A la hora de hablar de Internet de las cosas no solo tratamos temas tecnológicos: ¿Cómo funcionan? ¿Cuáles son los componentes? ¿Y los modelos de comunicación entre dispositivos? sino que tenemos la oportunidad de ampliar miras y responder a cuestiones de fondo como; ?qué vulnerabilidades existen?, ¿Cuáles son sus peligrosidades?, etc.
Desde Derecho de la Red vamos a plantear un artículo que responda, desde el punto de vista de la prevención criminológica, al riesgo al que se exponen los usuarios a la hora de utilizar estos dispositivos, del mismo modo propondremos posible soluciones para minimizarlo.
MAPA DE RIESGO
En primer lugar voy a mostraros un mapa de riesgo desde el punto de vista de la política criminal y la criminología. Los mapas de riesgos consisten en redactar todos los delitos que pueden ocurrir en un entorno, en este caso en el ámbito del IoT. Una vez redactados todos los hechos ilícitos, se evaluará la probabilidad y el impacto de que estos ocurran, de este modo se pretende inferir el riesgo de cada delito.
El objetivo de saber el riesgo es poder aplicarle las soluciones pertinentes, es decir, se hallarán delitos de riesgo bajo, medio y alto por lo que los profesionales deberán centrarse con más urgencia y con unas medidas más restrictivas en aquellos delitos cuyo riesgo es alto, mientras que pueden ocuparse de los delitos de riesgo medio o bajo en un plazo mayor de tiempo y con unas medidas menos restrictivas.
Para llevar a cabo la ecuación del riesgo se va a utilizar la siguiente fórmula (probabilidad x impacto = riesgo), para ello se analizará según los parámetros que se muestran a continuación:
- Probabilidad: se trata de valorar numéricamente las posibilidades de que ocurra cada delito descrito. Los valores que vamos a utilizar son: 1 (muy poco probable), 2 (poco probable), 3 (probable), 4 (muy probable).
- Impacto: consiste en valorar la huella que deja el delito en la sociedad, se valorará de la siguiente manera: 5 (impacto bajo), 10 (impacto medio), 15 (impacto alto), 20 (impacto muy alto).
¿Cómo se valora cada ítem?
Para poder llevar a cabo la numeración de ellos no se utiliza ningún tipo de teoría o técnica, sino que se hará según el criterio del criminólogo que esté realizando el plan de prevención. Por lo que estamos ante un aspecto subjetivo pero que debemos de tener en cuenta ya que se realizaría desde la pericia profesional.
DELITOS EN IoT
En la siguiente tabla se muestra una relación de delitos, según mi propio criterio criminológico, tienen una relación directa con el Internet of things. En la columna primera se muestran dichos delitos, extraídos del código penal, en la columna de al lado se muestra la ecuación:
De este modo se pretende extraer el riesgo que puede tener cada delito y posteriormente aplicarle la solución adecuada en el plazo temporal preciso.
Tabla 1 delitos en IoT
| DELITOS | RIESGO |
| 1. D. DAÑOS. | 2 x 15 = 30 |
| 2. HACKING: | |
| 2.1 ACCESO NO AUTORIZADO. | 4 x 15 = 60 |
| 2.2 DOS-DDOS | 2 x 15 = 30 |
| 2.3 MALWARE | 2 x 10 = 20 |
| 3. D. VULNERACIÓN DE DERECHOS FUNDAMENTALES: | |
| 3.1 CONTRA LA PROTECCIÓN DE DATOS. | 4 x 20 = 80 |
| 3.2 CONTRA LA INVIOLABILIDAD DEL DOMICILIO | 1 x 15 = 15 |
| 3.3 CONTRA LA INTIMIDAD. | 4 x 20 = 80 |
| 4. D. CONTRA LA INDEMNIDAD SEXUAL: | |
| 4.1 CIBERACOSO SEXUAL. | 3 x 15 = 45 |
| 4.2 PORNOGRAFÍA (ADULTOS E INFANTIL) | 3 x 20 = 60 |
| 5. CIBEREXTORSIÓN. | 2 x 15 = 30 |
| 6. CIBERACOSO. | 3 x 15 = 45 |
| 7. ENVÍO MASIVO DE PUBLICIDAD. | 2 x 5 = 10 |
| 8. SUPLANTACIÓN DE LA IDENTIDAD. | 2 x 15 = 30 |
| 9. AMENAZAS. | 1 x 10 = 10 |
| 10. ESPIONAJE INFORMÁTICO. | 3 x 20 = 60 |
REPRESENTACIÓN GRÁFICA DEL MAPA DE RIESGO.
