Hoy en día, el Internet de los objetos (o IoT) forma parte habitual de nuestras vidas. Los termostatos conectados a Internet nos permiten tomar mejores decisiones energéticas y podemos controlar nuestras casas, incluso cuando estamos a miles de kilómetros de distancia, a través de cámaras de seguridad conectadas. Mientras que el público en general ha estado expuesto a la IO con productos de consumo, la introducción de la 5G en los últimos años marcará el comienzo del uso a gran escala de la IO comercial/industrial. Durante décadas, la legislación ha exigido a los proveedores de servicios de comunicaciones (CSP) que ayuden a las fuerzas de seguridad en las investigaciones. Y, a medida que la voz analógica migraba a VoIP y VoLTE y la conexión telefónica migraba a FTTx y banda ancha móvil, los requisitos de asistencia también han migrado. Pero, ¿qué ocurre con los dispositivos IoT? ¿Dónde encajan en el mundo de la regulación y las investigaciones policiales?
Legislación sobre escuchas telefónicas
En primer lugar, un poco de historia sobre la legislación aplicable a las escuchas telefónicas. Antes de 1967, las escuchas telefónicas estaban muy poco reguladas. Varios casos del Tribunal Supremo que limitaban las escuchas telefónicas llevaron al Congreso a aprobar la Ley Omnibus de Control del Crimen y Calles Seguras en 1968. El Título III de ese documento es donde se definieron las protecciones de la privacidad y las excepciones legales a esas protecciones (es decir, las escuchas telefónicas), su uso permitido y la supervisión. En 1986 se aprobó la Ley de Privacidad de las Comunicaciones Electrónicas (ECPA), que amplió el concepto de intervención telefónica de las llamadas telefónicas a la transmisión de datos. El Título II de la ECPA (es decir, la Ley de Comunicaciones Almacenadas o SCA) establecía la protección de la privacidad de los registros almacenados y proporcionaba los medios legales para que las fuerzas de seguridad tuvieran acceso a ellos. La ECPA también abordó el concepto de Pen Register y de dispositivos de trampa y rastreo.
Hasta mediados de la década de 1990, las escuchas telefónicas eran realizadas legalmente por las fuerzas de seguridad y bajo la supervisión de los tribunales para garantizar la protección de la intimidad. Sin embargo, correspondía a las fuerzas de seguridad instalar su propio equipo de escuchas. En 1994 se aprobó la Ley de Asistencia a las Comunicaciones para el Cumplimiento de la Ley (CALEA), que obligaba a los CSP a modificar o habilitar sus instalaciones para ayudar a las fuerzas de seguridad a realizar escuchas. En 2006, la Comisión Federal de Comunicaciones dictaminó que todas las comunicaciones a través de Internet (incluido VoIP) estaban cubiertas por CALEA. La conclusión es que si usted era un CSP y ofrecía un servicio de comunicaciones (como VoIP o VoLTE) o proporcionaba acceso a Internet, tenía que ser capaz de proporcionar el contenido (en clair) de las comunicaciones (CC) y/o la información relacionada con la interceptación (IRI) en tiempo real a las fuerzas de seguridad.
Dispositivos IoT y escuchas telefónicas
Un dispositivo IoT es una máquina digital que se puede identificar de forma única y que puede transferir y recibir información sin necesidad de interacción humana. La mayoría de estos dispositivos están "siempre encendidos", lo que significa que hacen su trabajo las 24 horas del día, los 7 días de la semana. Por ejemplo, tu Amazon Echo siempre está grabando lo que ocurre cerca de él en caso de que digas "Alexa..."; tu Apple Watch siempre está registrando tus constantes vitales y tu ubicación para que puedas hacer un seguimiento de tu salud o de tu rutina de ejercicios; y, tu cámara de seguridad siempre está transmitiendo la vista de tu puerta en caso de que se produzca un evento. ¿Qué fuerzas de seguridad no querrían tener acceso en tiempo real a un dispositivo Echo en la mesa de un traficante de drogas o controlar la ubicación en tiempo real de un iWatch que lleva un sospechoso de terrorismo? ¿Pueden las fuerzas de seguridad emitir una orden judicial en tiempo real sobre un dispositivo IoT?
