2+X3+X4+X5+X6
Posibles
valores Sí/No Sí/No Sí/No Sí/No Sí/No Sí/No Riesgo TOTAL
X1 X2 X3 X4 X5 X6 (Si X > 0 3
Si X = 0 0)
Tabla 12. Tabla de muestra del cálculo del riesgo en la categoría SMARTWATCH-LOGICA (I2)
Una vez obtenidos los riesgos de cada sección, el tercer paso de la metodología consistiría en
representar el riesgo real mediante un diagrama de radar, tal como el mostrado en la
ilustración 5.
Representación del RIESGO del Sistema Smartwatch
Riesgo BAJO Riesgo MEDIO Riesgo ALTO Sin Riesgo
SMARTWATCH-LOGICO
3
1
CLOUD SMARTWATCH-FISICO
0
-1
En base a los resultados obtenidos, es posible obtener una serie de recomendaciones para
mejorar la seguridad, utilizando para ello los controles identificados en el apartado “2.3.
Identificación de los controles”. Este será el cuarto paso y final de la metodología.
La tabla 13 presenta una muestra de las recomendaciones posibles en base a controles. Cabe
destacar que dentro de la categoría “Smartwatch – Lógico” se pueden extraer
recomendaciones para cada una de las subcategorías de las que está compuesta esta categoría
general de la metodología.
(Descripción de su utilidad)
El cuadro anterior sirve como guía de aplicación para la evaluación de la metodología que es
aplicada en dos casos reales.
4. Evaluación de la metodología
En cada caso de evaluación se detallan tanto las especificaciones del sistema a evaluar, en el
momento de su evaluación, como los pasos llevados a cabo y resultados.
6
Especificaciones técnicas obtenidas de LG.
- Puertos y conectores: USB (Pogo Pin, adaptador de carga Micro USB.
- Sensores: 9 ejes (Acelerómetro/Giroscopio/Brújula), barómetro y Pulsómetro PPG.
SMARTWATCH-LOGICO
3
3
2
1
CLOUD 3
SMARTWATCH-FISICO
0
0
-1
TELEFONO MÓVIL
2 COMUNICACIONES
3
Autorización /
autenticación insuficiente
3
3
2
1
Software / Firmware Falta de encriptación a
inseguro 2 0 nivel transporte
0
-1
Ilustración 7. Representación del riesgo real del ÁMBITO LÓGICO del LG G Watch R W110
CATEGORÍA ¿Recomendaciones?
CLOUD NO
Tabla 15. Recomendaciones a revisar según riesgo real del LG G Watch R W110
El segundo sistema evaluado es el Apple Watch, modelo Sport. Este Smartwatch dispone de
las siguientes especificaciones y configuración en el momento de su evaluación:
SMARTWATCH-LOGICO
3
3
2
1
3
CLOUD SMARTWATCH-FISICO
0
0
-1
TELEFONO MÓVIL
2 COMUNICACIONES
3
Autorización /
autenticación insuficiente
3
3
2
1
Software / Firmware Falta de encriptación a
inseguro 0 nivel transporte
0 0
-1
Ilustración 9. Representación del riesgo real del ÁMBITO LÓGICO del Apple Watch
- Cuarto paso: Consiste en las recomendaciones en base al riesgo real obtenido por el
sistema. El usuario debería revisar las recomendaciones apuntadas en la siguiente
tabla 16:
CATEGORÍA ¿Recomendaciones?
I8: Configurabilidad de la SI
seguridad insuficiente
SMARTWATCH-FISICO NO
COMUNICACIONES SI
TELEFONO MOVIL SI
CLOUD SI
Tabla 16. Recomendaciones a revisar según riesgo real del Apple Watch
SMARTWATCH-LOGICO 3 3
SMARTWATCH-FISICO 0 3
COMUNICACIONES 2 2
TELEFONO MOVIL 3 3
CLOUD 3 0
1 3
3
CLOUD SMARTWATCH-FISICO
0
0 0
-1
TELEFONO MÓVIL
22 COMUNICACIONES
33
Como se puede apreciar en la tabla 17, el Apple Watch destaca por ser más seguro en el
ámbito físico. Así mismo, para realizar una comparación más directa, se puede atender a los
puntos inseguros detectados en la fase de cálculo de riesgo de cada smartwatch, tal como se
muestra a continuación en la tabla 18.
