El lado oscuro de la Internet de las Cosas
Habrán oído esta combinación de palabras un número de veces, y habrán notado que la definición es bastante escurridiza. ¿La Internet de las Cosas es una nueva Internet? No, para nada. ¿A qué cosas se refiere? Prácticamente a todo lo que existe, y éste es el motivo por el que la definición resulta tan esquiva. Los zapatos, los anteojos, cualquier prenda de vestir, las luces de tu casa, la cafetera y la tostadora, el aire acondicionado y las heladeras, el lavarropas y el microondas, el cepillo de dientes, las macetas en el balcón, las ventanas, las sillas y los utensilios de cocina, todo esto y un millón de objetos más están empezando poco a poco a incorporar inteligencia. Es decir, una computadora en miniatura y conexión inalámbrica con Internet. No se trata sólo de pequeñeces domésticas, además. También podrán conectarse (en algunos casos esto ya es así, en parte) los coches, los dispositivos de análisis clínicos y diagnóstico por imágenes, los implantes médicos, edificios enteros, chips para el ganado o para tu perro, los semáforos, las cámaras de seguridad, los sensores de humo (como el Protect, de Nest), los puentes, las vías del tren y líneas de montaje de toda clase. Ciudades enteras, llegado el caso.
La IoT no es sólo algo del futuro. Los teléfonos no solían tener nada de inteligencia ni conectividad. Ahora, a ambas características se sumaron dos cámaras, un micrófono y sensores de toda índole y notable precisión (de humedad y temperatura, acelerómetros, de presión atmosférica, luminosidad y campos magnéticos). Ah, y un receptor GPS. Dicho simple, un celular sabe más sobre mi entorno de lo que mi propio cerebro puede captar, y es capaz de enviar toda esa información por Internet a terceros o usarla para tomar decisiones y ejecutar acciones concretas.
La vaguedad de la palabra cosas es testimonio del vasto espectro de aplicaciones de la IoT. Algunas ideas sueltas, bien conocidas en el rubro: las lámparas inteligentes podrían ayudarnos a ahorrar energía; los semáforos contribuirán al control de tránsito inteligente; hay tenedores que cooperan (o intentan cooperar) con nuestra dieta y cepillos que ayudan con nuestra salud dental; existen heladeras conectadas y aparatos de aire acondicionado que pueden encenderse y apagarse a distancia.
Todavía es algo incipiente, pero de a poco estas cosas que durante siglos fueron objetos inertes están aprendiendo nuevos trucos. Si está lloviendo, ¿qué necesidad hay de encender los aspersores en el jardín? Más: si el pronóstico anticipa lluvias para mañana, el aspersor debería ser el primero en enterarse, porque entonces ni siquiera hace falta regar hoy. Tu heladera y tu alacena aprenderán tus hábitos para que nunca te falten esos ingredientes que usás a menudo. En los países donde el medidor de luz domiciliario es inteligente (no es el caso de la Argentina), los equipos que más consumen te sugerirán lavar ropa fuera de las horas de mayor consumo y poner el aire en 24. Un día, me imagino, lo pondrán en 24 te guste o no. A menos que aceptes ver algunos avisos de publicidad.
En 2011 Cisco predecía que en 2020 habrá 50.000 millones de objetos en la Internet de la Cosas. Gartner, en 2013, auguraba 26.000 millones. Otros hablaban de 30.000 millones. Parece mucho, pero es sólo una fracción de lo que se viene. Basta imaginar todos los objetos que existen en el mundo y que tienen el potencial para adquirir inteligencia.