La respuesta es sí, sólo si el PSC vende ese dispositivo al consumidor junto con un servicio de comunicaciones. Hoy hay muchos dispositivos que entran en esta categoría: por ejemplo, los relojes con GPS y servicio celular para que los padres se mantengan en contacto con sus hijos. Y muy pronto, los coches autónomos, los drones de reparto y otras tecnologías de vanguardia entrarán en esta categoría.
Incluso si el CSP no proporciona el dispositivo IoT, las fuerzas de seguridad pueden garantizar la alimentación en tiempo real centrando la orden judicial en el CSP y en el servicio de comunicaciones específico a través del cual se conecta el dispositivo IoT. En este escenario, pueden surgir múltiples cuestiones: 1) ¿cómo se da sentido a las comunicaciones del dispositivo IoT?; 2) ¿está cifrada la información del dispositivo IoT? y 3) ¿dónde se encuentra el servicio?
Suponiendo que las comunicaciones del dispositivo IoT sean en clair (sin cifrar), las fuerzas de seguridad necesitan poder dar sentido a ese tráfico. Para que el dispositivo IoT se comunique con el servicio en la nube, inicialmente debe utilizar protocolos estándar a nivel de red (como TCP o HTTP). Sin embargo, la forma en que el dispositivo se comunica después de eso, está en manos de los desarrolladores que crearon el dispositivo. En otras palabras (utilizando un ejemplo anterior), si tienes acceso en tiempo real a la señal de un altavoz inteligente, no significa nada a menos que puedas descodificar la señal y convertir los bits y bytes en audio que puedas escuchar.
Un tema común debatido por los líderes en ciberseguridad es la amenaza que suponen los dispositivos IoT. Las empresas que fabrican los dispositivos tienen que elegir entre reducir los costes por unidad (eliminando la asistencia de cifrado de hardware) o reducir el rendimiento (para apoyar el cifrado de software). Una elección similar se presenta para el tiempo de comercialización frente al diseño de características y protecciones de seguridad. Como resultado, muchos dispositivos IoT proporcionan flujos que no están cifrados y son intrínsecamente inseguros.
Cuando la alimentación de un dispositivo IoT a la nube está cifrada, las fuerzas de seguridad aprovechan el SCA para recuperar cualquier comunicación almacenada de ese dispositivo. Lo que está disponible depende en gran medida de lo que el propietario del dispositivo IoT suscriba al servicio en la nube; en el caso de una cámara de seguridad doméstica, significa la diferencia entre vídeo y audio 24/7 o clips de 5 segundos cuando hay movimiento. Para que un investigador policial envíe una orden de SCA a un proveedor, ese servicio en la nube y los datos tienen que estar en Estados Unidos. Si está fuera de Estados Unidos, se utilizan otros procesos más largos.
Las protecciones de la ECPA y la SCA solían impedir que los servicios en la nube con sede en Estados Unidos ayudaran a las fuerzas de seguridad extranjeras (en caso de que la comunicación fuera para/de un ciudadano estadounidense). E, incluso cuando el servicio en la nube tenía su sede en Estados Unidos, los datos se alojaban a menudo fuera de Estados Unidos, por lo que no estaba claro qué leyes prevalecían. Todo esto se resolvió con la Ley de Clarificación del Uso Legal de Datos en el Extranjero (CLOUD) de 2018. (Cambios para los CSP, los servicios en la nube y la aplicación de la ley estadounidense y extranjera como resultado de la Ley CLOUD en una próxima publicación del blog).
El nuevo panorama delictivo con los dispositivos IoT
Como sabemos, la intersección entre la conexión de dispositivos a Internet y la inseguridad de muchos de ellos crea un entorno natural y rico en objetivos para los hackers. Sin embargo, está surgiendo otra tendencia: la intersección de la 5G, los dispositivos conectados y los delitos tradicionales.
Con el aumento del número de dispositivos por área, el mayor ancho de banda y la menor latencia, 5G, está permitiendo nuevas tecnologías como la computación móvil de borde. Aunque la virtualización y la automatización no son conceptos nuevos, el diseño de las redes 5G los incluye, y los CSP están implementando sus propias nubes privadas. Del mismo modo, el concepto de vehículos autónomos, realidad virtual o realidad aumentada no es nuevo, pero las características del 5G los hacen comercialmente viables. Todos estos cambios se entrecruzan para dar lugar a un nuevo panorama delictivo, a nuevos delitos y a la necesidad de nuevas herramientas de investigación. He aquí algunos ejemplos:
- Cuando combinas 5G con vehículos autónomos (IoT) y narcotraficantes, tienes un sistema de distribución de drogas que funciona las veinticuatro horas del día operado desde cualquier lugar, en todo el mundo. ¿A quién se detiene y acusa? ¿Qué pruebas se pueden utilizar?
