Sara Matheu: ‘‘Los juguetes son un objetivo muy goloso para los ciberdelincuentes’’
La investigadora murciana ha sido premiada por la Sociedad Científica Informática de España y la Fundación BBVA por su proyecto para etiquetar los dispositivos del internet de las cosas en función de la seguridad que ofrezcan
Sin muchas esperanzas, Sara Nieves Matheu (Murcia, 29 años) cumplimentó a principios del año un par de solicitudes para participar en sendos concursos de investigación informática. Un día de verano, recibió una llamada. Al día siguiente, otra. Había ganado los dos. Uno de ellos era el premio de investigación de la Sociedad Científica Informática de España y la Fundación BBVA, que otorgan seis galardones en esa categoría, dotados de 5.000 euros cada uno. Matheu es la única mujer en recibirlo este año. Desde pequeña le apasionan los números y, mientras cursaba un programa piloto de Matemáticas e Informática en la Universidad de Murcia, descubrió la ciberseguridad, la sinergia perfecta entre ambas ramas. Confiesa haber sufrido en más de una ocasión el machismo en el mundo cibernético. En una ocasión, el empleado de una tienda de reparación la culpó de que el ordenador no funcionara: ‘‘Tuve que convencer a un compañero de carrera para que fuera él porque el dependiente pensaba que era una loca que estaba trasteando con el ordenador sin tener ni idea’’.
La investigación premiada valora su tesis doctoral, realizada en la misma universidad en la que se graduó. Durante cuatro años, Matheu ha diseñado un sistema para evaluar la seguridad de los dispositivos inteligentes conectados en el internet de las cosas. Como explica durante una conversación en la sede de la Fundación BBVA horas antes de recibir el galardón, los dispositivos que nos rodean en el hogar y en el trabajo pueden ser vulnerables ante ataques informáticos, con distintas consecuencias. Desde los juguetes que utilizan los niños hasta una lavadora con wifi, cualquier aparato puede verse afectado. Matheu propone que, igual que los electrodomésticos cuentan con una etiqueta de eficiencia energética, las cámaras de vigilancia de casa o el muñeco que parlotea sean también analizados y clasificados. La OCU llegó a pedir en 2017 que se retiraran los juguetes con conexión a la red que planteaban inseguridades. Con el sistema de etiquetado que propone la joven murciana, los consumidores podrían saber de antemano a lo que se exponen.
Pregunta: La mayor parte de la población conduce un coche sin conocer su mecanismo. De la misma manera, el internet de las cosas forma cada vez más parte de nuestra vida aunque no sepamos en qué consiste exactamente. ¿Podría explicarlo?
Respuesta: Es bastante sencillo: son todos esos dispositivos chiquititos que nos rodean y que están conectados a internet compartiendo información, ya sean las lavadoras, las pulseras que llevamos todos en la muñeca para medir los latidos del corazón o los pasos, las tarjetas inteligentes, las cámaras que tenemos en nuestros hogares por si entran a robar… Todo eso es el internet de las cosas.
P: Su investigación se centra en descubrir cómo se puede vulnerar la seguridad de esos dispositivos. ¿Qué propone para que sean más seguros?
R: Analizo cómo se puede vulnerar y hasta qué punto están protegidos, de manera que el consumidor lo sepa cuando vaya a comprarlos. La idea es crear una forma de evaluar esos dispositivos que sea fácil y barata, además de automática. El fabricante de un sensor o una cámara, por ejemplo, no puede estar un año esperando, porque en ese tiempo ya se ha lanzado otra versión al mercado. El sistema que proponemos también es objetivo: hay una lista con la que el experto evalúa la seguridad y ve si el dispositivo cumple cada parámetro o no. Eso se enlaza con tests empíricos, se ataca al sistema y se obtienen ciertas métricas y números que proporcionan el nivel de seguridad. Con ese número, creamos la etiqueta.
P: ¿Cómo sería esa etiqueta?