Autorización / 2 3 3 3
autenticación insuficiente
Falta de encriptación a 0 0 0 0
nivel transporte
Preocupaciones sobre la 0 0 0 3
privacidad
Configurabilidad de la 3 2 1 2
seguridad insuficiente
Software / Firmware 0 3 4 2
inseguro
Autorización /
3
autenticación insuficiente
3
3
2
1
Software / Firmware Falta de encriptación a
inseguro 2 0 nivel transporte
0 0
-1
5. Conclusiones
El presente trabajo tenía como objetivo principal mostrar un posible camino para la mejora de
la seguridad de los Smartwatch, dispositivos pertenecientes al ámbito del Internet de las
Cosas, mediante la creación de un proceso sistematizado de evaluación de los elementos que
típicamente componen estos sistemas, basándose en un análisis de riesgos, y con la
particularidad de que pudiese ser llevado a cabo por los propios usuarios de estos dispositivos.
Así, para llegar al objetivo marcado, se ha implementado una metodología para el análisis de la
seguridad de dispositivos Smartwatch que, como se ha podido mostrar en el apartado de
evaluación, puede ser utilizada directamente por sus usuarios para evaluar este tipo de
sistemas, con unos resultados que representan los riesgos reales del sistema analizado y
recomendaciones ad-hoc en base a los riesgos identificados. Para llegar a esta solución,
primeramente se ha analizado un "Sistema de Smartwatch" típico que ha permitido obtener
los riesgos, controles y pruebas que el usuario podría utilizar para evaluar de forma “manual”
su sistema. Aunque si bien es cierto que un usuario podría aplicar esta metodología de forma
totalmente manual, tal como se apuntaba con anterioridad, esta aplicación manual no está
exenta de cierta complejidad, sobre todo en la parte de cálculo del riesgo, algo que podría
solucionarse fácilmente con su inclusión en una aplicación software que recibiera las
respuestas a las preguntas planteadas por el cuestionario, realizara los cálculos a nivel interno
y devolviera los resultados al usuario, sobre el riesgo y las recomendaciones para mejorar su
seguridad.
6. Trabajo futuro
Tal como se apuntaba desde distintas partes de la metodología, en estudios y trabajos futuros
se podría diseñar una aplicación software, posiblemente para su instalación en un Smartphone
o en el propio Smartwatch, que permitiera a un usuario evaluar de forma “semi-manual” la
seguridad de su "sistema de Smartwatch". Otro avance sobre este planteamiento sería que la
aplicación consiguiera analizar de forma totalmente automática el "Sistema de Smartwacth",
mostrando la fiabilidad del sistema y recomendaciones para mejorar su seguridad. Para
analizar de forma automática el sistema, esta aplicación debería tener acceso a las distintas
partes del sistema y/o utilizar herramientas para llevar a cabo los análisis sin la interacción del
usuario. También, en cuanto a las recomendaciones de seguridad se podría pensar en la
opción de aplicar estas mejoras de forma automática, si se tuviera acceso a la configuración de
seguridad del sistema desde esta nueva aplicación.
Finalmente, desde un enfoque mucho más académico y formal, se podría utilizar Watson de
IBM7 para la generación de las preguntas al usuario en base a un “core” de conocimiento,
7
Watson, desarrollado por la corporación IBM, es un sistema informático de inteligencia artificial capaz
de responder a preguntas formuladas en lenguaje natural.
según se fuera desarrollando con su utilización. El éxito mediático del sistema Watson al
participar en el concurso televisivo “Jeopardy” en EEUU y obtener mejores resultados que sus
oponentes humanos supuso un hito al ser capaz de responder a preguntas en lenguaje natural.
En ese concurso Watson no estaba conectado a Internet, sino que accedía a datos
almacenados en forma de conocimiento no estructurado. Utilizando tecnologías de “machine
learning”8, análisis estadístico y procesamiento de lenguaje natural para encontrar las claves
de cada pregunta, Watson comparaba posibles respuestas, estimaba la exactitud de las
mismas y respondía en menos de 3 segundos. Ese éxito permitió explorar aceleradamente su
uso en otros dominios profesionales como el diagnóstico médico (cáncer), finanzas
(inversiones empresariales en entornos de incertidumbre), o toma de decisiones en sistemas
complejos (como la optimización de exploraciones petrolíferas). Se aprovecha, asimismo, del
incremento paulatino de la capacidad de cálculo, acceso y almacenamiento de los sistemas
informáticos actuales, algo que podría ser muy interesante estudiar para la mejora de la
seguridad de los sistemas de IoT, tal como se ha presentado a lo largo de este estudio con la
metodología implementada.
