Publicado el 10-10-2019
Diego R. Canabarro
Gerente de Políticas Públicas, América Latina y Caribe Internet Society

IoT: un proceso multisectorial para garantizar la protección de los consumidores y la resiliencia de la red en Uruguay

Este artículo fue publicado en el número de septiembre de 2019 en la Revista ‘Telecomunicaciones de América Latina’ (30/09/2019). Descarga la revista completa aquí.

Internet es una red abierta, globalmente conectada, confiable y segura para todas las personas. Y debe seguir siéndolo. El avance de tecnologías emergentes, sus impactos en el funcionamiento técnico, en la operación y en el uso de la red, así como las respuestas en el campo de las políticas públicas pueden impactar positiva o negativamente el futuro de Internet y afectar de manera directa a sus usuarios. En ese sentido, Internet Society trabaja para proteger las cualidades fundamentales que han impulsado el desarrollo de Internet y para garantizar que su evolución esté alineada con las contribuciones generadas por la red para la innovación, la economía, la cultura y para la vida de las personas en general.

La llamada Internet de las cosas (IoT) presenta una enorme cantidad de beneficios a los consumidores, al sector privado y a los gobiernos. Para 2020, se proyecta que IoT admitirá decenas de miles de millones de dispositivos interconectados. En un futuro lejano, hogares enteros, los sistemas públicos de transporte y otros servicios en verdaderas “ciudades inteligentes”, e incluso los cuerpos de los seres humanos, serán parte del mismo espacio común integrado que convergerá en Internet.

Más allá de las promesas y de la realidad de una vida interconectada, IoT representa  un campo en el cual las distintas dimensiones técnicas, económicas y sociopolíticas del desarrollo tecnológico, así como sus desafíos, se presentan y se cruzan. El tema tiene que ver con los incentivos a la inversión y e innovación, con la protección de los derechos de los consumidores, y con la seguridad y resiliencia de Internet cuando es utilizada cuando se la utiliza como interfaz para los distintos sistemas de IoT. Por eso, Internet Society (que ya había creado una “Alianza de confianza en línea” para identificar y promover las mejores prácticas de seguridad y privacidad que fomentan la confianza del consumidor en Internet) ha impulsado un proceso de diálogo de múltiples partes interesadas en países como Francia, Senegal, Filipinas y Canadá) para que se produzca un conjunto de  recomendaciones sobre el tema de seguridad de IoT. Eventualmente, tales recomendaciones podrán guiar la elaboración de políticas públicas y regulatorias cuando sea necesario. En la región de América Latina y el Caribe, un proceso similar se desarrolla desde Julio de 2019 en Uruguay bajo la coordinación de la Agencia de Gobierno Electrónico y la Sociedad de la Información y el Conocimiento de Uruguay (AGESIC). 

Con el apoyo de la Oficina Regional para América Latina y el Caribe de Internet Society, AGESIC creó dos grupos de trabajo integrados por más de 60 personas de instituciones públicas y privadas, de la comunidad técnica y de organizaciones de la sociedad civil del país. Un grupo fue encargado de los aspectos de IoT capaces de afectar la seguridad de los consumidores, su privacidad y la protección de datos personales. El otro se enfocó  en el tema de la seguridad de la red (que suele ser atacada por dispositivos IoT comprometidos). El trabajo de ambos grupos tuvo como punto de partida las siguientes consideraciones:

  • El ahorro de recursos y las presiones por economizar en el desarrollo de productos y servicios de IoT (principalmente por actores sin ninguna experiencia en el campo de seguridad de redes) no siempre toman en cuenta buenas prácticas, como pueden ser aquellas relacionadas con la protección de la privacidad y de los datos personales, la autenticación de las relaciones cliente-servidor o el enrutamiento seguro, entre otras.
  • No existen estándares internacionales sobre seguridad en IoT, lo que causa dificultad al momento de identificar y comparar los diferentes niveles de seguridad de dispositivos, productos y servicios de IoT. Además, la mayor parte de los productos y servicios de IoT están dirigidos a consumidores que suelen no conocer los riesgos y amenazas existentes, ni tomar en cuenta las cuestiones de seguridad como un requisito de compra.
  • Al mismo tiempo, no existen acuerdos sobre el papel de los distintos actores en la cadena productiva de IoT y no hay un conjunto de principios comunes sobre el nivel de soporte que los fabricantes y vendedores deben dar a los usuarios. Entre estos aspectos se incluye la duración de la garantía, la frecuencia de las actualizaciones de seguridad y la puesta a disposición de parches de seguridad.
  • La complejidad de los sistemas de IoT hace con que se pueda distribuir el control y la operación de los componentes estructurales a varios actores, en varias jurisdicciones distintas. Esto provoca que no exista claridad respeto a los regímenes de responsabilidad legal que se deben aplicar al tema.

Los grupos han trabajado presencial y remotamente en la producción colaborativa de un borrador que sigue en discusión hasta el 25 de septiembre. A pesar de que el proceso uruguayo no haya llegado a su fin, es posible adelantar las líneas generales de lo que ha sido producido hasta hoy. En el caso de la protección del consumidor, el grupo de trabajo plantea un conjunto de recomendaciones para que los usuarios: (a) sepan cómo adquirir de manera informada productos y servicios de IoT y tengan detalle sobre su funcionamiento, sus características y las políticas de seguridad empleadas en su desarrollo, producción y operación; (b) puedan constatar fácilmente el nivel de seguridad asociado a un dispositivo o servicio de IoT y elijan qué comprar con base en estándares conocidos; (c) sepan cómo proteger su privacidad y proteger los flujos de datos y de información que generan, y mantengan la costumbre de actualizar sus dispositivos; y (d) adopten buenas prácticas de seguridad para minimizar los riesgos. En el caso de la resiliencia de la red, el grupo de trabajo produjo un conjunto complejo de recomendaciones que tocan no sólo a los dispositivos y a la conducta de los usuarios, sino también a toda la cadena de soporte a los productos y servicios de IoT, que incluye el transporte de la información de extremo a extremo, el tratamiento y las modalidades de acceso a la misma, así como los mecanismos de recuperación de datos e información almacenada almacenados.

Los dos grupos de trabajo consideraron todas las capas y etapas de la cadena productiva en el campo de IoT: desde los fabricantes de dispositivos a los proveedores de servicios de IoT, pasando por los desarrolladores de aplicativos, y llegando hasta los comerciantes y los canales de distribución. El conjunto final de recomendaciones, previsto para ser publicado a fines de Octubre, trata también de lo que se espera de usuarios individuales y corporativos en sus prácticas diarias; de la comunidad técnica e instituciones académicas en el desarrollo de la tecnología; y de la sociedad civil en sus actividades de concientización y de fiscalización de las actividades de instituciones públicas y privadas. 

Más allá de las recomendaciones producidas en Uruguay y en los otros países mencionados anteriormente, el desafío sigue. No sólo para Internet Society, sino para los diversos actores directa o indirectamente involucrados con el tema de la cooperación digital. Es necesario involucrar a todos los países para alcanzar soluciones coordinadas y convergentes a nivel mundial para proteger a la red y a sus usuarios para que Internet siga siendo el motor que hoy conocemos para el desarrollo económico y sociocultural de todas las personas, en todos los lugares.