R: Es básicamente un diagrama de araña, de forma que, cuanto mayor es el área, mayor es el riesgo. Tiene un aspecto visual ―similar a la eficiencia energética― que se pega al dispositivo. Al ir a comprarlo, se puede ver si tiene mucha seguridad o poca. Es importante que, además, sea dinámica, porque se puede evaluar algo hoy, pero mañana sufre un ataque y la etiqueta ya no funciona. La idea es que tenga un código QR para que se vaya actualizando.
P: ¿Qué se necesita para poner ese sistema en marcha?
R: Sobre todo se necesita apoyo de la Unión Europea. Por fin va a implementar una regulación y están centrándose sobre todo en el internet de las cosas, en la nube y en el 5G. Están tomando ideas nuestras, como la etiqueta y los perfiles. Los perfiles sirven para tener en cuenta los contextos: no es lo mismo hablar de seguridad militar que de seguridad en un hospital. A partir de ahí se podría crear ese mecanismo de evaluación genérico a nivel europeo, pero se necesita el apoyo de las entidades que regulan las leyes.
P: ¿Cuánto tiempo puede pasar hasta que lo vean los consumidores en los aparatos que compran?
R: Desde que en Europa manifestaron su intención de empezar hasta ahora creo que han pasado tres o cuatro años, así que a lo mejor en tres o cuatro años más empezamos a ver etiquetas en los productos. De todas maneras, ya hay organizaciones en EE UU, por ejemplo, que proponen también este sistema. Hay un avance y una voluntad para establecerlo.
P: ¿Qué tipo de dispositivos pueden ser más vulnerables?
R: Depende de la función que cumplan. El problema es que, aunque sea un dispositivo a priori muy tonto, como una cámara de vigilancia (que si la hackean, pueden entrar a robar), si se ponen de acuerdo los ciberdelincuentes y atacan los dispositivos de muchas casas del mundo a la vez para llegar a servidores más importantes, como los de una eléctrica o los de un hospital, las consecuencias pueden ser muy graves. Y es más habitual de lo que parece.
P: A menudo pensamos que solo las empresas y los organismos sufren ciberataques...
R: En hogares también ocurre. Hace poco yo también fui atacada. Había una aplicación muy conocida para escanear documentos con el móvil y se descubrió que tenía una vulnerabilidad y que los hackers la empleaban para minar bitcoins de tu móvil. En este caso te fastidiaban el rendimiento del teléfono, pero podría ser más grave. Ocurre con los juguetes de los niños, que son un objetivo muy goloso. Recuerdo un caso de un juguete que hablaba... El hacker lo atacó y hablaba con el niño diciéndole que era Papá Noel. Podía obtener información del niño, conversaciones… y almacenar grabaciones que lo ayudaran a convencer a otros niños de que él era uno de ellos, de forma que podrían darse casos de pederastia. Ha habido varias marcas de juguetes que han sido atacadas. El sistema que proponemos serviría para estos casos.
P: ¿Cree que ese etiquetado acabará siendo una medida obligatoria?
R: En el sistema de evaluación hay varios niveles: desde que la propia empresa evalúe la seguridad del producto, hasta que la organización vaya a la empresa, evalúe el producto, lo ataque y certifique que es seguro. Quizá en Europa el nivel mínimo sí que acabe siendo obligatorio.
P: ¿Hacia dónde se dirige su investigación?
R: Hasta ahora, nos hemos centrado en dispositivos aislados, pero un sistema está compuesto de muchísimos aparatos. Imagina un coche automático que tiene un montón de dispositivos del internet de las cosas. Si falla uno, pueden fallar otros por el efecto cascada. La idea ahora es analizar esas dependencias y que formen parte de la medida de seguridad que estamos obteniendo. También queremos que, si un fabricante de un dispositivo descubre una vulnerabilidad en el producto, pueda compartir la información. Estamos enlazando eso con la certificación. Si se descubre una vulnerabilidad, pretendemos que llegue a la entidad que hace las certificaciones, se revalúe el producto… y la etiqueta se actualice.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.
Sobre la firma
