Aspectos de Seguridad en Internet de las Cosas

A l i c i a C a s t r o 1, E d u a r d o C a s a n o v a s 3, V e r ó n i c a G i l - C o s t a 12,

1 U n i v e r s id a d N a c i o n a l d e S a n L u is , S a n L u i s A r g e n t in a
2 C O N I C E T , C o n s e j o N a c i o n a l d e I n v e s t i g a c i o n e s C ie n t íf ic a s y T é c n i c a s
3 In s titu to U n iv e r s it a r io A e r o n á u t i c o
a d ca stro @ u n sl.e d u .a r; e c a sa n o v a s@ iu a .e d u .a r ; g v co s ta @ u n sl.e d u .a r

Resumen. A ctu a lm e n te , lo s ataques con tra la cib erseg u rid a d han p ro d u c id o

e fe c t o s e c o n ó m ic o s a d v ersos, a fecta n d o n o só lo a c om p a ñ ía s privadas, sino
tam b ién a estad os gubern am entales y a las p erson as en sus h o g a re s. L a
d ive rsid a d d e ataques q u e se p ro d u c e n continuam en te a lred ed or d el m u n d o y la
d ive rsid a d d e d isp o s itiv o s - en la m a y oría d is p o s itiv o s d e I o T - c o n las qu e se
utilizan, h a ce casi im p o s ib le generar u n ú n ico p r o t o c o lo o fra m ew ork de
segurid ad q u e sea a p lica b le en t o d o s lo s c a s o s . M á s aún, estadísticam ente se ha
reportad o q u e la m ay oría d e lo s c a so s d e ataques se p r o d u c e n p o r la falta de
p r o t e c c ió n b á sica ( c o m o c a m b io s en cla v es d e seg u rid a d ) q u e lo s usuarios
fin ales d eberían p ro v e e r a sus d is p o s itiv o s . E n este trabajo se c la sifica n lo s
d isp o s itiv o s I o T y las vu ln era b ilid a d es. S e realiza un análisis d e lo s p r o t o c o lo s ,
m o d e lo s y arquitecturas d e segurid ad existentes.

Keywords: Internet d e las cosa s. S eguridad. P riv acid ad . Sm art C ities. IoT .
A rqu itectu ra s d e S egu rida d Io T . C ibersegurid ad.

1 Introducción
E n l a a c t u a lid a d e n c o n t r a m o s I n t e r n e t d e la s C o s a s (I n te r n e t o f T h in g s - I o T ) q u e
p e r m it e c o n e c t a r e n o r m e c a n t id a d d e d i s p o s i t i v o s y b r in d a r s e r v i c i o s e n d is t in t o s
á m b ito s de la v i d a d ia r ia , o b t e n ie n d o y d is t r ib u y e n d o i n f o r m a c i ó n p o r la w e b ,
in c r e m e n t a n d o l a a p e r tu r a y c o m p l e j i d a d d e la s r e d e s , l o q u e l l e v a a n u e v o s d e s a f í o s
de s e g u r id a d . G a r t n e r .I n c e s t im a q u e habrá m ás d e 20 m i ll o n e s de d is p o s itiv o s
c o n e c t a d o s p a r a e l 2 0 2 0 [1 ].
L os d is p o s itiv o s IoT pueden s e r u t iliz a d o s en d is t in t o s a m b ie n t e s : in d u s tr ia ,
c i u d a d e s i n t e lig e n t e s (S m a r t C i t i e s ) , a g r ic u lt u r a in t e lig e n t e , e d i f i c i o s in t e lig e n t e s ,
S a l u d , fi n a n z a s , e t c . D e a c u e r d o a la u t i l i z a c i ó n q u e se d é a e s t o s d i s p o s i t i v o s , se
pueden c a t e g o r iz a r en [1 ]: d is p o s itiv o s p ara c o n s u m id o r e s f in a le s , d is p o s itiv o s
u tiliz a d o s e n e l á re a d e s a lu d , d i s p o s i t i v o s d e u s o e n in fr a e s tr u c t u r a s in d u s tr ia le s
(IIo T ) y d is p o s itiv o s u t i l i z a d o s e n S m a r t C it ie s . D e n t r o de la p r im e r a c a t e g o r ía
e n c o n t r a m o s t o d o s l o s e l e c t r o d o m é s t i c o s in t e lig e n t e s , q u e s i b i e n r e s u lt a n ú t ile s p a r a
c o n t r o l a r ta r e a s r u tin a r ia s d e l d ía a d ía , t a m b ié n o f r e c e n a l o s c i b e r d e lin c u e n t e s u n a
n u e v a p u e r ta d e e n t r a d a . R e s p e c t o a l o s d i s p o s i t i v o s d e u s o e n e l á r e a d e s a lu d , se
p u e d e n o b s e r v a r q u e s u u s o s e in c r e m e n t a d ía a d ía , d e s d e in s t r u m e n t a c ió n m é d i c a
con c o n e x ió n in a l á m b r i c a (E s te to s co p io in a lá m b r ic o , te rm ó m e tro , m o n ito r de
g l u c o s a ) , p r o d u c t o s f a r m a c o l ó g i c o s ( c a j a d e p a s t illa s in t e lig e n t e s ), h e r r a m ie n t a s d e
d ia g n ó s t ic o (D ia b e te s , A z o i), h a sta d is p o s itiv o s IoT im p la n t a b le s ( d e s f ib r ila d o r ,
m a r c a p a s o s ). L o s d i s p o s i t i v o s d e I o T u t iliz a d o s e n c iu d a d e s in t e lig e n t e s (S m a r t C it y -
S C ) se u t iliz a n e n d is t in t o s e n t o r n o s , g e o g r á f i c a m e n t e d is p e r s o s , a lg u n o s d e e l l o s
c o n t in u a m e n t e e n m o v i m i e n t o . S e p o d r í a d e c i r q u e u n a S C e s t á c o n f o r m a d a p o r u n a
g r il l a i n t e lig e n t e de “ cosas v u ln e r a b le s ” co n e cta d a s que c o la b o r a n en el
fu n c i o n a m i e n t o d e u n a s o c i e d a d m o d e r n a . E n s is t e m a s in d u s tr ia le s , l o s d i s p o s i t i v o s
u t i l i z a d o s a y u d a n a a u t o m a t iz a r la t r a n s m is ió n d e d a t o s e n tr e d i s p o s i t i v o s m e c á n i c o s
o e lé c tr ic o s .
E x is te n d is t in t o s fa c to r e s que c o n tr ib u y e n a que lo s d is p o s itiv o s IoT sean
v u ln e r a b le s : m e z c la de m a lo s d is e ñ o s , en torn os no r e g u la d o s o r e g u la d o s
in e f i c i e n t e m e n t e , e n tr e o t r o s . L o s a t a c a n te s p u e d e n u s a r la s v u ln e r a b ilid a d e s d e e s t o s
d i s p o s i t i v o s p a r a o b t e n e r a c c e s o p e r m a n e n t e a e s t o s e q u i p o s y a la in fr a e s tr u c t u r a d e
r e d p o r la c u a l e stá n c o n e c t a d o s . D u ra n te e l a ñ o 2 0 1 7 , se h a n r e a liz a d o nuevos
a t a q u e s q u e u t iliz a n d is t in t o s t i p o s d e d i s p o s i t i v o s , q u e p o n e n e n r i e s g o la s e g u r id a d y
p r iv a c id a d de l o s d i s p o s i t i v o s . U n in f o r m e b r i n d a d o p o r P o n e m o n In s titu te y el
S h a r e d A s s e s s m e n t s P r o g r a m [ 2 ] , i n d i c a q u e e l 6 3 % d e l o s a t a q u e s r e g is t r a d o s f u e r o n
d i r i g i d o s e n c o n t r a d e c á m a r a s IP o g r a b a d o r e s d ig it a le s d e v í d e o y e l 2 0 % e s t u v ie r o n
d ir ig id o s a d is p o s itiv o s d e red c o m o m ó d e m s D S L , rou ters y e q u ip o s s im ila r e s ,
a f e c t a n d o a n a c i o n e s c o m o : C h in a ( 1 7 % ) , V ie tn a m (1 5 % ) , R u s ia ( 8 % ) y e n u n 7 % a
T a iw á n , T u r q u ía y B r a s il.
En este t r a b a jo p resen ta m os un a n á lis is y c la s ific a c ió n de lo s d is p o s itiv o s
u t i l i z a d o s e n I o T y su s v u l n e r a b ilid a d e s . E n p a r tic u la r , n o s e n f o c a m o s e n e l a s p e c t o
d e l a c o m u n i c a c i ó n e n tr e l o s d i s p o s i t i v o s p a r a d e t e c t a r la s c a r a c t e r ís t ic a s q u e d e b e n
s e r c o n s i d e r a d a s e n d ife r e n t e s n i v e le s o c a p a s d e s e g u r id a d . P a r a e l l o , e n la S e c c i ó n 2
p r e s e n t a m o s la s c a r a c t e r ís t ic a s d e l o s d i s p o s i t i v o s I o T y s u a r q u ite c t u r a . E n la S e c c i ó n
3 s e m u e s t r a n la s c a r a c t e r ís t ic a s r e fe r e n t e s a la s e g u r id a d in f o r m á t ic a . L a s e c c i ó n 4
p r e s e n t a la s c o n c l u s i o n e s y t r a b a jo s fu t u r o s .

