Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Facultad de Ingeniería
2019
Agradecimientos
Agradecemos a todos los docentes que estuvieron en nuestro proceso de aprendizaje, por los
conocimientos brindados, su orientación y paciencia.
A nuestro tutor Raúl Bareño por la asesoría brindada a nuestro proyecto, su apoyo, guía y aporte
durante la realización del mismo.
Damos gracias a nuestras familias, quienes nos apoyaron moral y motivacionalmente para
realizar esta especialización, por los valores inculcados y por su incondicionalidad.
A todas aquellas personas que de una u otra forma contribuyeron a nuestro crecimiento
profesional.
TABLA DE CONTENIDO
I. INTRODUCCIÓN ................................................................................................................................... 11
II. GENERALIDADES .................................................................................................................................. 12
III. OBJETIVOS ....................................................................................................................................... 14
IV. MARCOS DE REFERENCIA ................................................................................................................ 15
V. METODOLOGÍA .................................................................................................................................... 23
VI. PRODUCTOS A ENTREGAR ............................................................................................................... 26
VII. DESARROLLO DE LA INVESTIGACIÓN............................................................................................... 26
VIII. CONCLUSIÓN ................................................................................................................................... 83
IX. RECOMENDACIONES ....................................................................................................................... 85
REFERENCIAS ............................................................................................................................................... 86
LISTA DE TABLAS
El continuo avance tecnológico, y especialmente el de Internet de las cosas, el cual sin duda está
siendo tendencia a nivel mundial, ha llevado a buscar integrar de manera eficiente las industrias
con los progresos tecnológicos, y, aunque este desarrollo ha aportado de manera importante al
entorno empresarial, no sé ha priorizado la seguridad de la información que reposa o viaja por este
innovador medio, lo cual genera una brecha en cuanto a seguridad, pues los fabricantes se están
preocupando en ofrecer sus dispositivos y distribuirlos, sin garantizar la protección de la
información personal que está siendo usada por estos dispositivos, que además, contienen en su
estructura sensores y actuadores para su funcionamiento los cuales son necesarios para hablar de
estructuras IoT.
Con esta revisión se busca ofrecer una síntesis de información que permita visualizar de qué forma
se está aplicando la arquitectura ISO / IEC 30141: 2018 en el mundo, como se visualiza la
seguridad, que abarca, entender si esta se está aplicando actualmente en Colombia, de qué forma
se está aplicando, que investigaciones hay en curso, cuáles son sus retos y que se espera que pase
en ese campo tecnológico.
Como conclusión y resultado se puede decir que actualmente existen muchas soluciones que están
disponibles para los seres humanos, y otras que se encuentran en desarrollo; los múltiples
beneficios del uso de estos dispositivos junto con sus avances a pasos abocados hacen de esta
tecnología una presa fácil para los ciber delincuentes por lo cual el uso de protocolos y normas
ayudan cada vez más a tener una interacción más dinámica, amena, pero sobre todo segura al
momento de usar estos dispositivos ofreciendo así tranquilidad al momento de conectarlos a
internet.
El estándar ISO /IEC 30141 proporciona una arquitectura de referencia que además debe
complementarse con otros estándares internacionales para garantizar la protección de los datos, sin
embargo las industrias a nivel internacional no dimensionan la importancia de aplicar dichas
normas en sus organizaciones, lo que dificulta garantizar la seguridad en estos dispositivos; la tarea
de las organizaciones internacionales es evangelizar al mundo sobre la importancia de trabajar
todos sobre los mismos lineamientos, y proveer estándares compatibles para cualquier lugar del
mundo, proveedor o industria, de tal forma que en un futuro cercano todos apliquen los mismos
estándares a la hora de realizar implementaciones, diseños, monitoreo, o cualquier otra actividad
relacionada con IoT.
The continuous technological advance, and especially that of the Internet of things, which is
undoubtedly being a worldwide trend, has led to an efficient integration of industries with
technological advances, and, although this development has contributed in an important way To
the business environment, I do not know how to prioritize the security of the information that rests
or travels through this innovative medium, which creates a security breach, as manufacturers are
worrying about offering their devices and distributing them, without guaranteeing the protection
of the personal information that is being used by these devices, which also contain in their structure
sensors and actuators for their operation which are necessary to talk about IoT structures.
To ensure the security, integrity and availability of information, the international standardization
organization made the first publication of the standard that provides the IoT-oriented architecture,
however, according to the search performed, the existing IoT standards worldwide, even they are
not taken as a reference in the business environments of the country, which makes it difficult to
provide adequate information protection, and generates an important technological gap. This
Systematic review presents an analysis that seeks to deliver as a result data that is useful for all
those users, designers and developers who are interested in having more reliable, secure and
protected systems. The revised documentation does not exceed two years old, and is validated in
the Google Academic and Scopus search engines in order to guarantee a revision according to the
current time, so that the data presented does not generate inappropriate results or with little value
and according to technological advances. To carry out this validation, the Kitchenham
methodology was used, which is the most appropriate for systematic analyzes related to
technology.
This review seeks to provide a synthesis of information that allows us to visualize how the ISO /
IEC 30141: 2018 architecture is being applied in the world, how security is visualized, which
encompasses, to understand if it is currently being applied in Colombia, how it is being applied,
what research is ongoing, what its challenges are and what is expected to happen in that
technological field.
As a conclusion and result it can be said that there are currently many solutions that are available
to human beings, and others that are in development; The multiple benefits of using these devices
together with their advances at dedicated steps make this technology an easy prey for cyber
criminals, so the use of protocols and norms increasingly helps to have a more dynamic, enjoyable
interaction, but over all safe when using these devices thus offering peace of mind when connecting
to the internet.
The ISO / IEC 30141 standard provides a reference architecture that must also be complemented
with other international standards to guarantee data protection, however industries at international
level do not dimension the importance of applying these standards in their organizations, which
makes it difficult to guarantee security on these devices; The task of international organizations is
to evangelize the world about the importance of working all on the same guidelines, and provide
compatible standards for any place in the world, supplier or industry, so that in the near future
everyone will apply the same standards to the time to carry out implementations, designs,
monitoring, or any other activity related to IoT.