El siguiente mapa se muestra la representación gráfica de los datos obtenidos de la tabla anterior, donde se puede observar: a la izquierda, los valores que resumen el impacto y en la parte inferior los correspondientes la probabilidad.
En el interior del cuadro se presenta un gradiente de 3 colores: verde (para los casos con menor probabilidad y que a pesar de que pudiera tener un impacto alto no es significativo), amarillo (para los valores medios tanto de impacto como probabilidad, es decir valores que comienzan a ser significativos), rojo (referente a aquellos valores que tienen una alta probabilidad y un fuerte impacto, siendo por tanto los más significativos). Esta técnica se conoce en criminología como “el método del semáforo”.
En la gráfica, los delitos analizados en la tabla del punto anterior, están etiquetados mediante un círculo azul y el número al que se refiere cada ilícito en dicha tabla.
Tabla 2. Mapa de riesgos.
Tal y como muestra el mapa no todos los delitos tienen el mismo riesgo de aparición ni tampoco de peligrosidad. De cara a implantar unas medidas de seguridad pertinentes, es necesario redactar desde los delitos con mayor riesgo de perpetración hasta los que menor riesgo tiene de esta.
En la siguiente tabla se resumen los hechos ilícitos según lo expresado en el mapa, están expresados según un gradiente de colores que indican el riesgo, de forma escalonada, de cada uno de ellos.
Tabla 3 Gradiente de riesgo.
MEDIDAS DE PREVENCIÓN.
Desde la criminología, se ha comprobado que los métodos más eficaces para hacer frente al delito son los que se corresponden con la prevención. Las medidas de prevención cuentan con un gran poder para prevenir ciertas peligrosidades, así sea ítems para concienciar a la sociedad, para educar a los ciudadanos en el uso de los dispositivos o de crear un manual de buenas prácticas, entre otras opciones.
Cuando hablamos de estos métodos no solo nos referimos a cuestiones técnicas, sino también a una multitud de ítems que los usuarios de estos dispositivos, sin grandes conocimientos informáticos, puedan llevar a cabo.
En las siguientes líneas vamos a hacer una aproximación tanto a cuestiones técnicas, cuestiones legales y métodos de seguridad para aquellos usuarios que no tengan grandes conocimientos técnicos. El objetivo de estas técnicas es minimizar el riesgo, de los usuarios de los dispositivos IoT, frente a posibles vulneraciones. En lo que se refiere a las medidas de prevención las vamos a dividir en 3 bloques: técnicos, usuarios y legislación.
Como se puede observar existe una gran variedad de medidas de prevención para evitar las diversas vulnerabilidades que pueden ocurrir. A continuación se expone una relación de los delitos con las medidas propuestas, de esta manera se pretende visualizar la mejor medida a adoptar según el delito que se dé.
RELACIÓN DE LOS DELITOS CON LA MEDIDAS
Como se ha redactado en los puntos anteriores, existen una serie de delitos en el ámbito del Internet de las cosas que requieren medidas de protección; tanto por parte de los usuarios como por parte de los técnicos y empresas que desarrollan el objeto.
Medidas de prevención destinadas a subsanar problemas técnicos y así incrementar la seguridad de los dispositivos.