2 Características de los dispositivos IoT

L os d is p o s itiv o s IoT son m i n ic o m p u t a d o r a s . C uyo h a rd w a re, son p rocesa dores
( m i c r o c o n t r o l a d o r e s ) y p la q u e t a s p a r a u s o e s p e c í f i c o , p o r l o c u a l e x is t e n d ife r e n t e s
fa b r ic a n t e s y d i v e r s i d a d d e m o d e l o s . C o n r e s p e c t o a l s o f t w a r e , a lg u n o s d i s p o n e n d e
f i r m w a r e , o t r o s d e S is t e m a O p e r a t iv o ( G o o g l e t v , W e b O S , A n d r o i d T h in g s , T iz e n ,
Z e p h y r ) y d e a p lic a c io n e s d e p r o p ó s it o e s p e c íf ic o .
E x is t e u n a g r a n c a n t id a d d e d i s p o s i t i v o s I o T q u e n o s o n in t e r o p e r a b le s , a u n q u e
e x is t e s o lu c io n e s de s o ftw a r e p a r a l o g r a r in t e r o p e r a b ilid a d e n tr e d is p o s itiv o s de
d i fe r e n t e s fa b r ic a n t e s c o n d is t in t o s s is t e m a s o p e r a t iv o s . P o r e j e m p l o , A l l J o y n q u e se
u t iliz a en lo s te le v is o r e s LG y en a lt a v o c e s P a n a s o n ic . Se han c o n fo r m a d o
a s o c ia c io n e s d e e m p re s a s q u e d e fin e n está n d a res c o m u n e s , u n o d e e llo s es O p e n
I n t e r c o n n e c t C o n s o r t i u m [ 3 ] , q u e b r in d a c ó d i g o a b ie r t o p a r a c r e a r u n e s t á n d a r c o m ú n .
A n i v e l d e c o m u n i c a c i o n e s , se p u e d e n a d q u ir ir d ife r e n t e s m ó d u l o s q u e p r o v e e n
d is t in t o s p r o t o c o l o s d e c o m u n i c a c i ó n . S e p u e d e n d is t in g u ir e n tr e d o s g r u p o s , s e g ú n la
a p l i c a c i ó n q u e s e p r e t e n d a d a r : ( 1 ) s in r e s t r ic c io n e s o li m i t a c i o n e s ( N T U ) , c o n e n la c e s
d e c o m u n i c a c i ó n d e a lta v e l o c i d a d , e n e l r a n g o d e t r a n s fe r e n c ia s c o n u n a ta s a ig u a l o
s u p e r io r a l M b i t /s y b a ja s l a t e n c ia s e n e l n i v e l d e e n la c e , m á s a f e c t a d a s p o r la s
c o n g e s t i o n e s e n l a r e d q u e p o r la s p r o p ia s c a r a c t e r ís t ic a s f í s i c a s d e l o s e le m e n t o , y ( 2 )
r e s t r in g id a s o lim it a d a s ( N T C ) c o n e n la c e s d e c o m u n i c a c i ó n d e b a j a v e l o c i d a d , e n e l
r a n g o d e t r a n s fe r e n c ia s i n f e r i o r a l M b i t /s y g r a n d e s la t e n c ia s , t ie n e n t e c n o l o g í a a n i v e l
f í s i c o d e b a j a c a p a c i d a d y p o l í t i c a s d e a h o r r o d e e n e r g ía . E n c u a n t o a l o s p r o t o c o l o s
d e c o m u n i c a c i o n e s e n d i s p o s i t i v o s I o T , p o d e m o s e n c o n t r a r d ife r e n t e s p r o t o c o l o s .
G r a n p a r te d e l o s d i s p o s i t i v o s I o T d e c o n s u m i d o r e s , u t iliz a e l e n t o r n o w e b p a r a la
t r a n s m is ió n y v i s u a l i z a c i ó n d e l o s d a t o s , p o r l o c u a l s e u t iliz a n l o s p r o t o c o l o s H T T P ,
w e b s o c k e t , X M P P . S i n e m b a r g o , h a n s u r g id o a lt e r n a t iv a s a e s t o s p r o t o c o l o s c u y o
c o n s u m o d e r e cu r s o s e s m e n o r , p o r e je m p lo , C o A P (p r o t o c o lo d e a p lic a c ió n p a ra
redes con b a ja p o te n c ia y p é r d id a ) . Un e je m p lo son la s a p l i c a c io n e s en lo s
d i s p o s i t i v o s m ó v i l e s p a r a m o n i t o r e o d e a c t iv id a d e s f í s i c a s q u e u s a n H T T P S p ara
t r a n s fe r ir c o m u n i c a c i o n e s c o n l o s s e r v id o r e s r e m o t o s .
P a r a r e d e s I n a lá m b r ic a s d e Á r e a P e r s o n a l ( W P A N ) , c o n c a p a c i d a d e s lim it a d a s e n
p ro c e s a m ie n to , p o c a m e m o r i a , b a ja p o t e n c ia , b a j o co sto y corto a lc a n c e , e x is t e n
p r o t o c o l o s q u e t r a b a ja n b a j o l a n o r m a t iv a d e la I E E E 8 0 2 .1 5 .4 c o m o (a ) L o W P A N ,
(b ) 6 lo w P A N d e fin id o e n la R F C 4 9 4 4 p a ra IP v 6 , ( c ) Z ig b e e , p r o t o c o lo está n d a r e n
r e d e s d e s e n s o r e s . T a m b i é n e s t á n l o s p r o t o c o l o s b a s a d o s e n la e s p e c i f i c a c i ó n d e la
IE E E 8 0 2 .1 5 .1 (B lu e to o th ), que fa c ilita la in t e r o p e r a b ilid a d e n tr e d ife r e n t e s
d is p o s itiv o s e m p le a n d o u n e n la c e p o r r a d io fr e c u e n c ia e n la b a n d a d e 2 .4 G H z.
R e c o n o c i d o p o r E r i c s s o n , N o k i a , I B M , T o s h i b a e In te l. T a m b i é n s e p u e d e u s a r I P v 6
c o n B lu e t o o th d e b a ja p o te n c ia (B L E ).
P a r a g r a n d e s r e d e s d e p e q u e ñ o s d i s p o s i t i v o s q u e n e c e s it a n la s u p e r v is ió n o e l
c o n t r o l d e u n s e r v i d o r d e b a c k - e n d e n In te r n e t, s e p u e d e u s a r M Q T T , p r o t o c o l o d e
T e l e m e t r ía d e c o l a d e m e n s a je s m u y l i g e r o , ú t il e n r e d e s c o n b a j o a n c h o d e b a n d a y
a lta la t e n c ia o p o c o c o n fia b le s , o fr e c e p o c a s o p c io n e s d e c o n tr o l, e s e fic ie n te e n
t é r m in o s d e a n c h o d e b a n d a , i n d e p e n d ie n t e d e l o s d a t o s y t ie n e r e c o n o c im i e n t o d e
s e s i ó n c o n t in u a , n o e s t á d i s e ñ a d o p a r a la t r a n s fe r e n c ia d e d i s p o s i t i v o a d i s p o s i t i v o , n i
p a r a r e a liz a r " m u l t i d i f u s ió n " d e d a t o s a m u c h o s r e c e p t o r e s .
E n e n t o r n o in d u s tr ia l, l o s d i s p o s i t i v o s d e I o T u s a n e l p r o t o c o l o D a t a D is t r ib u t io n
S e r v ic e (D D S ), está n d a r e le g id o por el I n d u s tr ia l In tern et C o n s o r tiu m com o
p l a t a fo r m a d e c o m u n i c a c i ó n p a r a c o n s t r u ir s is t e m a s in t e lig e n t e s e n I n t e r n e t In d u s tr ia l.
En el á m b it o de em presas de s e r v icio s ( e n e r g ía , gas, a g u a ), se u t iliz a DNP3
(D is t r ib u t e d N etw ork P r o to c o l) p ro to c o lo in d u s tr ia l p ara c o m u n ic a c io n e s e n tr e
e q u ip o s i n t e lig e n t e s (IE D ) y e s t a c io n e s c o n tr o la d o r e s , co m p o n e n te s de s is t e m a s
S C A D A . D N P 3 e s a c t u a lm e n t e c o m p a t i b l e c o n la s e s p e c i f i c a c i o n e s d e l e s t á n d a r d e
s e g u r id a d p a r a in fr a e s tr u c t u r a s d e S is t e m a s d e I n f o r m a c i ó n p a r a la e n e r g ía I E C
6 2 3 5 1 - 5 . E l e s t á n d a r I E E E 1 3 7 9 - 2 0 0 0 p r o p o n e u n a g u ía p a r a la c o m u n i c a c i ó n e n tr e
R T U y d i s p o s i t i v o s e l e c t r ó n i c o s in t e lig e n t e s ( I E D ) e n e n t o r n o s d e e n e r g ía , i n c l u y e n d o
c i f r a d o y u n a s e r ie d e p r á c t ic a s q u e m e jo r a n la s e g u r id a d fr e n t e a m é t o d o s in t r u s iv o s
c o n o c i d o s . T a m b i é n e s t á e l e s t á n d a r T C 5 7 , r e s p o n s a b le d e l d e s a r r o llo d e e s t á n d a r e s
p a r a e l i n t e r c a m b io d e s is t e m a s d e e n e r g ía y o t r o s r e l a c i o n a d o s c o m o SCADA y
d i s t r i b u c i ó n d e a u t o m a t i z a c i ó n y t e le p r o t e c c i ó n .
P a r a in t e r c o n e c t a r v e h í c u l o s (I n te r n e t d e l o s V e h i c u l o s I o V ) s e u s a e l p r o t o c o l o d e
c o m u n i c a c i o n e s d e c o r t o r a n g o d e d i c a d o ( D S R C ) q u e s o p o r t a t r a n s m is io n e s r á p id a s
de m e n s a je s e n tr e v e h í c u l o s , in fr a e s tr u c t u r a y a p l i c a c io n e s . P a r a c o m u n i c a c i o n e s
in te r n a s d e C P U a p e r i f é r i c o s , e x is t e n p r o t o c o l o s c o m o I 2 C (I n t e r -I n t e g r a t e d C ir c u it )
y S P I (S e r ia l P e r ip h e r a l I n t e r fa c e ). E n c u a lq u ie r á m b it o , a n i v e l d e r e d , e x is t e n v a r i o s
p r o t o c o l o s u t i l i z a d o s e n I o T c o m o I P v 6 p e n s a d o p a r a c o n v e r t ir s e e n e l e s t á n d a r d e
c o m u n i c a c i o n e s e n In te r n e t, o T h read [4 ] p r o t o c o l o p a r a r e d e s in a lá m b r ic a , p a r a
in t e r c o n e c t a r d i s p o s i t i v o s d e b a j o c o n s u m o d e u s o h o g a r e ñ o .

