El Internet de las Cosas es la idea de interconectar todos los objetos a Internet, por ejemplo, la cafetera, los aspersores, las persianas, las neveras, etc. De este modo la nevera hará la compra cuando detecte que falta comida, el reloj le dirá a la cafetera cuando hacer café, los aspersores no se encenderán cuando el parte meteorológico le diga que se avecinan lluvias o las persianas se levantaran al amanecer.
Pero, ¿Cómo llevar a cabo esta idea?. Para llevar a cabo esta idea se desarrolló en el MiT el concepto de «Internet 0» que resumidamente es una capa física para otorgar direcciones IP sobre cualquier cosa. Inicialmente se aplicó a dispositivos de calefacción, ventilación y aire acondicionado en edificios «inteligentes». A esta tecnología se fueron sumando posteriormente muchas otras como 6LowPAN, un desarrollo de IPV6 para comunicar directa e inalámbricamente dispositivos, o ZigBee, WebHooks y proyectos como IoT6. Todas estas tecnologías buscan tres conceptos esenciales: Comunicaciones seguras, baja tasa de envío de datos y maximización de la vida útil de las baterias. Si a esto le sumamos la identificación por radiofrecuencia a través de RFID ya tenemos todos los ingredientes para hacer realidad la idea del Internet de las Cosas.
El siguiente paso, como en todas las nuevas tecnologías, fue el proceso de estandarización. Actualmente hay propuestas del comité OASIS y del comité IoT-GSI.
OASIS apoya implantar el protocolo MQTT estándar de M2M (IBM). El protocolo MQTT es:
- Un protocolo simple y ligero de mensajes.
- Trata de minimizar el ancho de banda.
- Busca confiabilidad y cierto grado de seguridad en la entrega de mensajes.
Y por otro lado IoT-GSI promueve una respuesta abierta y trabajo a nivel global en colaboración de las entidades interesadas. IoT-GSI busca:
IoT-GSI
- La definición formal de IoT.
- Una plataforma de trabajo para las entidades.
- Producir los estándares necesarios para desarrollo e implantación de IoT.
- Compatibilidad de las especificaciones actuales de los servicios de telecomunicación mediante un uso eficiente o la optimización del consumo de tarifas de datos
- Protocolos de transmisiones de banda ancha (televisión y audio).
Y tienen en interrogante los requisitos de cobertura y los mecanismos y autenticación a implantar.
Ahora, ¿Que pasaría si toda esta tecnología la aplicáramos a dispositivos médicos?, ¿Que pasaría si en vez de controlar los aspersores de nuestro jardín pudiésemos controlar un marcapasos?. Con antelación podemos decir que es un gran avance, en vez de tener que operar a un paciente para ajustar el marcapasos cada vez que sea necesario lo podríamos hacer remotamente sin necesidad de intervenciones quirúrgicas. Pero, ¿sería posible que en vez de ajustar el marcapasos un médico lo hiciera un tercero?, ¿Qué pasaría entonces si las medidas de seguridad no fueran suficientes?.
Ataque al corazón
Cronológicamente y como curiosidad el primer objeto con conexión a Internet ya se dio allá por 1990 con una tostadora inteligente que podía controlarse remotamente a través de cualquier ordenador, se podía encender o apagar así como determinar el tiempo de tostado. Los padres de la criatura fueron Jhon Romkey y Simon Hacket. En 1999 se fue extendiendo la comunicación entre dispositivos conectados mediante Internet para la automatización de procesos y actividades diarias. Y con esta expansión se empezó a aplicar también al ámbito de la medicina. A partir de 2004 con la llegada del RFID se empieza a utilizar, por ejemplo, en los hospitales para identificar pacientes o para permitir el acceso por parte del personal relevante a los expedientes médicos. Ya en 2008 aparece el primer caso de hacking de datos personales de un marcapasos y funciones de control remoto. En 2012 se empezaron a aplicar los biosensores aplicados a IoT en el sector sanitario los cuales transmiten datos sobre el estado de salud. Y por último entre 2013 y 2014 ya tenemos el control del estado de salud mediante smartphones.
Uno de los primeros ataques conocidos a dispositivos médicos estudiados lo llevó a cabo el investigador de seguridad de IOActive, Barnaby Jack. Barnaby realizó una investigación sobre la seguridad en los marcapasos y la fue a presentar en la conferencia BlackHat USA 2013. El whitepaper o presentación se titulaba «Hacking Humans». La presentación no se llegó a realizar nunca. Barnaby fue encontrado muerto el 25 de Julio de 2013 días antes de la presentación en extrañas circunstancias en su apartamento de San Francisco. Lo que se sabe del ataque de Barnaby es que se realizaba a marcapasos Medtronic, remotamente a una distancia de hasta 15 metros, que podía descargar 830 voltios causando la muerte de la víctima y no dejó información técnica.
Barnaby Jack
Si miramos algunas cifras de los marcapasos, la FDA (Agencia de drogas y alimentos de EEUU) implantó en 2006 por completo la tecnología Wireless en dispositivos médicos. Este año ya se contabilizaban 350.000 marcapasos y 173.000 desfibriladores. En la actualidad hay sobre 3 millones de marcapasos y 1.7 millones de desfibriladores utilizando esta tecnología.
La serie de televisión Homeland en su temporada 2, capítulo 10, titulado «Broken Hearts», se hizo eco de este ataque. Pero como siempre la realidad supera a la ficción.
En el año 2013 el vicepresidente de los EEUU Dick Cheney, aquejado de problemas médicos, desactivó la funcionalidad Wireless por recomendación de su cardiólogo al considerar un posible ataque factible. Dick Cheney ha sufrido ya tres infartos.
Dick Cheney
El cardiólogo de Dick Cheney identificó una de las primeras salvaguardas en dispositivos médicos, inhabilitar el canal Wireless. También podemos identificar como salvaguardas el crear estándares entre fabricantes para evitar interferencias entre dispositivos y buscar métodos de actualización segura.
Como conclusiones podemos extraer que la seguridad en el Internet de las Cosas en el área médica es vital. El Internet de las Cosas en el área médica permitirá aumentar la calidad de vida de los pacientes. Permitirá un mayor y mejor acceso a información sobre salud y enfermedad. Y garantizar que esta gran cantidad de información personal no será usada para espiarnos será una tarea ardua y compleja. Este último punto puede dar para una nueva entrada explicando el peligro que pueden albergar las nuevas aplicaciones para hacer deporte tipo endomondo, runtastic, etc. o más recientemente la llegada de las pulseras y relojes inteligentes que monitorizan nuestra salud.
Este trabajo fue realizado durante el Máster Universitario en Seguridad en Tecnologías de la Información y las Comunicaciones de la UEM junto con mis compañeros Gonzalo y Katia.