Gracias al interés de los entes internacionales, y los profesionales que resaltan la importancia de la
seguridad de la información en el internet de las cosas, en los últimos años ISO ha intentado
proponer formas de proteger los datos de los dispositivos IoT, puesto que en todos los contextos se
está hablando de IoT, y las entidades deben ponerse como objetivos generar confianza entre los
usuarios con el fin de obtener credibilidad en su entorno, pues este avance ya no corresponde a
algo que podría pasar en el futuro, sino a algo que está pasando en el ahora, y el hecho de no
mantenerse actualizado, podría significar desaparecer en el entorno empresarial.
El IoT se está usando en ámbitos laborales, fabricas, distribución de mercancía, comunicaciones,
hogar, entre otros, lo que demuestra que no está ligado a una industria específica, sino que es
relevante en cualquier medio.
De hecho, el primer dispositivo IoT usado en el mundo se relaciona con la industria bancaria, y se
enfoca en el primer cajero automático, el cual fue incorporado en 1974. [1]
En el año 2015, de acuerdo con las investigaciones realizadas por GARTNER, ya existían 5 mil
millones de dispositivos IoT, y se espera que para el 2020 existan aproximadamente 21 mil
millones de dispositivos IoT conectados a la red, y esto, excluyendo teléfonos inteligentes, tabletas
y PC, lo que revela la importancia de garantizar fenómeno la seguridad de estos dispositivos antes
de que esta tecnología sea algo incontrolable.
El estándar ISO/IEC 30141 es la primera arquitectura de referencia que tiene como objetivo
armonizar el mundo de IoT; su aplicación permite que IoT sea más efectivo, in interrumpible,
seguro y resistente, de tal forma que se maximicen los beneficios y se reduzcan los riesgos.
La necesidad de una revisión sistemática surge de la exigencia de los investigadores para resumir
toda la información existente sobre el del IoT, de manera exhaustiva e imparcial. Para seleccionar
la información a evaluar, se delimita el alcance con un filtro y selección de material de acuerdo a
IoT y seguridad de la información, a un término de 2 años, empleando la metodología de
Kitchenham que abarca tres fases importantes tales como la planificación de la revisión, la
conducta de la revisión y el reporte de la revisión, buscando interpretar los resultados de las fuentes
seleccionadas, con el fin de generar una síntesis respaldada y argumentada con fuentes confiables,
que sirva como base para futuras investigaciones.
II. GENERALIDADES
Línea de Investigación
El Internet de las cosas presenta varias inquietudes para los conocedores de tecnología en cuanto a
la privacidad y la seguridad de sus dispositivos, pues el crecimiento continuo de dispositivos
conectados a la red en las industrias y la tendencia a la automatización de espacios visualiza un
entorno inteligente, pero cuestiona la necesidad de una protección adecuada, no solo en el momento
de su uso, sino también en su diseño y fabricación.
Las contraseñas débiles, las redes o interfaces inseguras, los mecanismos de actualización,
insuficiencia de protección de la privacidad, almacenamiento inadecuando, o transferencia de
información sin ningún tipo de encriptación, falta de controles o configuraciones por defecto, son
algunos de las mayores falencias en cuanto a seguridad en estos dispositivos IoT, pues gracias a
ello se encuentran día a día más vulnerabilidades que podrían aprovecharse por ciber-delincuentes.
En el 2018 se conoció el caso en el consejo de CEO’s en Londres, de un casino que fue víctima de
un ciberataque pues fue aprovechada una vulnerabilidad de un termómetro inteligente de un acuario
ubicado en el lobby, logrando infiltrase en la red, y acceder a la base de datos del casino. Con este
ataque se robó información con nombres de apostadores, para posteriormente publicarla en la nube.
Otro importante caso se presentó en un banco cuando por medio de sus cámaras CCTV se atacó la
entidad. [2]
Estas fallas son por falta de precaución por parte de las entidades, al implementar dispositivos IoT
en su red, así como falta de control y legislación que permita u obligue a las entidades a contar con
medidas adecuadas a la hora de usar estos dispositivos. Si todas las organizaciones tuvieran en
cuenta y aplicaran el estándar ISO/IEC 30141 a la hora de implementar IoT, se garantizaría una
arquitectura más segura y resistente a ataques, puesto que el fin de esta norma es aportar un marco
de referencia que contenga vocabulario común, de tal forma que cualquier compañía pueda basarse
en este para adecuar su infraestructura garantizando un funcionamiento apropiado, mitigando de
esta manera todas las vulnerabilidades anteriormente mencionadas.
Pregunta de investigación
Para definir el alcance de este trabajo se proyectó como objetivo ejecutar una “Revisión sistemática
del estándar ISO / IEC 30141: 2018 como arquitectura de referencia para la seguridad en entornos
IoT para aportar al proceso de desarrollo e implementación de futuros sistemas proyectando a la
evolución de un mejor país usando este estándar se puede definir que en base a esto la pregunta de
investigación planteada es:
¿Cómo el internet de las cosas puede ofrecer seguridad de la información de los dispositivos,
aplicando el estándar ISO / IEC 30141: 2018?
Justificación
Esta investigación tiene como objetivo validar de que forma el Internet de las cosas ofrece
seguridad de la información de los dispositivos, usando o aplicando el estándar ISO 30141, para
mejorar el tratamiento de la información y su seguridad. Las continuas tecnologías son creadas
para ofrecer comodidad a la humanidad, pero en los últimos años se ha diseñado y estudiado
modelos los cuales sean capaces de ofrecer esa confiabilidad, integridad y disponibilidad de la
información de tal manera que pueda ser usada en cualquier momento y sin ningún tipo de
obstáculo, puesto que debido a los mecanismos que son poco confiables, causa que la cantidad de
información que es manejada por cada uno de las personas mediante estos dispositivos esté en
riesgos constantes de falsificación, robo, manipulación indebida entre otros.
El estándar ISO/IEC 30141, fue publicado en el 2018, como la primera arquitectura de referencia
para el mundo de IoT; desde entonces se estableció un centro de desarrollo para sectores de rápida
expansión, ya que además se observó la necesidad de estandarizar rápidamente esta tecnología pues
se presentaron ataques importantes que demostraron que era indispensable contar con normativas,
debido a que IoT se encuentra presente en sectores doméstico, industriales, sanitarios y agrícolas,
y es la simplicidad de estos dispositivos lo que genera tanto desafíos como oportunidades.