Estas medidas están destinadas a los desarrolladores de los objetos, de este modo se pretende incrementar los niveles de seguridad en estos y poder aportar al usuario una minimización del riesgo al que se encuentra expuesto, durante el uso del dispositivo.
Por lo tanto dichos métodos han de llevarse a cabo por personal cualificado, es decir, técnicos o informáticos. Ya que requieren unos conocimientos elevados sobre tecnología.
Medidas de prevención destinadas a los usuarios.
En esta ocasión se han expuesto una serie de técnicas de la que los usuarios se pueden hacer partícipes para disminuir su riesgo durante la exposición al objeto. Es decir, en lo que respecta a cuestiones técnicas que pueden llevar a cabo los usuarios serían métodos de informática básica y de los que no es necesario tener una gran pericia técnica.
Por su parte métodos que si se llevan a cabo aportan un uso seguro del IoT, son recomendaciones para las que no es necesario conocer ningún aspecto de informática, únicamente se basan en el uso correcto de los dispositivos.
Los siguientes elementos de prevención en este campo son los referentes a las buenas prácticas del usuario con los dispositivos, de este modo se aportan una serie de consejos para realizar un buen uso de los objetos. Para ello no es necesario ningún conocimiento tecnológico.
Medidas de prevención enfocadas en la legalidad.
En este punto se aportan una serie de consejos y métodos que han de llevar a cabo tanto las empresas como los usuarios desde la prevención en la perspectiva legal.
Para las empresas se muestran consejos que permiten al usuario un mejor conocimiento sobre aspectos como la protección de datos, así como la confidencialidad de los mismos.
En lo referente a los usuarios se muestra los derechos de los que son partícipes en este ámbito, de este modo se pretende que los consumidores se alejen del desconocimiento que les pueda llevar a errores y a consecuencia de estos se de lugar a ciertas vulneraciones.
Las medidas más técnicas y desarrolladas por profesionales informáticos o técnicos, combaten los delitos que se pueden ubicar en los de mayor riesgo, desde el punto de vista de la prevención, son los que más urgen en llevar a cabo.
Aquellas que llevan a cabo los usuarios, a pesar de tener un corte menos técnico, permiten minimizar los riesgos desde una visión interna es decir, técnicas de autoprotección, por ello se deben de realizar en todos los delitos redactados.
En lo referente las medidas de prevención con respecto a la legalidad, es necesario que cada usuario conozca los límites de la legalidad en sentido amplio.
En el caso de la protección de datos, el cual es la piedra angular de la relación de delitos que se ha aportado anteriormente, se exponen aquellas medidas que desde la empresa y los propios usuarios pueden llevar a cabo para minimizar el riesgo de vulneración y conformar una protección legal si esta se lleva a cabo.
ESQUEMA DE MEDIDAS
BIBLIOGRAFÍA.
- España, C. G. (1995). Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Madrid: BOE
- Centro criptológico Nacional (2017). Internet de las cosas. Recuperado de https://www.ccn-cert.cni.es/informes/informes-de-buenas-practicas-bp/2258-ccn-cert-bp-05-internet-de-las-cosas/file.htm.
- Centre Seguretat TIC de la Comunitat Valenciana. Seguridad en el Internet de las Cosas. Recuperado de http://www.csirtcv.gva.es/sites/all/files/downloads/%5BCSIRTCV%5D%20Informe-Internet_de_las_Cosas.pdf
___________________________________
Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.
Si te gusta la labor que realizamos a diario…
AUTORA
Criminóloga, Cibercrimen y Ciberseguridad
[…] recopilados por la IC. Ejemplos de datos de la IC: Créditos: Ahmed Banafa. Internet de las Cosas. El riesgo del Internet de las Cosas (IoT). | Derecho de la Red. El futuro del Internet de las Cosas según los expertos. Las grandes estadísticas del Internet de […]