2.1 Arquitectura IoT

E x i s t e n m ú lt ip le s p r o p u e s t a s d e a r q u ite c t u r a s p a r a I o T [ 5 ] , a lg u n a s p r iv a d a s c r e a d a s
p a r a u n f i n e s p e c í f i c o , y o t r a s o p e n s o u r c e d e s a r r o lla d a s p o r u n c o n s o r c i o d e e m p r e s a s
r e l a c i o n a d a s c o n I o T q u e p r e t e n d e n b r in d a r e s t a a r q u ite c t u r a p a r a u s o g e n e r a l. U n
e je m p lo d e u n a a r q u ite c t u r a g l o b a l e s t á c o n f o r m a d a p o r e l d i s p o s i t i v o f in a l I o T
s e n s o r -a c tu a d o r ( “ T h in g s ” ) c o n e c t a d o (g e n e r a lm e n t e d e m o d o in a l á m b r i c o ) a o t r o
d i s p o s i t i v o q u e p e r m it e l a i n t e r c o n e x i ó n a I n t e r n e t p a r a b r in d a r a u n u s u a r io , s e r v i c i o s
d e t e r c e r o s o in t e r a c tu a r c o n s e r v id o r e s C l o u d . D i s p o n e r d e v a r ia s a r q u ite c t u r a s p a r a
S is t e m a s I o T , h a c e d i f í c i l la in t e r o p e r a b ilid a d d e e s t o s s is t e m a s y r e s u lt a c o m p l e j o
b r in d a r la s e g u r id a d y p r i v a c i d a d a l o s s is t e m a s I o T .
O p en IoT e s u n a p la ta fo r m a o p e n s o u r c e [6 ] q u e i n c l u y e f u n c i o n a l i d a d e s p a r a
c o m p o n e r d i n á m i c a m e n t e y b a j o d e m a n d a s e r v i c i o s I o T . P r o v e e la p o s i b i l i d a d d e
r e c o l e c t a r y p r o c e s a r l o s d a t o s o b t e n i d o s d e c u a lq u ie r s e n s o r , in c l u y e n d o d i s p o s i t i v o s
fís ic o s , a lg o r itm o s d e p r o c e s a m ie n to d e se n so r, a lg o r itm o s d e p r o c e s a m ie n to d e red es
s o c i a l e s , h e r r a m ie n t a s p a r a d e s c r i b i r l o s d a t o s d e l s e n s o r s e m á n t ic a m e n t e s e g ú n la s
e s p e c ific a c io n e s d e W 3 C (S e m á n t ic a p a r a R e d e s d e S e n s o r e s ), e n v ío d e d a to s d e
d i fe r e n t e s sen sores a la in fr a e s tr u c t u r a en C lo u d , d e s c u b r im ie n t o d in á m ic o de
s e n s o r e s y su s d a t o s , v i s u a l i z a c i ó n d e d a t o s I o T e n fo r m a t o s a p r o p i a d o s ( g r á f i c o s ,
esqu em as, m a p a s ), o p tim iz a c ió n de recu rsos con el m id d le w a r e O p en IoT y la
in fr a e s tr u c t u r a C l o u d .
L a a r q u ite c t u r a a b ie r t a d e I o T V 3 . 0 [7 ], g e n e r a d a p o r u n p r o y e c to e u r o p e o I o T - A
y p a t r o c i n a d o p o r u n a g r a n c a n t id a d d e e m p r e s a s e u r o p e a s , i n c l u y e d is t in t o s m o d e l o s
r e l a c i o n a d o s a la s p r o p i e d a d e s d e c o n f i a n z a , s e g u r id a d , p r i v a c i d a d y c o n f i a b i l i d a d .