Esta revisión sistemática va dirigida a quienes deseen conocer, interactuar y enfocar por medio de
síntesis la seguridad del estándar ISO/IEC 30141, teniendo la oportunidad de ampliar el
entendimiento y adquirir modelos que pueden ser aplicados, para de esta forma hallar así el
mejoramiento continuo y la eficacia de los distintos procesos, garantizando respaldo y vigilancia
de la información, para finalmente tener un escudo el cual nos permita protegernos constantemente
de las amenazas y vulnerabilidades que a diario se presentan.
III. OBJETIVOS
Objetivo general
Analizar sistemáticamente el estándar ISO / IEC 30141: 2018 como arquitectura de referencia de
seguridad para IoT.
Objetivos específicos
Definir los criterios de inclusión y búsqueda de los estudios relacionados con el ISO / IEC
30141: 2018, Internet de las cosas (loT) - Arquitectura de referencia.
Realizar la extracción y análisis de los datos seleccionados.
Elaborar un documento de análisis e interpretación de los resultados encontrados.
IV. MARCOS DE REFERENCIA
Marco conceptual
Según la definición realizada por ISO /IEC, el internet de las cosas interconecta objetos, personas,
sistemas, recursos de información, y demás servicios inteligentes, por medio de una infraestructura,
que puede procesar la información del mundo físico y virtual, y así mismo puede reaccionar.
Como se visualiza en el diagrama de Gartner anterior, ilustración 1, el internet de las cosas se ubica
como un foco importante para el sector empresarial, en cuanto a avance tecnológico.
Las tecnologías emergentes deben ser contempladas en las empresas, de tal forma que fomente el
crecimiento de la compañía y que apoye los procesos internos de la misma. De las tecnologías IoT
se tiene gran expectativa, y se esperar integrar de forma exitosa esta tecnología con los sistemas y
datos de toda la parte empresarial.
Fuente: Autores
ISO realiza una definición grafica de un ecosistema IoT, en donde podemos validar todos los
componentes que hacen parte o están relacionados con los dispositivos IoT. Ver ilustración 3:
Ilustración 3 Ecosistema IoT
Fuente: ISO
Internet
Es una red que conecta otras redes y dispositivos para compartir información, por medio de
páginas, sitios o software. El internet permite almacenar en un mismo lugar información de todo
tipo y para cualquier público. [4]
ISO
Seguridad De La Información
El concepto de seguridad de información es un término que día a día se escucha más, esto se debe
a la cantidad de dispositivos que están conectados a internet los cuales tienen una exposición de
datos en la red, este consiste en la preservación de la confidencialidad, integridad y disponibilidad,
así como de todos los sistemas y dispositivos que estén dentro de una organización. [6]
Confidencialidad
Información que no debe revelarse ni ponerse a disposición de individuos, entidades o procesos no
autorizados. [6]
Integridad
Mantener con exactitud la misma información de cualquier persona, entidad o proceso, sin que se
vea corrompida o incompleta. [6]
Disponibilidad
Acceder y utilizar la información y los sistemas cuando sea requerido. [6]
Autenticación
Comprobación de identidad de una persona u objeto, y que permite denegar el acceso a personas
u aplicaciones que no se encuentren autorizados. [7]
Riesgo
La definición del riesgo se define como la combinación de la probabilidad de que se produzca un
evento y sus consecuencias negativas. Los factores que lo componen son la amenaza y la
vulnerabilidad. [8].
Marco teórico
Cobit
Cobit 5 provee un marco de trabajo para el desarrollo de los objetivos de las gestiones de TI,
seguridad riesgo y control. En este marco se ofrece seguridad de la información; a ello se le llama
dimensión de catalizador. la prioridad de cada meta se define de acuerdo a la empresa en la cual se
desea implementar el estándar. Cobit define que, dentro de las partes interesadas, se debe definir
un responsable de seguridad, y además dicha seguridad debe ir enfocada a las finanzas, a los
clientes y a la red interna. [9]
ISO /IEC 29161: Estructura de datos – Identificación única para internet de las
cosas
Esta norma se enfoca en un esquema de identificación único para IoT, y especifica las reglas
comunes para la identificación de los dispositivos y la validación de compatibilidad para
diferentes identidades. La identificación única es una construcción universal para cualquier
objeto físico, objeto virtual o persona, para esto se emplean “n” sistemas de información de
IoT. [5]
Foco Escenarios
Global IoT Seguridad de la red
La detección y gestión de amenazas de
seguridad IoT
Sistemas de bomba inteligente integrados
La detección y gestión de amenazas de
seguridad IoT
Infraestructura de transporte Analítica de carros
Casa Electrodomésticos inteligentes
seguros para el hogar inteligente
Aplicaciones para hogar
Edificios Automatización de perfiles
Gestión remota del equipo en una planta
Tiempo real de un motor
Monitoreo de producción de equipos
textiles
Oficinas Arrendamiento de maquina
Dispositivos para fabricas
Mercancías de almacén y monitoreo
Pesca Si sistema de gestión de energía y agua
Agricultura Cooperación entre fábricas y aplicaciones
Seguimiento de productos agrícolas
Forestal Gestión remota de invernadero agrícola
Cuerpo y salud personal Deterioro cognitivo
Monitoreo del sueño
Vigilancia de la salid remota
Gafas inteligentes
Ciudades inteligentes IoT sensores y actuadores: sistemas de
monitorización
Fuente: Autores
Proporciona términos y definiciones relacionados con el internet de las cosas. Esta ISO reúne las
definiciones de 53 términos que se encuentran relacionados con IoT. [5]
ISO / IEC 30141: 2018 Internet de las cosas (loT) - Arquitectura de referencia
La norma ISO/IEC 30141 sobre Internet de las Cosas (IoT) – Arquitectura de Referencia,
proporciona un vocabulario común para diseñar y desarrollar aplicaciones de Internet de las
Cosas. Con ello, se pretende reforzar la seguridad y la protección, permitiendo desplegar
sistemas fiables y respetuosos tanto con la privacidad de los usuarios, como con la necesidad
de afrontar un ciberataque. Cualquier sector empresarial que esté interesado en implementar
dispositivos IoT a su infraestructura, podría basarse en esta arquitectura de referencia, de modo
que garantice la seguridad de su red LAN. [3]
Esta norma está directamente ligada con el avance y la transformación digital, ofreciendo así
una guía de mejores prácticas en el sector a nivel internacional junto con el vocabulario común
y diseños reutilizables, es necesario decir que el camino a la excelencia es más práctico y
sencillo con la normatividad ISOTools. [3]
Como beneficios de el uso de este estandar pueden ser mencionados los siguientes: [11]
Además, proporciona una simbología y abreviaturas para algunos de los términos más usados y
relevantes en el mundo de IoT, así como las características de un sistema, servicio, componentes,
compatibilidad, usabilidad y seguridad.