Referencias
Ashton, K. (2009). That ‘Internet of Things’ Thing. RFID Journal. Recuperado de:
http://www.itrco.jp/libraries/RFIDjournal-That%20Internet%20of%20Things%20Thing.pdf
8
Maching learning o aprendizaje de máquinas es una rama de la inteligencia artificial cuyo objetivo se
centran en el desarrollo de técnicas que permitan a las computadoras aprender.
Bouhnick, G. (2015). The Fragmented World of Wearable Operating Systems. Recuperado de:
http://es.slideshare.net/MobileSpoon/wearables-the-comprehensive-list-of-smartwatch-
operating-systems
Cisco (2014). Cisco anuncia los ganadores del “Gran Desafío de Internet de las Cosas”.
Recuperado de: http://globalnewsroom.cisco.com/es/la/press-releases/cisco-anuncia-los-
ganadores-del-gran-desafio-de-i-1152073
Evans, D. Cisco IBSG. (2011). The Internet of Things. How the Next Evolution of the Internet Is
Changing Everything. Recuperado de:
https://www.cisco.com/web/about/ac79/docs/innov/IoT_IBSG_0411FINAL.pdf
Cyr B., Horn W., Miao D. and Specter M. (2014). Security Analysis of Wearable Fitness Devices
(Fitbit). Recuperado de: https://courses.csail.mit.edu/6.857/2014/files/17-cyrbritt-webbhorn-
specter-dmiao-hacking-fitbit.pdf
DarkReading (2014). Bitdefender Research Exposes Security Risk of Android Wearable Devices.
Recuperado de: http://www.darkreading.com/partner-perspectives/bitdefender/bitdefender-
research-exposes-security-risks-of-android-wearable-devices-/a/d-id/1318005
ELDERECHO.COM (2014). Para el futuro, tendremos que incluir la seguridad como un requisito
ineludible de todos los avances tecnológicos. Recuperado de:
http://tecnologia.elderecho.com/tecnologia/ciberseguridad/incluir-seguridad-requisito-
ineludible-tecnologicos_14_751195003.html
ELPAIS (2015). ¿Qué hacen con nuestros datos en internet? Recuperado de:
http://tecnologia.elpais.com/tecnologia/2015/06/12/actualidad/1434103095_932305.html
Olivier Ezratty (2014). Rapport CES 2014. Recuperado de:
http://www.oezratty.net/wordpress/2014/rapport-ces-2014/
European Comission (2014). Opinion 8/2014 on the on Recent Developments on the Internet
of Things. Working Paper. Recuperado de: http://ec.europa.eu/justice/data-protection/article-
29/documentation/opinion-recommendation/files/2014/wp223_en.pdf
European Comission (2012). IoT Privacy, Data Protection, Information Security. Recuperado de:
http://ec.europa.eu/information_society/newsroom/cf/document.cfm?action=display&doc_id
=1753
Floerkemeier, C., Langheinrich, M., Fleisch, E., Mattern, F. and Sarma, S. (2008). The Internet of
Things. First International Conference:IOT (26-28). March 2008. Zurich, Switzerland.
Gartner (2014b). Gartner Says Over 20 Percent of Enterprises Will Have Digital Security Services
Devoted to Protecting Business Initiatives Using the Internet of Things by End of 2017.