3 Seguridad en IoT
E n e s t a s e c c i ó n , p r e s e n t a m o s u n a n á lis is y c l a s i f i c a c i ó n d e l o s d i s p o s i t i v o s u t iliz a d o s
e n I o T y su s v u l n e r a b i l i d a d e s . A c t u a lm e n t e , e s n e c e s a r io r e p e n s a r e n f o q u e s , a ju s ta r
h e r r a m ie n t a s , m é t o d o s y p r o c e d i m i e n t o s p a r a m e jo r a r la s e g u r id a d e n s is t e m a s I o T .
L a d i v e r s i d a d d e h a r d w a r e , d e s o ft w a r e y d e p r o t o c o l o s d e c o m u n i c a c i ó n , i m p l i c a
m a y o r a n á lis is y com p rom ete en m a y o r m e d id a la s e g u r id a d e n lo s s is t e m a s y
d i s p o s i t i v o s I o T . M u c h o s d i s p o s i t i v o s I o T t ie n e n s is t e m a s o p e r a t iv o s p o r t a b le s s in
c o n fig u r a r , a m enudo con u n c o n ju n to de u t ilid a d e s u t iliz a d a s e n e l á m b it o de
d e s a r r o ll o , p e r o q u e n o d e b e r í a n e s ta r d i s p o n i b l e s e n s is t e m a s d e p r o d u c c i ó n , p o r
e je m p lo , acceso por S h e ll. En m u ch os d e s a r r o llo s de s is t e m a s IoT se usan
co m p o n e n te s de s o ftw a r e de tercero (c o m o lib r e r ía s ), que pueden in c o r p o r a r
v u l n e r a b i l i d a d e s . L a v i o l a c i ó n a la s e g u r id a d d e l o s d i s p o s i t i v o s I o T , p u e d e r a d ic a r
en: (1 ) L os d is p o s itiv o s IoT com o v íc tim a s y (2 ) lo s d is p o s itiv o s IoT com o
h e r r a m ie n t a s d e a ta q u e s .
 A c t u a l m e n t e , s u r g e n in t e r r o g a n t e s s o b r e q u i e n t ie n e la r e s p o n s a b ilid a d d e r e s o l v e r
lo s p r o b le m a s d e s e g u r id a d d e l o s d i s p o s i t i v o s d e IoT c o n e c t a d o s a In tern et ¿ le
corresp on d e a l fa b r ic a n t e , al v e n d e d o r, a l u s u a r io ? , ¿debe s e r r e g u la d o por lo s
g o b ie r n o s ? No s ie m p r e queda c la r o q u ié n es r e s p o n s a b le de la s d e c is io n e s de
s e g u r id a d : u n a c o m p a ñ í a d i s e ñ a u n d i s p o s i t i v o , o t r a p r o v e e e l s o ft w a r e , o t r a o p e r a la
r e d e n l a q u e s e l o in t e g r a y o t r a p o n e a d i s p o s i c i ó n e l e q u i p o . N o e x is t e n n o r m a s y
e s t á n d a r e s a c e p t a d o s a n i v e l in t e r n a c io n a l.
U n e s t u d i o [ 2 ] , r e v e l ó q u e e l 9 4 % d e l o s e x p e r t o s c o n s i d e r a fir m e m e n t e q u e lo s
d is p o s itiv o s del IoT que no estén d e b id a m e n t e p ro te g id o s p o d r ía n d e to n a r un
i n c i d e n t e d e s e g u r id a d " c a t a s t r ó f i c o " . E l 7 6 % p ie n s a q u e c u a lq u ie r m o m e n t o e n l o s
p r ó x i m o s d o s a ñ o s se p r o d u c i r á u n a ta q u e D D o S ( D is t r ib u t e d D e n ia l o f S e r v i c e ) a
t r a v é s d e I o T . E l 7 7 % a d m it e q u e n o c o n s i d e r a e l r ie s g o d e I o T a l d e s p le g a r lo s , y a
q u e d e l e g a e s t e t e m a e n la s t e r c e r a s p a r te s in v o lu c r a d a s . A d e m á s , e l 6 7 % n o e v a lú a
la s p r á c t i c a s s e g u r id a d y p r iv a c id a d de la s t e r c e r a s p a r te s a n te s d e gen erar una
o p e r a c i ó n d e n e g o c i o s c o n e l l o s . C o n r e s p e c t o a l e s f u e r z o d e s e g u r id a d , e l 9 4 % l o
d i r e c c i o n a a u n f i r e w a l l d e r e d t r a d ic io n a l p a r a m a n e ja r la s a m e n a z a s d e I o T .

3.1 Amenazas en IoT

E n e l in fo r m e d e la e m p r e s a K a r s p e r k y d e ju n io d e l 2 0 1 7 , in d ic a q u e h a n d e te c ta d o
7 .0 0 0 t i p o s d is t in t o s d e m a lw a r e q u e a t a c a n a d i s p o s i t i v o s I o T , d e l o s c u a le s e l 5 0 %
h a n s i d o d e s a r r o ll a d o s e n 2 0 1 7 y t ie n e n c o m o o b je tiv o e l e s p io n a je , e x to r s ió n y
c h a n t a je [8 ]. E l m a lw a r e M i r a i , t ie n e t re s c o m p o n e n t e s p r in c ip a le s : u n m ó d u l o d e
c o m a n d o y c o n t r o l q u e e s t a b l e c e la c o m u n i c a c i ó n ; u n e s c á n e r d e r e d e s , q u e p e r m it e
i n f e c t a r o t r o s d i s p o s i t i v o s d e la I o T d e s d e u n e q u i p o d e r e t r a n s m is ió n ; y u n m ó d u l o
de a ta q u e , q u e p e r m it e h a cer u so y abu so d e l tr á fic o le g ítim o de la s r e d e s .. E l
m a lw a r e H a ji m e [9 ] s u r g ió p a r a e v it a r q u e e l d i s p o s i t i v o s e a i n f e c t a d o p o r e l m a lw a r e
M i r a i c e r r a n d o l o s p u e r t o s u t i l i z a d o s e n l o s a t a q u e s d e D D o S . T ie n e u n m ó d u l o d e
p r o p a g a c i ó n , se e x p a n d e u s a n d o r e d e s P 2 P d e s c e n t r a liz a d a s ( e n v e z d e s e r v id o r e s d e
con trol y com an d o) y u t iliz a d ife r e n t e s t é c n ic a s p ara in g r e s a r a l d is p o s itiv o e
in f e c t a r l o . S i b i e n s u r g i ó c o m o u n s o f t w a r e c o n f in e s b e n é f i c o s p a r a la s e g u r id a d
i n f o r m á t ic a , e n a b r il d e l 2 0 1 7 se c o n o c i e r o n a t a q u e s e m p l e a n d o e s t e m a lw a r e .
La T a b la 1 m u estra a lg u n a s am en a zas del p r o c e s a m ie n to , c o m u n ic a c ió n y
a lm a c e n a m ie n to de la in fo r m a c ió n , p resen te en c u a lq u ie r a de la s c a t e g o r ía s de
d i s p o s i t i v o s I o T [1 ] [5 ].

Tabla 1: C la s ific a c ió n d e las am enazas en Io T

C la s ific a c ió n D e s c r ip c ió n
S u p lan tación de U n atacante o b tien e la c la v e d el d isp o s itiv o , a n iv e l hardw are o softw a re.

identidad
D e n e g a c ió n de D e ja r sin fu n cion a r u n d isp o s itiv o , im p ed ir la c o m u n ic a c ió n , o brindar un

se rv icio se r v icio .