Se proporciona una descripción de los roles relacionados con dispositivos IoT, en donde se
encuentran los proveedores, desarrolladores y usuarios.
A continuación, se representa el modelo general de los conceptos IoT, y de qué forma interactúan
entre sí, en donde se encuentran involucrados los usuarios, la red, los servicios y los
componentes. Ver ilustración 3.
Ilustración 3 Modelo General de conceptos IoT
Marco jurídico
En Colombia, actualmente existen algunas leyes que pueden ser aplicables a la presente
investigación, por ello se explican a continuación:
“por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la
información contenida en bases de datos personales, en especial la financiera, crediticia, comercial,
de servicios y la proveniente de terceros países y se dictan otras disposiciones.” [12]
“La protección de la información y de los datos” [13], en dicha ley se garantiza el castigo de todo
aquel que atente contra la disponibilidad, integridad y confidencialidad de la información. Lo cual
aplicaría a todo atentado que se realice a los dispositivos IoT contenidos en el sector salud.
Como se evidencia en el documento, si bien existen algunas leyes que podrían aportar al sector, al
día de hoy en Colombia no hay leyes que sean directamente aplicables a la telemedicina. La
constitución colombiana hoy en día tiene leyes aplicables a la seguridad informática, para eventos
como:
Derechos de autor
Propiedad industrial
Propiedad intelectual
Comercio electrónico y firmas digitales [12]
El internet de las cosas ha sido empleado en múltiples áreas tales como, hogar, salud, seguridad y
tecnología, pues se basa en la interconexión de objetos tecnológicos y aplicaciones que facilitan la
comunicación y permiten extraer y recolectar información, con el fin de que el sistema que
contenga dispositivos IoT explote su utilidad al máximo, pero es necesario que la información que
ingrese a estos dispositivos, no se vea corrompida ni alterada, puesto que esto puede afectar la
triada de información, causando que los datos que son ingresados estén en peligro de divulgación,
robo, alteración o cualquier otra mala intensión.
En algunos lugares del mundo ya están haciendo frente al problema de la inseguridad de la
información, pues por ejemplo California, en Estados Unidos, ha sido aprobada una ley que
empezará a regir desde el 2020, en el cual exige que todos los dispositivos inteligentes
comercializados deberán tener una configurados con contraseñas únicas. Esta medida evitaría el
uso de claves por defecto. [14]
En la actualidad es necesario que la tecnología avance con las necesidades del ser humano, esto
con el fin de garantizar una vida más útil, sencilla, cómoda y segura. Cuando se habla de seguridad
es indispensable que la información de cada persona esté protegida por estándares y leyes que
garanticen el activo más importante para la humanidad, su información, por esta razón este
proyecto busca la revisión sistemática del estándar 30141 basados en los principios de la seguridad
de la información.
V. METODOLOGÍA
Con el fin de lograr un resultado adecuado, se usó la metodología de bárbara Kitchenham, la cual
se enfoca en las revisiones sistemáticas, permitiendo evaluar e interpretar la investigación
realizada, de forma razonable, mediante un método fiable, riguroso y auditable. De este modo se
obtuvo un resumen de evidencia existente, los beneficios y las limitaciones de acuerdo a la ISO /
IEC 30141. Adicional, se identificaron los vacíos existentes en cuanto a la seguridad de los
dispositivos IoT. [15] De acuerdo a ello, se definen las etapas para el éxito de la revisión
sistemática:
Para la presente revisión se cuenta con las siguientes etapas. Ver tabla 2:
Etapas Características
1. Recolección de información Se procede a identificar el rumbo de la
investigación, así como los posibles filtros.
2. Identificación de la investigación Encontrar el mayor número de estudios
relacionados con la pregunta de investigación
Generar una estrategia de búsqueda, las cuales
son iterativas
Documentación de la búsqueda: Bases de
datos, manuales, revistas, actas, estudios no
publicados, entre otros.
3. Selección de los estudios primarios Una vez se cuenta con los estudios, se
categoriza con respecto a su importancia
Contar con criterios de selección que
proporcionen evidencia directa
Proceso de selección de acuerdos a los
resúmenes y los estudios identificados.
4. evaluación de la calidad del estudio Validar la interpretación de los resultados para
guiar las recomendaciones de futuras
investigaciones
Tener en cuenta la jerarquía de la evidencia
para categorizar adecuadamente la información
relevante.
5. La extracción de datos y Registrar con precisión la información de
monitorización acuerdo a los estudios realizados y generar
formularios de extracción de datos
Evitar o reducir la duplicación de datos
6. . Síntesis de los datos. Realizar conclusiones y resumir resultados
realizando el debido análisis
7. Resultados Validación de hallazgos y síntesis final.
Fuente: Autores
Alcances y limitaciones
Alcance
Limitaciones
Fuente: Autores
Al incluir el motor de búsqueda IEEE, No se encontró información del estándar ISO /IEC 30141.
Se realizó la última búsqueda el día 7 de octubre de 2019, como se evidencia en las ilustraciones,
con varios criterios de inclusión, pero las búsquedas o fueron exitosas, ver ilustración 5:
Fuente: Autores
Por lo anterior, se procedió a incluir otros buscadores de apoyo, los cuales están certificados
como fuentes y han sido usados en varias investigaciones.
Como resultado final del estudio planeado se entregó el análisis sistemático donde se expresa de
qué forma garantizar la seguridad de la información en los dispositivos IoT; adicional a ello, se
entrega un artículo en el cual se expone las conclusiones y síntesis importantes del documento.
Para realizar los filtros se definen criterios de palabras claves referentes ver tabla 3 que son
pertinentes para el enfoque de la investigación, las cuales son las siguientes:
Tabla 3 Palabras Claves
Primera Fase
Para ejecutar el presente proyecto de grado se realizó la búsqueda de información en dos motores
de búsqueda, los cuales han sido reconocidos como buscadores legítimos para poder ampliar el
conocimiento para todas las partes interesadas sobre el estándar ISO 30141, el cual está siendo
abordado; esta indagación se realizó con el mismo string de búsqueda. Las plataformas fueron
Google académico y Scopus y se usó la cadena de búsqueda” IoT AND ISO / IEC 30141 AND
SECURITY”.