Hay 3200 millones de personas conectadas a la Red, que interactúan con –digamos, grosso modo– 100 objetos por día. Así que 320.000 millones de cosas inteligentes no es ningún disparate. Además, no hace falta que las personas tengan acceso a Internet (hay casi 4000 millones en esas condiciones) para que usen algo conectado con la Red. Sumemos todas las luminarias, semáforos y cartelería del planeta. Más la infraestructura que la civilización necesita para funcionar, desde los ascensores hasta las cosechadoras de grano. La Internet de las Cosas es tan multitudinaria que escapa a nuestra comprensión numérica. Tanto, que el protocolo de Internet que usamos durante 30 años (y seguimos usando, en muchos casos), el IPv4, no es lo bastante poderoso para hospedar todas las cosas conectadas de la IoT. Con un espacio de direcciones de 32 bits, sólo puede ofrecer unos 4200 millones de números IP (2 elevado a la 32); si pretendemos que cada objeto tenga su dirección IP, no alcanza. Ya no alcanza. El nuevo protocolo, el IPv6, que se puso en marcha el 6 de junio de 2012, gracias a su espacio de direcciones de 128 bits es capaz de hospedar 1500 direcciones IP por cada metro cuadrado del planeta (340 sextillones).
El número de cosas inteligentes que habrá pronto entre nosotros, con nosotros, corta el aliento. Se supone que este entramado será para bien. Combinada con lo que se conoce como Datos A Gran Escala (Big Data, en inglés), la IoT ayudará a pronosticar mejor el tiempo, a prevenir y luchar contra las enfermedades, a reducir nuestro apocalíptico gasto energético y a doblegar el descontrolado tránsito urbano. Tendrá un rol en alertar sobre catástrofes naturales y cooperará con la seguridad pública, la educación, el comercio, la economía y las finanzas. No es chiste. Si no reducimos drásticamente las emisiones de gases de invernadero, nuestros hijos llegarán a adultos en un mundo atroz, con buena parte de las ciudades costeras bajo un metro de agua y un clima de pesadilla. Si la IoT demuestra que puede reducir nuestro consumo energético, entonces será algo imprescindible.
Inevitable
Pero hay algo más, mucho más importante. La Internet de las Cosas es inevitable. No se trata de una moda o un invento divertido. Es el siguiente paso lógico en la evolución de las tecnologías del cómputo y las comunicaciones digitales. Como los robots o la inteligencia artificial, la Internet de las Cosas no es opcional. Al ritmo que vamos, es una de las tecnologías con mayor potencial disruptivo y de creación de riqueza de la historia reciente. Que las cosas se vuelvan inteligentes y hablen entre ellas y con centros de datos, vaya.
Estoy persuadido de que todo esto será para bien. Pero antes de zambullirnos gozosamente en el océano del Big Data y la IoT deberíamos conocer los riesgos y prepararnos para mitigar su impacto. Diría que hay por lo menos tres.
Una mala decisión
El primero tiene que ver con la autonomía que les concederemos a las cosas conectadas. Haría de esta columna un texto interminable el contar la cantidad de veces que las apps se confunden, aceptan por ciertos datos falsos, llegan a conclusiones sofísticas. Contaré algunas de estas anécdotas en próximas columnas, y se van a asombrar. En serio. Pero, para abreviar, no queremos, de momento, que la IoT haga cosas sin preguntar. Concederle esta autonomía debería ser un proceso lento, en entornos muy controlados y con regulaciones razonables y prudentes.
Creo que hackearon tu cafetera
El segundo riesgo está relacionado con la burda y brutal inseguridad informática en la que vivimos inmersos. Dicho simple, un atacante podría aprovechar una falla de seguridad en una cosa inteligente y obligarla a hacer algo disparatado. Con un cepillo de dientes no hay demasiado de qué preocuparse. Muy diferente sería si se tratara de una tostadora de pan o una caldera. Supongamos que logro hackear el aire acondicionado de mi vecino, con quien me llevo mal y acaba de irse un mes de vacaciones. Supongamos que le pongo el aire a 16 todo el mes, 24 horas por día. Supongamos que, ya que estoy, como la vulnerabilidad del aire acondicionado está también presente en el sistema operativo del lavarropas, ejecuto 15 lavados por día, con secado por calor. Pobre hombre, cuando regrese, descubrirá que no le alcanzan los salarios de todo el año para pagar la cuenta de la luz.
Esta es la razón por la que el Instituto de Ingeniería Eléctrica y Electrónica (IEEE) se preguntaba estos días si acaso la IoT no necesitará un laboratorio independiente de certificación, equivalente al UL, pero relacionado con la seguridad informática, luego de un ejercicio realizado en la Universidad de California en Berkeley; el asunto fue citado en esta esclarecedora nota de The Register.