M a n ip u la ció n de M a n ip u la ció n o reem p la z o d e lo s c o m p o n e n te s d el sistem a op e ra tiv o .

la in fo rm a c ió n L ectu ra d e d atos d esd e e l a lm acen a m ien to d e in fo rm a c ió n . M a n ip u la ció n

d e d atos d e telem etría, d e d atos d e co n tro l d e c o m a n d o s en c o la o en la
m e m o ria ca ch é , d e p aqu etes d e a c tu a liz a ción d e c o n fig u ra ció n o firm w are
 durante el a lm acen a m ien to en c a c h é o en la c o la lo c a l.
D iv u lg a c ió n de C u a n d o u n d isp o s itiv o ejecu ta u n softw are m an ip u la do q u e p ro p o r cio n a

in fo rm a c ió n d atos a partes n o au torizadas.

E le v a c ió n de S e p u e d e forza r a u n d isp o s itiv o q u e realiza un a fu n c ió n e sp e c ífic a a

p riv ile g io s realizar otra fu n c ió n .

S uplan tación , L o s d isp o s itiv o s tien en a m en u d o fu n c io n e s d e seguridad, c o m o P IN o

r e v e la ció n de contraseña, o se basan totalm ente en c o n fia r en la red, lo q u e sig n ifica qu e

in fo rm a c ió n
A lte r a c ió n
c o n c e d e r á n a c c e s o a la in fo r m a c ió n cu a n d o u n d isp o s itiv o se encu entre en
la m ism a red y c o n fr e c u e n cia d ich a red s ó lo esté p ro te g id a p o r un a cla v e
com p artid a.
U n atacante p u ed e interceptar o in valid ar p a rcia lm en te la d ifu sió n y enviar
in fo rm a c ió n falsa.

A c o n t i n u a c i ó n , s e m u e s t r a n l o s r i e s g o s p o r c a t e g o r ía s d e d i s p o s i t i v o s I o T . [5 ]

Dispositivos IoT de Consumidores: O b te n e r a c c e s o al d is p o s itiv o p a ra b e n e fic io

p e r s o n a l. A c o s a d o r e s p u e d e u s a r la i n f o r m a c i ó n d e l o c a l i z a c i ó n . I d e n t i f i c a c i ó n d e
p a t r o n e s . A m o d o d e e j e m p l o se m e n c i o n a n a m e n a z a s d e t e c t a d a s : a ) E n j u n i o 2 0 1 6
[ 1 0 ] se d e t e c t ó u n m a lw a r e t i p o r a n s o m w a r e c o n o c i d o c o m o “ f l o c k e r ” q u e a f e c t ó a
S m a rt T V L G c o n S .O . A n d r o i d , c o n e l o b j e t i v o d e o b t e n e r d a t o s , e n c r ip t a r lo s y
b l o q u e a r l a p a n t a lla p a r a p e d i r “ r e s c a t e ” d e d in e r o p a r a s u d e s b l o q u e o . b ) E n M a r z o
d e l 2 0 1 7 [ 1 1 ] , l a e m p r e s a O n e c o n s u l t h a l o g r a d o e m it ir u n m a lw a r e c a p a z d e t o m a r e l
c o n t r o l d e l t e l e v i s o r e m i t i d o p o r la f r e c u e n c i a d e T D T ( T e l e v i s i ó n d ig it a l T e r r e s t r e ).
E s t o n o s o l o a f e c t a r ía a l o s T V s s in o a c u a lq u ie r d i s p o s i t i v o e n e l r a n g o d e a c c i ó n d e
l a a n te n a . P r o b a d o e n S m a r t T V S a m s u n g . c ) L a e m p r e s a S la s h g e a r [ 1 2 ] r e p o r t a u n a
v u l n e r a b i l i d a d p r e s e n t e e n v a r i o s S m a rt T V 's q u e p o d r í a p e r m it ir a a t a c a n te s v u ln e r a r
c i e n t o s d e d i s p o s i t i v o s a l m i s m o t ie m p o .
Dispositivos IoT para la Salud: V i o l a c i ó n a la v i d a (c a u s a r d a ñ o a p a c ie n t e s V I P ) .
P é r d id a de p r iv a c id a d (b r in d a r in fo r m a c ió n c o n fid e n c ia l de lo s p a c ie n t e s ).
D i a g n ó s t i c o n o c o n f i a b l e d e b i d o a fa lla s e n s o ft w a r e o h a r d w a r e . M o d i f i c a c i ó n d e
i n f o r m a c i ó n , g e n e r a n d o t o m a d e d e c i s i o n e s n o c i v a s p a r a la s a lu d . E f e c t o s n o c i v o s
p a r a e l c u e r p o h u m a n o p o r in g e s t a in c o r r e c t a d e m e d ic a m e n t o s
Dispositivos utilizados en Infraestructura Industrial: D e s tr u c c ió n o d a ñ o fís ic o
ca u s a d o p o r e l c ib e r o e c o -te r r o r is m o . I n t e r r u p c ió n d e o p e r a c io n e s p o r b r o m a o
“ h a c k tiv is m o ” . R o b o d e p r o d u c t o s a ser e n tr e g a d o s p o r e l d ro n e y /o r o b o d e l p r o p io
d i s p o s i t i v o e n s is t e m a s a é r e o s s i n t r ip u la c ió n .
Dispositivos IoT utilizados en Smart Cities. D a ñ o s o d e s tr u cc ió n fís ic a ca u s a d o s
p o r C ib e r -t e r r o r i s m o .