- Cuando combinas 5G con termostatos conectados (IoT) y piratas informáticos, tienes un vector para provocar apagones o terrorismo doméstico en una amplia zona geográfica. ¿Cómo determina un investigador si fue coordinado o una coincidencia? ¿Cómo se procesa?
No cabe duda de que el IoT permitirá modernizar antiguos delitos. Pero es posible que pronto veamos un panorama completamente nuevo de delitos. Esto requerirá cambios en la forma en que se despliega y utiliza la inteligencia legal y obligará a revisar las capacidades y técnicas de investigación de las fuerzas de seguridad.
Resumen
La tendencia a conectar dispositivos a Internet (IoT) no ha hecho más que empezar. Los dispositivos son cada vez más inteligentes y se están creando nuevas clases de aparatos que aún no habíamos imaginado. Gran parte de este crecimiento coincide con el lanzamiento de las redes 5G. Esto se debe al mayor número de dispositivos por área, al aumento del ancho de banda y a la menor latencia inherentes a la 5G.
Aunque, por definición, los dispositivos IoT no requieren interacción humana, manejan una gran cantidad de información, desde estadísticas vitales sobre la salud de una persona hasta el sonido y/o las imágenes de lo que ocurre a su alrededor. Las fuerzas de seguridad están muy interesadas en la información almacenada en estos dispositivos o transmitida por ellos, y disponen de los medios para obtenerla en tiempo real o almacenada. Los retos son cómo aprovechar la información y hacer frente a los obstáculos legales que surgen en función de los países en los que reside el propietario del dispositivo, dónde reside el fabricante de los dispositivos y dónde se almacenan los datos que recopila el fabricante.
Las investigaciones sobre ciberseguridad han demostrado que los dispositivos IoT están siendo utilizados por los hackers como punto de entrada a las redes. Gran parte de los dispositivos IoT no utilizan cifrado y carecen de medidas de seguridad fundamentales, lo que los convierte en un blanco fácil. Con las innovaciones que se espera que lleguen con el 5g (por ejemplo, ciudades inteligentes o vehículos autoconducidos), es inevitable que esos dispositivos IoT sean una herramienta utilizada para cometer un delito. Vigilar estos dispositivos en busca de pruebas será tan habitual como lo es hoy realizar escuchas telefónicas en un teléfono móvil. Esto requerirá una actualización de las ideas en torno a la inteligencia legal de los dispositivos IoT y las herramientas utilizadas para investigar las pruebas obtenidas de estos dispositivos.
SS8 Xcipio ofrece la capacidad de proporcionar inteligencia legal sobre identificadores específicos de dispositivos IoT y recopilar esas comunicaciones de elementos de red (por ejemplo, routers y conmutadores) o de dispositivos pasivos. SS8 Intellego proporciona a las fuerzas de seguridad la capacidad de reproducir o reconstruir información a partir de esas comunicaciones. SS8 PXE (motor de extracción de protocolos [biblioteca de descodificación de protocolos]) proporciona la capacidad de descodificar y dar sentido a las comunicaciones IoT, ya sean en clair o cifradas.
Acerca de Kevin McTiernan
Kevin cuenta con más de 20 años de amplia experiencia en los sectores de las telecomunicaciones y la seguridad de redes. En SS8, Kevin es el vicepresidente de Soluciones Gubernamentales y es responsable de liderar la visión, el diseño y la entrega de las soluciones gubernamentales de SS8, incluida la cartera de cumplimiento de Xcipio®.
Sobre SS8
SS8, una empresa de inteligencia de redes, ofrece soluciones para ayudar a los clientes a identificar, rastrear e investigar rápidamente dispositivos y objetos de interés. Trabaja en estrecha colaboración con los principales organismos de inteligencia, proveedores de comunicaciones, fuerzas de seguridad y organismos de normalización. Con sede en Silicon Valley y oficinas de ventas y asistencia en EE.UU. y Reino Unido, SS8 está implantada en más de 30 países y soporta redes con casi mil millones de abonados. Para más información, visite www.ss8.com.