Segunda Fase
En siguiente etapa se procede a seleccionar los estudios primarios los cuales fueron categorizados
por su importancia, donde se seleccionaron de acuerdo con la proporción de los resúmenes y
estudios científicos encontrados y siendo acotados por el ítem de “ISO 30141, Security”. Después
de la búsqueda en cada base de datos con el segundo filtro estipulado, se obtiene como resultado
los presentados en la ilustración a continuación generada.
En todos los casos se aplicó un intervalo entre los años 2018 al 2019 para la búsqueda de
documentos.
Fuente: Autores
Como se puede evidenciar en la ilustración 6 se procede a exportar la base de datos en formato RIS
o RefMan, ver ilustración 7:
Fuente: Autores
Para realizar la búsqueda de Scopus se obtuvieron 3 resultados con la cadena de búsqueda” IoT
AND ISO / IEC 30141 AND SECURITY”, ver ilustración 8:
Ilustración 8 Resultados Motor de búsqueda Scopus
Fuente: Autores
Como se puede evidenciar, se procedió a exportar la base de datos en formato RIS para
posteriormente analizar las bases de datos. Ver ilustración 9:
Ilustración 9 Exportación Base de datos
Fuente: Autores
Fuente: Autores
Criterios de inclusión
Documento publicado entre el 2018 y el 2019
Documento contiene todas las palabras claves, en resumen
Documento contiene palabras claves en el titulo
Documentos en español o inglés
Contiene palabras claves en propuesta o conclusión
Criterios de exclusión
Idioma diferente a español o ingles
Documentos duplicados
Documentos publicados antes del 2018
No contiene palabras claves en propuesta o conclusión
Documento no contiene todas las palabras claves, en resumen
Documento no contiene palabras claves en el titulo
Haciendo uso de la herramienta Start, (ver ilustración 11) la cual tiene como propósito
realizar minería de datos, se procede a iniciar la revisión sistemática de los documentos
extraídos de las bases de datos objetivo. Dichos documentos se relacionan en el anexo 1.
Ilustración 11 Logo aplicación Start Lapes
Fuente: Autores
Se procedió a la creación del proyecto, relacionando nombre, palabras claves y descripción del
proyecto, ver ilustración 12;
Ilustración 12 Creación de nuevo proyecto en Start
Fuente: Autores
Fuente: Autores
Se realizó la importación de las bases de datos consultadas, con el fin de posteriormente realizar el
análisis de los datos. Se descargan las bases de datos en formato RIS y se procede a cargarlas en
START, ver ilustración 14:
Ilustración 14 Extracción de documentos
Fuente: Autores
Seguidamente, se valida la distribución de los documentos con respecto a las bases de datos
objetivos, ver ilustración 15:
Ilustración 15 Distribución de información de las bases de datos.
Fuente: Autores
Fuente: Autores
A continuación, como paso a seguir se seleccionó archivo por archivo para determinar que
relevancia tiene para la investigación, así como asignarle una prioridad dependiendo de la utilidad
de los documentos para de esta forma asignarle los criterios, este fue el primer filtro llamado
Selección en la sección de identificación de estudios, ver ilustración 16;
Ilustración 16 Formato de un archivo en Start.
Fuente: Autores
Según los criterios seleccionados, se validó cada documento con el fin de descartar o aceptar los
artículos, asignando de este modo los criterios aplicables a cada documento; ver ilustración 17.
Ilustración 17 Criterios de inclusión
Fuente: Autores
Realizado el primer filtro de selección se obtuvo un resultado de 21 documentos que aplicaron para abordar
el tema de esta investigación, en la siguiente ilustración se muestra el detalle de los resultados: ver
ilustración 18
Ilustración 18 Status de documentos
Fuente: Autores
Posteriormente se validan los criterios de extracción, en los cuales se valida que la introducción y la
conclusión de cada artículo tenga relación con la investigación objetivo, ver ilustración 19;
Ilustración 19 Data Seleccionada
Fuente: Autores
Fuente: Autores
Ilustración 21 Documentos aceptados y rechazados
Fuente: Autores
Finalmente, se validó de acuerdo con los criterios de inclusión y exclusión, cuantos documentos
aplicaron a cada segmento o criterio ver ilustración 22:
Fuente: Autores
Finalmente, se obtuvo el resultado de los documentos objetivo, para proceder a leerlos a detalle, y concluir
los datos más relevantes y aplicables al objetivo del proyecto. A continuación, se relaciona el detalle de
los resultados obtenidos. Ver tabla 5:
Fuente: Autores
La presente Investigación sirvió como base para generar el análisis de los resultados del uso del
estándar ISO / IEC 30141, haciendo uso de la herramienta Start, ya que es muy útil para poder
filtrar y seleccionar información de relevancia y calidad con la finalidad de poder resolver la
pregunta de la tesis de investigación.
Extracción de la información
Después de aplicar los criterios de selección se obtienen 16 artículos, de los cuales se selecciona la
información más relevante y es relacionada en las siguientes tablas correspondientes a los ID 1-16
exponiendo la información extraída de cada documento seleccionado.
Resultados.
Para continuar con el desarrollo de la tesis se procedió a validar los resultados en donde se sintetizo,
evaluó y estudió los posibles escenarios en donde se podría evidenciar de que forma el estándar
ISO/IEC 30141 Arquitectura de referencia de internet de las cosas, puede ofrecer seguridad de la
información a los dispositivos.
EXTRACCIÓN DE LA INFORMACIÓN
La siguiente síntesis se realizó después de un filtro realizado a 46 documentos en donde se aplicaron
criterios de inclusión y exclusión de los cuales se seleccionaron 21 en la sección de selección, luego
un segundo filtro de estos documentos preseleccionados en el área de extracción donde se
escogieron 16 con el fin de, seleccionar material de calidad y que cumpliera requisitos para
brindarle apoyo y calidad de información a esta tesis.