Recuperado de: http://www.gartner.com/newsroom/id/2844317
Gubbi J., Buyya R., Marusic S., y Palaniswami M. (2013). Internet of Things (IoT): A vision,
architectural elements, and future directions. Recuperado de: http://ac.els-
cdn.com/S0167739X13000241/1-s2.0-S0167739X13000241-main.pdf?_tid=a50a746a-00b7-
11e5-9a87-00000aacb35e&acdnat=1432322625_9e51ca9551efa518690e8fd76dfc3b3c
HP (2015). Securing the Internet of Things: Mapping Attack Surface Areas Using the OWASP IoT
Top 10. RSAConference2015. Abril 2015. Recuperado de:
https://drive.google.com/file/d/0B52IUvO0LP6OdW1HMjRpM3VVUVE/view?pli=1
IDC (2015). Wearable Market Remained Strong in the First Quarter Despite the Pending Debut
of the Apple Watch. Recuperado de:
http://www.idc.com/getdoc.jsp?containerId=prUS25658315
IDC (2014). Worldwide and Regional Internet of Things (IoT) 2014–2020 Forecast: A Virtuous
Circle of Proven Value and Demand. Recuperado de:
http://www.idc.com/getdoc.jsp?containerId=248451
InfoWorld (2013). Thanks, NSA, you're killing the cloud. Recuperado de:
http://www.infoworld.com/article/2611421/cloud-computing/thanks--nsa--you-re-killing-the-
cloud.html
InfoWorld (2014). Security jobs are hot, thanks to the Internet of things. Recuperado de:
http://www.infoworld.com/article/2837501/it-jobs/security-jobs-are-hot-thanks-to-the-
internet-of-things.html
INTECO. (2011). Cuaderno de notas del Observatorio ¿Qué son las vulnerabilidades del
software? Recuperado de: http://www.jesusamieiro.com/wp-
content/uploads/2011/08/Que_son_las_vulnerabilidades_del_-software.pdf
Intel (2014). Transform Business with Intel IoT Gateways. Recuperado de:
http://www.intel.com/content/www/us/en/internet-of-things/gateway-solutions.html
IOT-A (2013a). Internet of Things Architecture. WP3-Guidelines for design. Deliverable D3.4.
Recuperado de: http://www.meet-iot.eu/deliverables-IOTA/D3_4.pdf
IOT-A (2013b). Final Architectural Reference Model for the IoT. Deliverable D1.5. Recuperado
de: http://www.iot-a.eu/public/public-documents/d1.5/at_download/file
ISACA (2014). Wearable Technology and Its Associated Security Risk. Recuperado de:
http://www.isaca.org/About-ISACA/-ISACA-Newsletter/Documents/2014/at-ISACA-Volume-
6_nlt_Eng_0314.pdf
ITSecurityGuru (2014). Wearable technology creates new privacy issues for employers.
Recuperado de: http://www.itsecurityguru.org/2014/06/25/wearable-technology-creates-
new-privacy-issues-employers/
ITU (2005). The Internet of Things. ITU Internet Reports 2005. Recuperado de:
https://www.itu.int/wsis/tunis/newsroom/stats/The-Internet-of-Things-2005.pdf
Mattern, F. and Floerkemeier, C. (2010). From the Internet of Computers to the Internet of
Things. Recuperado de: http://www.vs.inf.ethz.ch/publ/papers/Internet-of-things.pdf
Migicovsky A., Durumeric Z., Ringenberg J. and Halderman J.A. (2014). Outsmarting Proctors
with Smartwatches: A Case Study on Wearable Computing Security. Recuperado de:
https://jhalderm.com/pub/papers/smartwatch13.pdf
NDTV GADGETS (2015). Samsung Tops Smartwatch Sales in 2014 With 1.2 Million Units.
Recuperado de: http://gadgets.ndtv.com/wearables/news/samsung-tops-smartwatch-sales-in-
2014-with-12-million-units-statista-669852
OWASP (2014). The OWASP Internet of Things Top 10. Recuperado de:
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project#tab=OWAS
P_Internet_of_Things_Top_10_for_2014
PWC. (2014). ISSA: OCtober 2014. The Internet of Things (IoT). Recuperado de:
http://www.issala.org/wp-content/uploads/ISSA_Internet-of-Things_PWC_v2.0.pdf
SecurityIntelligente (2015). Management and Security Implications of the Smartwatch at Work.
Recuperado de: http://securityintelligence.com/management-and-security-implications-of-
the-smartwatch-at-work/#.VSa3ofDEo3g
Tejero A. and Martínez, I. (2014). Seguridad en el Internet de las Cosas. Madrid: Centro de
Apoyo a la Innovación Tecnológica (CAIT), Universidad Politécnica de Madrid.
Vermesan O., Friess P., Guillemin P., Gusmeroli S., Sundmaeker H., Bassi A., Soler I., Mazura
M., Harrison M., Eisenhauer M. And Doody P. (2011). Internet of Things Strategic Research
Roadmap. Recuperado de: http://www.internet-of-things-
research.eu/pdf/IoT_Cluster_Strategic_Research_Agenda_2011.pdf
Weiser, M. (1991). The Computer for the 21st Century. Scientific American 265(9), 66–75