3.2 Vulnerabilidades

E x is t e u n c o n j u n t o a m p li o d e v u ln e r a b ilid a d e s e n l o s d i s p o s i t i v o s I o T [1 3 ] c o m o so n :
C o m u n i c a c i o n e s l o c a l e s y r e m o t a s s in e n c r ip t a r , a lm a c e n a m ie n t o s in c ifr a r , a c c e s o
r e m o t o p o r S h e ll, c u e n t a s o c u l t a s , a c c e s o a t r a v é s d e la s in t e r fa c e s U A R T (U n iv e r s a l
A s y n c h r o n o u s r e c e i v e r t r a n s m itte r ) y J T A G , e n tr e o t r o s .
Las redes r a d io c o g n itiv a s [1 4 ], cu yo acceso al e sp e ctro es d in á m ic o , son
e x tr e m a d a m e n t e v u ln e r a b le s a a ta q u es m a lic io s o s , p a r t ic u la r m e n t e p orq u e lo s
u s u a r io s s e c u n d a r i o s n o s o n p r o p ie t a r io s d e l e s p e c t r o . A l t e n e r u n a r e d c o n a lto
d i n a m i s m o s e h a c e d i f í c i l a p l i c a r m e d id a s d e s e g u r id a d , p o r l o q u e l o s m é t o d o s p a r a
a se g u ra r u n e s p e c tr o c o m p a r t id o s o n c r í t i c o s . L a a m e n a z a m á s c r ít ic a e s i m p e d ir
c o m u n i c a c i o n e s d e u s u a r io s s e c u n d a r io s .
A c o n t i n u a c i ó n , se m e n c i o n a n a lg u n a s v u ln e r a b ilid a d e s r e p o r t a d a s p o r d is tin ta s
e m p r e s a s d e l á m b i t o d e s e g u r id a d I n fo r m á t ic a .
V u l n e r a b i l i d a d e s d e m o n i t o r e s d e b e b é d e d ife r e n t e s m a r c a s , d e t e c t a d a s p o r la
e m p r e s a R a p i d 7 [ 1 3 ] e n s e p t ie m b r e d e l 2 0 1 5 . P r e s e n t a p r o b l e m a s d e a c c e s o f í s i c o a l
d i s p o s i t i v o , a c c e s o d e s d e u n a L A N y d e s d e In te r n e t, p o r e j e m p l o : a ) L a v u ln e r a b ilid a d
C V E - 2 0 1 5 - 2 8 8 6 p e r m it e q u e c u a lq u ie r u s u a r io a u t e n t ic a d o e n e l s it io i b a b y c l o u d . c o m
puede o b s e r v a r la c á m a r a y lo s r e g is t r o s d e v i d e o de otro u s u a r io d e b id o a la
v u l n e r a b i l i d a d d e r e f e r e n c i a d e o b j e t o s d ir e c t o s . b ) L a v u ln e r a b ilid a d C V E - 2 0 1 5 -
2 8 8 7 , m u e s t r a c ó m o s e p u e d e a c c e d e r p o r t e ln e t o U A R T a l d i s p o s i t i v o a c c e d i e n d o
c o n u s u a r io c o m ú n ( a d m i n ) h a r d c o d e a d o s e n s u c ó d i g o . c ) L a v u ln e r a b ilid a d C V E -
2 0 1 5 - 2 8 8 3 , m u e s t r a c o m o e l s e r v i c i o w e b p a r a c r e a r s e s io n e s r e m o t a s d e s t r e a m in g e s
v u l n e r a b l e s a a t a q u e s X S S y S e s s i o n h ija c k in g .
V u ln e r a b ilid a d e s en p rod u ctos w e a r a b le que p e r m it e n a la s p erson a s e s ta r
c o n e c t a d o s e n t o d o m o m e n t o . L a e m p r e s a O p e n E f f e c t [ 1 5 ] r e a liz ó u n a i n v e s t i g a c i ó n
m o s t r a n d o c ó m o a lg u n a s e m p r e s a s fa b r ic a n t e s d e e s t o s p r o d u c t o s n o t ie n e n e n c u e n t a
l a p r i v a c i d a d , p e r m i t i e n d o o b t e n e r i n f o r m a c i ó n d e l d i s p o s it iv o .
V u ln e r a b ilid a d e s en d is p o s itiv o s de s a lu d [1 6 ]: en bom bas de in fu s ió n se
en cu en tra n fa l la s de a u s e n c ia de a u t e n t ic a c ió n p ara la s s e s io n e s te ln e t ,
a lm a c e n a m ie n to de c la v e s de acceso e n tex to p la n o , t r a b a ja n c o n v e r s io n e s de
s e r v i d o r w e b v u l n e r a b l e s , c ó d i g o d e c r e d e n c i a l e s a s o c i a d o s a F T P h a r d c o d e a d o s , lo s
d i s p o s i t i v o s c a r d i a c o s im p la n t a b le s n o t ie n e n i m p le m e n t a d o u n a lis t a d e c o m a n d o s
a u t o r iz a d o s . E n l o q u e r e s p e c t a a la a u t e n t ic a c ió n , 3 d e 4 fa b r ic a n t e s d e d i s p o s i t i v o s
d e m o n i t o r e o c a r d i a c o h o g a r e ñ o s , t ie n e n h a r d c o d e a d a s la s c r e d e n c i a l e s q u e p e r m it e n
a u te n tic a r l o s p a c i e n t e s e n l a r e d .
V u ln e r a b ilid a d e s d e te c ta d a s e n lo s t e le v is o r e s S m a rt T V : E n d ic ie m b r e d e l 2 0 1 2 ,
d e t e c t a r o n u n a f a l l a e n S m a r t T V S a m s u n g l e d 3 D , q u e p e r m it e o b t e n e r a c c e s o a l T V
d e f o r m a r e m o t a y a s í m o d i f i c a r a r c h i v o s y m o d i f i c a r la c o n f i g u r a c i ó n d e l c o n t r o l
rem oto. E n ju lio del 2013, se d e te ctó la v u ln e r a b ilid a d (C V E -2 0 1 3 -4 8 9 0 ) en el
s e r v i d o r w e b d e S m a r t T V S a m s u n g P S 5 0 C 7 7 0 0 , q u e p e r m it e e je c u t a r u n e x p l o i t p a r a
r e s e te a r e l t e l e v i s o r u t i l i z a d o s e n u n a t a q u e D o S .
V u l n e r a b i l i d a d e s e n C á m a r a s IP : E n j u n i o 2 0 1 7 , u n e s t u d io g e n e r a d o p o r e m p r e s a
d e s e g u r id a d F - S e c u r e , e n c o n t r ó p r o b l e m a s d e s e g u r id a d e n c á m a r a s IP d e v a r ia s
em presas.

3.3 Ataques sobre Dispositivos IoT

L o s d i s p o s i t i v o s I o T p u e d e n s e r a t a c a d o s p o r c ib e r d e lin c u e n t e s p o r d is t in t o s m o t i v o s :
e n t r e t e n im ie n t o , o b t e n e r i n f o r m a c i ó n c o n f i d e n c i a l , y c ib e r t a q u e s u t iliz a n d o e l p o d e r
c o m p u ta c io n a l y d e c o m u n ic a c io n e s d e l d is p o s itiv o y a si p o d e r c o n fo r m a r u n a b o tn e t
p a r a a t a c a r a u n o b j e t i v o e s p e c í f i c o y d e ja r l o s in s e r v i c i o , l o q u e se c o n o c e c o m o
A ta q u e d e D e n e g a c ió n d e S e r v i c i o D is t r ib u id o (D D o S ). A c o n t in u a c ió n se d arán
a l g u n o s e j e m p l o s d e e s t o s t i p o s d e a ta q u e .
Ataque de Denegación de Servicio Distribuido usando dispositivos IoT [1 ]
E n j u l i o d e 2 0 1 5 , la r e v is t a W i r e d r e v e ló q u e p ira ta s i n f o r m á t i c o s h a b ía n a lt e r a d o
r e m o t a m e n t e l a c o n d u c c i ó n d e v e h í c u l o s J e e p C h e r o k e e . F ia t C h r y s le r A u t o m ó v i l e s
N V , t o m ó m e d i d a s d e s e g u r id a d a n iv e l d e r e d p a r a e v it a r e s t e t i p o d e m a n ip u la c ió n
r e m o t a . T a m b i é n p r o g r a m ó u n a c a m p a ñ a d e r e c u p e r a c i ó n p r e v e n t iv a d e 1 ,4 m ill o n e s
d e a u t o m ó v i l e s y c a m i o n e s e q u i p a d o s c o n r a d io s v u ln e r a b le s e n l o s E E . U U .
E l 2 3 d e d i c i e m b r e d e 2 0 1 5 , la d i s t r i b u c i ó n d e e n e r g ía e n U c r a n ia f u e a f e c t a d a p o r
u n a t a q u e q u e i n t e r r u m p ió e l s e r v i c i o d e u n a g r a n c a n t id a d d e u s u a r io s d u r a n te v a r ia s
h o r a s . L o s p ir a ta s i n f o r m á t i c o s u s a r o n e l t r o y a n o B la c k E n e r g y p a r a a c c e d e r a l s is t e m a
d e g e s t i ó n d e la d i s t r i b u c i ó n d e e n e r g ía y f u e r o n a s í c a p a c e s d e e m it ir c o m a n d o s d e
in t e r r u p c i ó n d e l s e r v i c i o , b o r r a r y s o b r e s c r i b i r d a t o s d e l s is t e m a y r e a liz a r o p e r a c i o n e s
de apagado
E n o c t u b r e d e l 2 0 1 6 , s e p r o d u j o e l m a y o r a t a q u e d e D D o S d e la h is t o r ia c o n t r a la
c o m p a ñ í a d e h o s t i n g f r a n c e s a O V H y e l p r o v e e d o r d e D N S e s t a d o u n id e n s e D y n , q u e
f o r z ó l a d e s c o n e x i ó n d e m á s d e 1 0 0 s it io s w e b ( T w it t e r , S p o t i f y , N e t f l i x , A m a z o n ,
G it H u b , P a y P a l, e t c ) p o r v a r ia s h o r a s . E l a ta q u e s e p r o d u j o u t iliz a n d o u n a b o t n e t
c o n f o r m a d a p o r d i s p o s i t i v o s I o T i n f e c t a d o s c o n e l m a lw a r e M ir a i. S e r e a liz a r o n tre s
a t a q u e s q u e i n v o l u c r a r o n a m á s d e 10 m ill o n e s d e d i r e c c i o n e s IP q u e g e n e r a r o n u n
t r á f i c o s u p e r io r a 1 T b it /s .