A continuación, relacionamos los paper los cuales a manera de síntesis fueron presentados de la
siguiente manera para ver las características de cada uno:
Tabla 7 Resultados artículo 1
Url https://fardapaper.ir/mohavaha/uploads/2019/08/Fardapaper-Toward-the-
automation-of-threat-modeling-and-risk-assessment-in-IoT-systems.pdf
Estados
Status/Selection Accepted Status/extraction Accepted
Type book Reading Priority High
Métodos de inclusión
(I)Document Y (I)Documento Y (I)Documento Y (I)Document Y
o publicado contiene contiene os en español
entre el 2018 todas las palabras claves o inglés
y el 2019 palabras en el titulo
claves, en
resumen
(I)Contiene palabras claves en propuesta o conclusión Y
Métodos de exclusión
(E)Idioma N (E)Document N (E)Documentos N (E)No N
diferente a os duplicados publicados contiene
español o antes del 2018 palabras
ingles claves en
propuesta o
conclusión
(E)Documento no N (E)Documento no N
contiene todas las contiene palabras
palabras claves, en claves en el titulo
resumen
Cualidad del documento
Exploración N Exploración Y Soluciones N Solución a la N
de de riesgos de Home e tesis
arquitectura seguridad en industriales
s de IoT
referencia
Fuente: Autores
Fuente: Autores
Fuente: Autores
Fuente: Autores
Fuente: Autores
Tabla 19 Resultados artículo 15
Fuente: Autores
Estos documentos corresponden únicamente a los años 2018 y 2019 ya que este estándar es
relativamente nuevo, por lo cual no cuenta con documentación de años anteriores, y, de
hecho, la documentación actual es muy escasa.
Fuente: Autores
Fuente: Autores
Para analizar los documentos que fueron extraídos para el presente trabajo de grado, se procedió a
crear el proyecto en el software; ver ilustración 26:
Fuente: Autores
Se debe indicar que el análisis se realizó en importantes bases de datos bibliográficas en formato
RIS, ver ilustración 27;
Ilustración 27 Selección de formato para importar BD
Fuente: Autores
Fuente: Autores
Fuente: Autores
En las siguientes ilustraciones (30-35) se validan las relaciones en los puntos focos y la
centralización de la información extraída, según los documentos validados, se relacionó las
ocurrencias entre temas y su vinculación:
Fuente: Autores
Fuente: Autores
Se valida la relación entre sistemas desarrollados IoT en casas, ver ilustración 32;
Fuente: Autores
Se validan los documentos relacionados conforme a las arquitecturas de referencia, ver ilustración
33;
Ilustración 33 Focalización Arquitecturas de referencia
Fuente: Autores
Fuente: Autores
Fuente: Autores
Discusión
Fuente: Springer
De acuerdo con esto, se puede observar que ISO tiene desarrollada una excelente arquitectura de
referencia para temas relacionados con el vocabulario en IoT, sin embargo, aún le falta profundizar
en los demás inconvenientes, pues a pesar de que, si se están haciendo desarrollos relacionados con
estas problemáticas, aún no cuenta con arquitecturas de alto nivel que contengan la mejor
arquitectura para interoperabilidad, conectividad, seguridad, privacidad, entre otros.
En temas de seguridad, las organizaciones que cuentan con mejor avance son ITU-T y OASIS, por
lo cual, si una empresa quiere obtener los mejores resultados, podría basarse en varios de estos
estándares y aprovechar las técnicas que tengan un mejor desarrollo, para de este modo aprovechar
los beneficios de cada arquitectura.
Desarrollo de la propuesta
El contenido de este trabajo de grado fue la revisión sistemática del estándar ISO / IEC 30141 IoT
Arquitectura de referencia enfocado a la seguridad, el cual se planteó teniendo en cuenta todos los
aspectos de la investigación mencionados anteriormente.
Se realizó este enfoque debido a la necesidad mundial de mantener una privacidad adecuada sobre
los dispositivos IoT que los seres humanos usan en el día a día. Al revisar cada documento, se
evidencia que avances están realizando a nivel mundial para garantizar una arquitectura estándar
para todas las industrias, hogares o personas, de qué forma se encuentran desarrollando nuevos
procesos en otros países, que aportes se encuentran realizando y qué se espera tener a futuro, de tal
forma que se aporte desde el ámbito académico como se podría complementar el estándar ISO /
IEC 30141, con otros estándares para garantizar la seguridad de los dispositivos, que satisfagan la
necesidad de los usuarios.
En este proceso se recurrió a los protocolos de Bárbara Kitchenham, para realizar la revisión
sistemática, ya que es el método más adecuado para realizar análisis de carácter tecnológico y de
ingeniería; además de esto cuenta con un proceso formal claramente establecido, el cual permite
un proceso de revisión claro.
Los ciber delincuentes aprovechan la escasa seguridad de los productos IoT que se encuentran en
el mercado, para sacar provecho de estos dispositivos, lo que hace necesario contar con protocolos
de seguridad, por ello, tener claridad sobre el ciclo de vida de los dispositivos IoT es indispensable,
de acuerdo a las etapas de desarrollo, producción, despliegue, utilización, apoyo y retiro.
La arquitectura de referencia es el punto de partida para establecer una base y preparar las industrias
o hogares para futuros desarrollos, y además nos permite interactuar con los dispositivos IoT.
Se proponen algunas condiciones mínimas para la protección de los dispositivos IoT:
Gestión de contraseñas
Autenticación
Controles de acceso
Administración de parches
Las actualizaciones de software
Registro de auditoria
El cifrado de datos en tránsito
Desactivación remota
Arranque Seguro
Identidad de
El cifrado de datos almacenados
Generación de la firma digital y Validación
Alerta de monitoreo
Cómo ISO / IEC 30141: 2018 puede ofrecer seguridad de la información de los
dispositivos IoT?
Al proporcionar un vocabulario común, una simbología estándar, una caracterización de su
sistema IoT, relacionando sus funciones, se puede implementar sistemas IoT de acuerdo a
los servicios requeridos, además de que facilita diseñar y desarrollar aplicaciones para
internet de las cosas.
Este estándar ofrece reforzar todas las características importantes de IoT, permitiendo un
despliegue de sistemas viables, confiables y respetuosos para dos ítems importantes,
primero la privacidad y adicionalmente, ser más robusto al momento de enfrentar un
ciberataque. Ver tabla 22:
Tabla 22 Características de un sistema IoT
Ciberseguridad
Inteligencia artificial
Integrar la seguridad en máquinas antiguas
El factor económico
Interoperabilidad
Estandarización mundial
Debido a que el Estándar ISO 30141 fue publicado hace poco tiempo, la información
que se puede extraer de las bases de datos es limitada por tanto al momento de
exportar los datos no se contó con abundante material.