Pese a lo que se cree, las vulnerabilidades críticas no son la excepción, son la regla. Todos los días –lo veo en la información que llega automáticamente a mi pantalla– se anuncian varias fallas de seguridad en dispositivos un millón de veces más cruciales que una tostadora. Routers de Internet, servidores Web, servidores de autenticación, bibliotecas de lenguajes de programación que afectan a decenas de miles de aplicaciones, y así.
Hace poco, lograron tomar el control de un auto inteligente de forma remota y el conductor (un voluntario, redactor de la revista Wired) terminó asustado y en la banquina. Por este motivo, el fabricante, Fiat Chrysler, debió retirar del mercado 1,4 millón de vehículos de sus marcas para revisar su software. Podrán acusarme de sembrar la paranoia, pero estoy bastante seguro de que el directorio de Fiat Chrysler me daría la razón.
Dadas las condiciones de seguridad informáticas actuales, el caldo de cultivo que se cocinaría con la IoT es alarmante. No importa el sistema operativo, no importa la aplicación, todo lo digital es vulnerable a ataques. Si además de recolectar y transmitir la información, la Internet de las Cosas obtiene permiso para hacer algo, entonces un ataque sobre objetos peligrosos (un auto, por caso) podría costar vidas. Es una de las conclusiones del IEEE.
Te estamos observando
El tercer riesgo lesiona el corazón mismo de la privacidad. Hace justo un año Samsung tuvo un par de semanas agitadas cuando se descubrió que sus televisores inteligentes estaban oyendo todo el tiempo lo que ocurría alrededor y podían enviarlo a terceros sin autorización . Luego se descubrió que, en algunos casos, las conversaciones registradas por sus smart TV se transmitían sin cifrar por Internet . Críticas similares recibió el Echo, de Amazon. Si me lo preguntan, cualquier cosa que admita comandos de voz abre todo un nuevo flanco en el castigado frente de la privacidad. Porque, como dije, no hace falta que el fabricante cometa algún error de implementación. Alcanza con que el dispositivo sea invadido por un pirata. Windows, Linux (y por lo tanto Android) y OS X tienen vulnerabilidades que vienen durando años. Linux en particular es uno de los sistemas preferidos para embember en objetos inteligentes, y esa no siempre es una buena noticia.
Estos antecedentes son pueriles si se piensa que los objetos inteligentes y conectados no sólo podrán oír lo que decimos, sino que también sabrán si hay personas en la casa. Serán capaces de ver lo que hacemos y, por añadidura, tendrán la capacidad –ya la tienen– de crear patrones de comportamiento. Es un asunto serio que todavía no tiene solución. Si queremos hablarles a nuestros objetos, entonces deben ser capaces de oír. Si queremos que el sensor de humo o el de presencia nos avisen por Internet de que algo pasa en la casa, entonces deben detectar movimiento, calor y si estamos haciendo un bife a la plancha. Bien cocido, por favor.
Cosas veredes
Y los tres riesgos podrían combinarse, no son mutuamente excluyentes. Una cosa inteligente podría suponer erróneamente dónde está, habiendo sido intervenida por un pirata informático, y tomar en consecuencia una decisión imprudente, decisión que podría comunicarle a terceros, con resultados todavía más peligrosos o comprometedores.
En conclusión, nos esperan tiempos interesantes. Las máquinas están volviéndose cada vez más inteligentes, aunque todavía les falta cobrar conciencia de sí y de su entorno. ¿Se convertirá la IoT en los ojos y los oídos de una mente cibernética global, como en la ciencia ficción? Tal vez, pero mucho antes de eso, en mi opinión, hay asuntos más terrenales y cercanos por resolver. Mientras aprendemos los límites y las regulaciones que le caben a las cosas que están aprendiendo a ver, oír, percibir, procesar información y comunicarse, me parece que el primer paso es entender qué es la IoT, para evitar que, de nuevo, como ha ocurrido con docenas de buenas ideas, compremos sólo el lado brillante y nos olvidemos de que, si hay luz, entonces, inevitablemente, hay sombra.