Ataques a dispositivos para obtención de información confidencial

L a em presa V T e c h a n u n c ió e n d ic ie m b r e del 2015 que s u fr ió u n a v i o l a c i ó n de
s e g u r id a d e x p o n i e n d o d a t o s p e r s o n a le s d e 1 2 m i ll o n e s d e p e r s o n a s . E l a ta q u e fu e
e x p l o t a n d o u n a v u l n e r a b i l i d a d d e S Q L i n j e c t i o n y s e r v i c i o s d e r e g is t r a c ió n d e u s u a r io
s i n e n c r ip t a r ( T L S ) e n d i s p o s i t i v o s d e j u e g o s e l e c t r ó n i c o s d e e n s e ñ a n z a .
E n a g o s t o d e l 2 0 1 4 [ 1 7 ] , e l t e r m o s t a t o in t e lig e n t e N e s t d e G o o g l e , d i s p o s i t i v o q u e
a y u d a a a p r e n d e r s o b r e l o s h á b i t o s d e c a l e f a c c i ó n y r e f r i g e r a c i ó n s u fr ió u n a ta q u e q u e
d e m o s t r ó la p o s ib ilid a d d e o b te n e r e l c o n t r o l to ta l d e N e s t e n s e g u n d o s .

3.4 Modelos de seguridad actuales

E n e s t a s e c c i ó n s e m e n c i o n a n a lg u n a s p r o p u e s t a s p a r a b r in d a r s e g u r id a d a s is t e m a s
I o T y a d e s p l e g a d o s y s e d e s c r i b e n l o s m o d e l o s d e s e g u r id a d p r o p u e s t o s e n a lg u n o s d e
la s a r q u ite c t u r a s I o T a n a liz a d a s e n la s s e c c i o n e s a n te r io r e s .
D i f e r e n t e s o r g a n i s m o s g u b e r n a m e n t a le s h a n g e n e r a d o lin e a m ie n t o s p a r a q u e l o s
d e s a r r o ll a d o r e s y u s u a r io s i n t r o d u z c a n la s e g u r id a d d e n t r o de la a r q u ite c t u r a . E l
d e p a r t a m e n t o d e S e g u r id a d N a c i o n a l d e E s t a d o s U n i d o s [ 1 8 ] , p r e s e n t a s e is p r i n c i p i o s
e s t r a t é g i c o s p a r a a s e g u r a r I o T c o n e l o b j e t i v o d e in f o r m a r a u s u a r io s , o p e r a d o r e s y
fa b r ic a n t e s p ara que tom en d e cis io n e s c o n s c ie n t e s al t r a b a ja r con d is p o s itiv o s
co n e cta d o s . E stos p rin cip io s i n c lu y e n : (a ) I n c o r p o r a r la s e g u r id a d e n la fa s e de
d i s e ñ o . ( b ) A c t u a l i z a c i o n e s d e s e g u r id a d y g e s t i ó n d e v u ln e r a b ilid a d e s d e a v a n z a d a .
(c ) C o n s t r u ir s o b r e p r á c t i c a s d e s e g u r id a d p r o b a d a s , im p le m e n t a r la d e f e n s a e n c a p a s ,
c o m p a r t ir i n f o r m a c i ó n r e l a c i o n a d a a in c id e n t e s y v u ln e r a b ilid a d e s . ( d ) P r io r iz a r la s
m e d i d a s d e s e g u r id a d s e g ú n e l im p a c t o p o t e n c ia l. ( e ) P r o m o v e r la t r a n s p a r e n c ia d e
I o T . A b a r c a r a t o d o s l o s c o m p o n e n t e s e in c l u i r a d e s a r r o lla d o r e s y fa b r ic a n t e s . ( f )
P r o p o n e r la i m p l e m e n t a c i ó n d e “ c o n e x i o n e s in t e n c io n a le s ” y s e le c t iv a s .
Arquitectura de seguridad para IOT.
L a a r q u ite c t u r a d e s e g u r id a d s is t e m á t ic a ( I P M ) [ 1 9 ] , in t e g r a c o n c i e n c i a e i n t e r a c c i ó n
d e l m u n d o r e a l, c i b e r n é t i c o , y s o c i a l d e n t r o d e l m o d e l o U 2 I o T , a r q u ite c t u r a t í p i c a d e
I o T c o m p u e s t a p o r u n id a d e s I o T ( r e d e s y s e n s o r e s I o T , n o d o s d e c o n t r o l d is t r ib u id o ,
g e s t ió n y c e n tr a liz a c ió n d e c e n tro s d e d a to s ) y d is p o s itiv o s I o T u b ic u o s (I I o T , lo c a l
I o T , g l o b a l I o T , n a c i o n a l I o T ) . L a a r q u ite c t u r a c o n s i d e r a t re s a s p e c t o s : a ) E l m o d e l o
de s e g u r id a d d e in fo r m a c ió n c o n s id e r a lo s r e q u e r im ie n t o s d e s e g u r id a d b á s i c a y
a v a n z a d a p a r a tra ta r l o s se n so re s, red , a p lic a c ió n y a t r ib u c io n e s s o c ia le s . b) La
s e g u r id a d fís ic a in c lu y e la in fr a e s tr u c t u r a , u b ic a c ió n y esta d o de la e n t id a d ,
i n f o r m a c i ó n d e t r a z a b ilid a d y c o n d i c i o n e s d e l m u n d o r e a l. c ) L a g e s t i ó n d e s e g u r id a d
p rovee r e co m e n d a c io n e s e s t r a t é g ic a s p o r je r a r q u ía s c la s ific a n d o e s c e n a r io s con
r a c io n a lid a d y c o m p a tib ilid a d .
L a a r q u ite c t u r a a b ie r t a d e I o T ( I o T - A ) [ 7 ] , i n c l u y e d is t in t o s m o d e l o s r e la c io n a d o s
a la s p r o p i e d a d e s d e c o n f i a n z a , s e g u r id a d , p r i v a c i d a d y c o n f i a b i l i d a d . E l m o d e l o d e
c o n fia n z a p r o v e e i n t e g r id a d d e d a t o s y c o n f i d e n c i a l i d a d , a u t e n t ic a c ió n e n p u n t o s
fi n a l e s y n o r e p u d i o e n tr e d o s e n t id a d e s q u e in te r a c tú a n . I n c lu y e a ) d o m i n i o s d e
c o n f i a n z a , b ) m e c a n i s m o s d e e v a l u a c i ó n d e c o n f i a n z a , b a s a d o e n a n a liz a r i n f o r m a c i ó n
a l m a c e n a d a p r e v ia m e n t e d e l s u je t o , c ) p o l í t i c a s d e c o m p o r t a m i e n t o q u e r e g u la n la
m an era e n q u e dos s u je t o s con e l m is m o d o m in io de c o n fia n z a in t e r a c tú a n ; d )
d e fin ic ió n d e n iv e le s d e c o n fia n z a (lo c a l, g lo b a l o c e n t r a liz a d o ); e ) d is p o n e r d e u n a
f e d e r a c i ó n d e c o n f i a n z a q u e d e l im it e la s r e g la s d e la s r e l a c i o n e s d e c o n f i a n z a e n tr e
l o s s is t e m a s y l o s d i fe r e n t e s m o d e l o s d e c o n f i a n z a ; f ) s o p o r t a r M 2 M (M a c h in e to
m a c h i n e ) q u e p e r m it e in t e r a c tu a r m á q u in a s a u t ó n o m a s e v a lu a n d o la in t e g r id a d d e
c a d a u n a.
M ic r o s o ft p ro p o n e u n m o d e lo de s e g u r id a d [2 0 ] b a s á n d o s e e n e l m o d e lo de
r i e s g o s . C o n s t a d e l o s s ig u ie n t e s p a s o s : a ) M o d e l a r la a p l i c a c ió n , b ) E n u m e r a r la s
a m e n a z a s , c ) M i t i g a r la s a m e n a z a s d ) V a l i d a r la s m it ig a c io n e s . E s t e m o d e lo de
r i e s g o s d e I o T e s e l u t i l i z a d o e n la a r q u ite c t u r a d e r e f e r e n c ia d e I o T M i c r o s o f t A z u r e .