Debido a los problemas de seguridad que se han venido presentando en los
dispositivos IoT, se hace necesario la implementación de normas y estándares que
apoyen a estos dispositivos y su infraestructura, por eso el estándar ISO 30141, es
una excelente normativa que genera practicas debidas y correctas al momento de
tener dispositivos IoT.
A pesar que actualmente existen estándares, estos, son a nivel muy general. Lo que
puede generar brechas de seguridad en el software y hardware por esto se hace
indispensable recopilar nuevas y mejores prácticas, debido a esto, el estándar ISO
30141:2018 puede ser de gran utilidad en Colombia ofreciendo novedad, pero sobre
todo seguridad a los usuarios de esta tecnología emergente.
Los ataques y las vulnerabilidades crecen con el avanzar del tiempo, sin embargo,
es importante que los proveedores y fabricantes de los dispositivos encuentren
adecuadas y compatibles soluciones para contar con las configuraciones adecuadas
y un correcto funcionamiento.
Debido a que el Internet de las cosas IoT ha tenido un crecimiento colosal, varios
estados, países y uniones están trabajando en promover el desarrollo, apoyándose
en la creación de normas internacionales de arquitectura IoT.
Muchas soluciones pueden estar disponibles y en desarrollo, los múltiples
beneficios del uso de estos dispositivos junto con sus avances a pasos abocados
hacen de esta tecnología una presa fácil para los ciber delincuentes por lo cual el
uso de protocolos y normas ayudan cada vez más a tener una interacción más
dinámica, amena, pero sobre todo segura al momento de usar estos dispositivos
ofreciendo así tranquilidad al momento de conectarlos a internet porque de esta
manera nuestros datos están en la nube pero son monitoreados.
Es necesario trabajar en conjunto la arquitectura de referencia ISO / IEC 30141, con
estándares de vocabulario y seguridad para garantizar un mejor funcionamiento en
los ecosistemas IoT.
Es importante que los proveedores de lSO dispositivos estandaricen sus protocolos
y normatividad, con el fin de garantizar la interoperabilidad entre diferentes marcas.
Es necesario fomentar el uso de estándares internacionales para dispositivos IoT en
las compañías que contengan estos ecosistemas en sus redes.
Se requiere un desarrollo más profundo por parte de la organización ISO, que
abarque todas las necesidades de los dispositivos IoT.
Si todas las organizaciones que ya tienen normas desarrolladas realizan una mesa
de trabajo para compartir sus ideas y conocimientos, se podría desarrollar normas
más enfocadas y profundas, acorde a la necesidad actual.
Garantizar la escalabilidad en los ecosistemas IoT es fundamental.
Los proveedores deben comprometerse a no solo enfocarse en desarrollar
dispositivos económicos, sino también desarrollar dispositivos con capacidad de
procesamiento y software adecuados, entre otras características esenciales, que
permitan generar protocolos de protección más adecuados, dependiendo de la
industria en la cual esté implementado el dispositivo, ya que las necesidades de cada
industria son diferentes.
No se debe priorizar únicamente el costo de los equipos sino también su estructura
eficiente e interoperable, con acceso a configuración de seguridad adecuada.
El aporte de todos los países que cuenten con ejemplos y resultados de tecnologías
ya implementadas es fundamental para el éxito de futuros proyectos.
Es notable que actualmente las compañías no se basan en estándares internacionales
a la hora de implementar ecosistemas IoT, lo que genera vulnerabilidades en la
seguridad; se debe trabajar en fomentar su uso.
La metodología para la revisión sistemática usada en esta tesis permite ordenar la
información de estudios actuales para obtener información relevante y dar solución
a la tesis planteada.
IX. RECOMENDACIONES
[8] N. Unidas, «Estrategia Internacional para la reduccion de desastres,» 2009. [En línea].
Available: https://www.unisdr.org/files/7817_UNISDRTerminologySpanish.pdf. [Último
acceso: 18 09 2019].
[11] M. BARCHILÓN, «Internet de las cosas: cuando todo está conectado,» 01 03 2019. [En
línea]. Available: https://www.lavanguardia.com/vida/junior-
report/20190301/46752655177/internet-cosas-dispositivos-conectados-iot.html.
[12] CONGRESO DE LA REPÚBLICA, «Secretaría del senado,» 18 Octubre 2012. [En línea].
Available: http://www.secretariasenado.gov.co. [Último acceso: 25 Septiembre 2019].
[13] Congreso de la republica, «Secretaría del Senado,» 5 Enero 2009. [En línea]. Available:
http://www.secretariasenado.gov.co/senado/basedoc/ley_1273_2009.html. [Último
acceso: 1 Octubre 2019].
[18] H. Packard, «Internet of THings research study,» 2014. [En línea]. Available: https://d-
russia.ru/wp-content/uploads/2015/10/4AA5-4759ENW.pdf. [Último acceso: 18 09 2019].
[21] D. Evans, «Cisco Internet Business Solutions Group (IBSG),» 04 2011. [En línea]. Available:
https://www.cisco.com/c/dam/global/es_mx/solutions/executive/assets/pdf/internet-of-
things-iot-ibsg.pdf. [Último acceso: 16 09 2019].
[22] S. W. A. J. E. Pecero, «Springer,» LNCS, volumen 11803, 25 Septiembre 2019. [En línea].
Available: https://link.springer.com/chapter/10.1007/978-3-030-31831-4_36. [Último
acceso: 23 Octubre 2019].
ANEXOS
A continuación, se relaciona el total de los documentos tenidos en cuenta para la presente
investigación:
ítem titulo Autores año
1 airborne wireless Gao, Shang; Dai, 2018
sensor networks for Xuewu; Hang, Yu;
airplane monitoring Guo, Yuyan; Ji, Qian
system
2 aniot platform for Ibaseta, Daniel; 2019
indoor air quality Molleda, Julio; Daez,
monitoring using the Fidel; Granda, Juan C
web of things
3 arquitectura Valencia Saldarriaga, 2019
tecnológica de Orlando
automatización para
la supervisión,
control y medida de
nuevos negocios en
los mercados de
ciudades, empresas y
hogares de celsia
4 aspects of body GuacRineau, 2019
metrics data Benjamin-Julia;
management in the Samir, Kousay;
long term for the Richrath, Marvin;
European fitness Paetzold, Kristin;
industry Montero, Joaquin
5 a survey: internet of Di Martino, 2018
things references Beniamino; Rak,
architectures, security Massimiliano; Ficco,
and interoperability Massimo; Esposito,
Antonio; Maisto, Sa;
Nacchiaa, S
6 a survey of internet of Al-Gumaei, Khaled; 2018
things and big data Schuba, Kornelia;
integrated solutions Friesen, Andrej;
for industries 4.0 Heymann, Sascha;
Pieper, Carsten;
Pethig, Florian;
Schriegel, Sebastian
7 a survey on the Li, Yong; Guo, Yipei; 2018
development and Chen, Shuyi
challenges of the
internet of things
(IoT) in china
8 automated risk Rak, Massimiliano; 2018
analysis for IoT Casola, Valentina; De
systems Benedictis,
Alessandra; Villano,
Umberto
9 concept and Trunzer, Emanuel; 2018
implementation of a LaTzerich, Simon;
software architecture Vogel-Heuser, Birgit
for unifying data
transfer in automated
production systems
10 control as a service Lyu, Minhu; 2019
architecture to Biennier, Frederique;
support cloud-based Ghodous, Parisa
and event-driven
control application
development
11 cyber security of Ghirardello, K; 2018
smart homes: Maple, C; Ng, D;
development of a Kearney, P
reference architecture
for attack surface
analysis
12 data analysis from an Nassif, Georges 2018
internet of things
system in a gas
station convenience
store
13 efforts towards IoT Wagle, Shyam; 2019
technical Pecero, Johnatan E
standardization
14 energy efficiency for Lutui, Paula 2018
IoT devices in home Raymond; Cusack,
environments Brian; Maeakafa,
George
15 eramis: a reference Kearney, Paul; Asal, 2019
architecture-based Rasool
methodology for IoT
systems
16 FM services Talamo, Cinzia; Atta, 2019
procurement and Nazly
management:
scenarios of
innovation
17 industrial internet of Meyer, Olga; 2018
things: covering Rauhoeft, Greg;
standardization gaps Schel, Daniel; Stock,
for the next Daniel
generation of
reconfigurable
production systems
18 international Vidas-Bubanja, 2019
standards: an Marijana; Bogetia,
important component Sraan; Bubanja, Iva
of a successful digital
transformation of the
national economy
19 internet of Things Casola, Valentina; De 2019
Benedictis,
Alessandra; Rak,
Massimiliano;
Villano, Umberto
20 internet of things: Ande, Ruth; Adebisi, 2019
evolution and Bamidele;
technologies from a Hammoudeh,
security perspective Mohammad; Saleem,
Jibran
21 internet of things Di Martino, B; Rak, 2018
references M; Ficco, M;
architectures, security Esposito, A; Maisto,
and interoperability: a Sa; Nacchia, S
survey
22 método para la Montoya Ponce, 2019
preservación de la Rafael José
privacidad en
dispositivos IoT
vestibles extendiendo
la seguridad usando
fog computing
23 multiagent-based Suganuma, Takuo; 2018
flexible edge Oide, Takuma;
computing Kitagami, Shinji;
architecture for IoT Sugawara, Kenji;
Shiratori, Norio
24 new siem system for Miloslavskaya, 2019
the internet of things Natalia; Tolstoy,
Alexander
25 of cyber-knowledge Sikos, Leslie F 2018
26 owl ontologies in Sikos, Leslie F 2019
cybersecurity:
conceptual modeling
of cyber-knowledge
27 realizing the wireless Kogias, Dimitrios G; 2018
technology in internet Michailidis,
of things (IoT) Emmanouel T; Tuna,
Gurkan; Gungor,
Vehbi Cagri
28 reference Acenal, Perin 2018
architectures and
standards for the
internet of things and
big data in smart
manufacturing
29 reference Moghaddam, 2018
architectures for Mohsen; Cadavid,
smart manufacturing: Marissa N; Kenley, C
a critical review Robert; Deshmukh,
Abhijit V
30 sat-IoT: an Peña, Miguel Angel 2019
architectural model LaPez; Fernandez,
for a high- Isabel Muñoz
performance
fog/edge/cloud IoT
platform
31 scalable analytics Al-Gumaei, Khaled; 2018
platform for machine Maller, Arthur;
learning in smart Weskamp, Jan
production systems Nicolas; Santo
Longo, Claudio;
Pethig, Florian;
Windmann, Stefan
32 sees: a scalable and Abdul-Qawy, Antar 2019
energy-efficient Shaddad H;
scheme for green Srinivasulu, T
IoT-based
heterogeneous
wireless nodes
33 seguridad en los Miano Carmona, 2019
ecosistemas IoT Pablo A
34 smart port: design Douaioui, Kaoutar; 2018
and perspectives Fri, Mouhsene;
Mabrouki, Charif
35 standardization issues Miloslavskaya, 2019
for the internet of Natalia; Nikiforov,
things Andrey; Plaksiy,
Kirill; Tolstoy,
Alexander
36 study of low-cost IoT Rahmadiansah, Andi; 2019
application for Utama, Sasangka
industry 4.0 using Wira; Wirayusa
nodemcu esp8266
module
37 the challenges of Crelier, Alice 2019
scaling the internet of
things
38 the internet of things Trachtman, Joel P 2019
cybersecurity
challenge to trade and
investment: trust and
verify?
39 themis: a tool for Fernandez-Izquierdo, 2018
validating ontologies Alba; Garcia-Castro,
through requirements Raal
40 towards a Buenabad-Chavez, 2018
methodology for Jorge; Kecskemeti,
rami4. 0 Service Gabor; Tountopoulos,
design Vasilios; Kavakli,
Evangelia;
Sakellariou, Rizos
41 towards mapping the Omitola, Tope; Wills, 2018
security challenges of Gary
the internet of things
(IoT) supply chain
42 toward the Casola, Valentina; De 2019
automation of threat Benedictis,
modeling and risk Alessandra; Rak,
assessment in IoT Massimiliano;
systems Villano, Umberto
43 wearables, smart Dominique, Paret; 2018
textiles & smart Crego, Pierre
apparel