4 Conclusiones y Trabajo Futuro

E n e s t e t r a b a jo p r e s e n t a m o s u n a n á lis is d e l o s a s p e c t o s d e s e g u r id a d r e le v a n t e s p a r a
d i s p o s i t i v o s I o T . C o n o c e r l a f o r m a e n q u e u n a t a c a n te p o d r í a p o n e r e n p e l i g r o u n
s is t e m a a y u d a a t o m a r la s m e d i d a s p e r t in e n t e s d e s d e e l p r i n c i p i o , p o r l o c u a l e s d e
s u m a i m p o r t a n c i a c o n o c e r s o b r e la s e g u r id a d d e l o s s is t e m a s y d i s p o s i t i v o s u t iliz a d o s
e n In te r n e t d e la s c o s a s , c o n o c i e n d o c u a le s s o n la s a m e n a z a s , v u ln e r a b ilid a d e s y
a ta q u es p re s e n te s e n e ste á m b ito .
C o m o t r a b a jo fu t u r o , se p la n e a in v e s t ig a r y p r o p o n e r u n m o d e l o d e s e g u r id a d y
p r i v a c i d a d p a r a e l d i s e ñ o d e l o s d i s p o s i t i v o s I o T y la im p l a n t a c i ó n d e l o s m i s m o s
d e n t r o d e s is t e m a s I o T . C o n s i d e r a n d o la in t e g r a c i ó n d e l o s d ife r e n t e s p r o t o c o l o s d e
c o m u n i c a c i ó n , c o n s i d e r a n d o l o s d is t in t o s n i v e l e s o c a p a s d e l s is t e m a d e c o m u n i c a c i ó n
y d e l o s d is t in t o s e l e m e n t o s q u e f o r m a n p a r te d e u n a a r q u ite c t u r a I o T , p a r a o b t e n e r a sí
u n s is t e m a I o T s e g u ro . E ste m o d e lo d e b e i n c lu ir la s p r o p i e d a d e s d e c o n f ia n z a ,
s e g u r id a d , p r iv a c id a d y c o n fia b ilid a d , b r in d a n d o in t e g r id a d de d a tos,
c o n fid e n c ia lid a d , a u t e n t ic a c ió n , d is p o n ib ilid a d y no r e p u d io . P ara lo cu al es
im p o r t a n t e con ocer la s am enazas a la s q u e puede esta r e x p u e s to y a g r e g a r la s
d e fe n s a s a d e c u a d a s d u r a n te e l d i s e ñ o d e la a r q u ite c t u r a . E s e s p e c ia lm e n t e im p o r t a n t e
d is e ñ a r p r o d u c t o s q u e c o n s i d e r e n d e s d e e l p r i n c i p i o , u n m o d e l o d e s e g u r id a d in te g r a l.

5 Referencias
1. C r e a c ió n de u n m u n d o I o T fia b le y g estion a d o. Instituto N a c io n a l d e C iberseg u rid ad
(IN C IB E ). España. (2 0 1 7 ).
2. C . Forrest: h t t p ://w w w .te ch re p u b lic.co m /a r tic le /9 4 -b e lie v e -u n s e c u re d -io t-d e v ic e s -co u ld -
lea d -to -ca ta stro p h ic-cy b e rse cu rity -a tta ck /. (1 7 -0 5 -2 0 1 7 )
3. O p e n In te rco n n e ct C on sortiu m . h ttp s ://o p e n c o n n e c tiv ity .o r g /.
4. T hread P ro to c o l. T hreads g rou p . h ttp ://th rea d g rou p .o r g /n ew s-ev en ts /p ress-
r e le a s e s /ID /2 0 /In tr o d u c in g -T h r e a d -A -N e w -W ir e le s s -N e tw o r k in g -P r o to c o l-fo r-th e -H o m e .
5. F u tu re -p ro o fin g the C o n n e cte d W o rld . C lo u d S ecurity A llia n c e (C S A ). R ep ort. (2 0 1 6 ).
6. I o T O p e n P lataform s. h ttp ://o p en -p la tfo rm s.e u /lib ra rv /o p e n io t-th e -o p e n -so u rce -in te rn e t-o f-
th in g s/. (0 5 -1 1 -2 0 1 4 )
7. M . B au er, M . B o u ssa rd , N . B u i, F. C arrez, C . Jardak y J. D . L o o f: Internet o f T h in g s -
A rch ite ctu re I o T - A - F inal architectural re fe re n ce m o d e l fo r the I o T v 3 .0 . R e p o rt (2 0 1 3 ).
8. T ram pas para el Internet d e las cosa s. h ttp s://secu relist.la t/h on ey p ots-a n d -th e-in tern et-of-
t h in g s /8 5 1 6 5 /. (1 9 -0 6 -2 0 1 7 )
9. H a jim e , the m yste rio u s e v o lv in g botnet. h ttp s://se cu re list.co m /h a iim e -th e -m y steriou s-
e v o lv in g -b o t n e t /7 8 1 6 0 /. (2 5 -0 4 -2 0 1 7 )
10. E. D uan: h ttp ://b lo g .tre n d m icro .co m /tre n d la b s -se cu rity -in te llig e n ce /flo ck e r-ra n so m w a re -
cro sse s-sm a rt-tv / (1 4 -1 -2 0 1 6 )
11. D. G o o d in : h ttp s://a rste ch n ica .co m /se cu rity /2 0 1 7 /0 3 /sm a rt-tv -h a ck -e m b e d s-a tta ck -co d e -
in to -b ro a d ca st-sig n a l-n o -a cce ss-re q u ire d / (3 1 -0 3 -2 0 1 7 )
12. R . W augh: h t t p s ://w w w .w e liv e s e c u r ity .co m /la -e s /2 0 1 4 /0 6 /1 0 /p e lig r o -s m a r t-tv -
v u ln era bilid a d -ata qu es-en -m a sa/ (1 0 -0 6 -2 0 1 4 )
13. T. B . M a rk Stanislav: H A C K I N G I o T : A C a se Study o n B a b y M o n ito r E x p osu res and
V u ln era bilities. R a p id 7. https://goo.gl/Uh7y4e (S ep tiem b re 2 0 1 5 )
14.S . K im : C o g n itiv e R a d io A n ti-J a m m in g S ch em e fo r S ecu rity P ro v isio n in g IoT
C o m m u n ica tio n s. (2 0 1 5 ).
15. E v e ry Step Y o u F ake A C o m p a ra tiv e A n a ly s is o f F itn ess T ra ck er P riv a cy and Security.
O p e n E ffe ct. (2 0 1 6 ).
16. B . R io s y J. Butts: S ecurity E v alu a tion o f the Im plan ta ble C ard ia c D e v ic e E c o sy ste m
A rch ite ctu re and Im p lem en tation In terdep en d en cies. WhiteScope. (2 0 1 7 ).
17. Y . Jin, G . H ernand ez y D . B u e n tello: h ttp s://w w w .b la ck h a t.com /u s-1 4 /b riefm g s.h tm l# sm a rt-
n e s t-th erm osta t-a -sm a rt-sp y -in -you r-h om e (2 0 1 4 )
18.S trategic P rin cip le s fo r securing the Internet O f T h in g s (I o T ). U .S . D ep artm en t o f H o m e la n d
Security. V e r s io n 1.0. (1 5 -1 1 -2 0 1 6 ).
19. H . L . H u ansheng N in g : C y b e r -P h y s ic a l-S o c ia l B a se d S ecurity A rch itectu re fo r Future
Internet o f T hings. S cie n tific R e sea rch , (2 0 1 2 ).
2 0 . M ic r o s o ft.c o m . h ttp s://d o c s.m ic ro s o ft.co m /e s-e s /a z u r e /io t-su ite /io t-se c u r ity -a rc h ite c tu re .
(2 0 1 7 )
21. P riv a cy and S ecu rity in a C o n n e cte d L ife: A Study o f U S , E u rop ean an d Japanese
C on su m ers. P o n e m o n Institute L L C . (M a z o 2 0 1 5 ).