Andreu Bravo Sánchez

Responsable de innovación en ciberseguridad OT/IoT

Socio - Risk Advisory IT, Deloitte

Hace más de treinta años, cuando en las universidades enseñaban el funcionamiento de “la máquina sencilla” y sus componentes como punto de partida básico en el diseño de computadoras, no existía diferencia alguna entre si el uso que se le iba a dar a aquella tecnología era el procesamiento y tratamiento de información intangible en entornos “virtuales” o el control de las operaciones en entornos industriales reales.

Sin embargo, aunque en aquella máquina sencilla todo se reducía a tres elementos: una unidad central de proceso (Unidad Lógico-Aritmética o ALU para los nostálgicos), una memoria de almacenamiento y un bus de datos; los distintos enfoques y las aplicaciones que se le fueron realizando a lo largo de los años supusieron el desarrollo de múltiples variantes como si de la evolución darwinista de las especies se tratase.

Las máquinas en sus orígenes fueron concebidas para comenzar operando de forma aislada, posteriormente se configuraron y diseñaron para compartir información entre ellas realizando tareas más o menos complejas, de allí pasaron a ser utilizadas como herramientas para facilitar la comunicación entre las personas, evolucionaron después hacia escenarios mixtos en los que las personas hablaban con las máquinas, y finalmente, fruto del aprendizaje, hemos llegado a un escenario en donde las máquinas discuten entre ellas y su principal tema de conversación somos nosotros, las personas.

Esta evolución no habría sido posible sin que los avances tecnológicos hubiesen permitido incrementar, entre otros aspectos, la velocidad de procesamiento, la potencia de cálculo, la capacidad de almacenamiento, la miniaturización del hardware y la reducción del consumo energético; pero ha sido la combinación de esas mejoras junto con el fin perseguido por sus diseñadores y a las necesidades exigidas por sus consumidores lo que ha dado pie a la consolidación de dos grandes especialidades, que no especies: Tecnologías de la Información (IT) líderes del mundo virtual y Tecnologías de la Operación (OT) conocidas también como los sistemas de control industrial.

Ambas corrientes, lideradas por diferentes gremios, han coexistido durante varias décadas como si perteneciesen a dos mundos paralelos pero distantes, ignorándose como si no compartiesen nada en común y sin haber aprovechado el tiempo aprendiendo el uno del otro. Algunos ejemplos de este distanciamiento son sus distintas aproximaciones a la segmentación de sus redes, aisladas hasta ahora para unos y abiertas para otros, o su estrategia de gestión de cambio, algo casi prohibido en entornos industriales estáticos en contraposición a los entornos dinámicos donde la actualización y la corrección de errores es el único medio posible de supervivencia.

Estas diferencias podrían haber seguido así durante muchos años de no ser porque en el proceso evolutivo de la máquina sencilla existía un cuarto componente al que no se le dio mucha importancia, la interfaz I/O (input/output) o, dicho de otra forma, el mecanismo de entrada y salida de información para interactuar con el medio exterior, considerado inicialmente como algo secundario para no quitar protagonismo a la capacidad de cálculo, pero que, con los avances tecnológicos comentados anteriormente, se ha convertido en un elemento clave al ser la fuente de materia prima (los datos, o el nuevo petróleo como se le denomina actualmente) necesaria para realizar cálculos complejos como el autoaprendizaje (machine learning, deep learning, …), como la analítica predictiva e incluso la inteligencia artificial.

Con la llegada de la cuarta revolución industrial y la hiperconectividad ofrecida por internet y las redes inalámbricas, el desarrollo masivo de dispositivos de entrada y salida de información capaces de interactuar con su entorno y entre sí, ha dado pie al surgimiento de una nueva familia de tecnologías bautizada como Internet de las Cosas (IoT) pero que en realidad no es más que el fruto de la evolución de ese cuarto componente de la máquina sencilla: los dispositivos de entrada y salida de información.

Atendiendo estrictamente a su definición, la categoría Internet de la Cosas abarcaría cualquier tecnología diseñada para comunicarse con otras tecnologías a través de internet sin necesidad de intervención humana, pero lo que la hace realmente diferencial es que, para poder mantener esa interacción de forma continuada con otras máquinas, ellas mismas han de ser capaces de recoger información del entorno a través de sensores (temperatura, presión, velocidad, pulso, presencia, luz, composición química, geoposicionamiento, etc.) o de generarla y procesarla interpretando comportamientos y tendencias e incluso de poder interactuar con el medio físico a través de relés, motores paso a paso, electroválvulas o sirenas.

Algunos ejemplos de dispositivos IoT actuales son los relojes de pulsera inteligentes (smartwatch), contadores de la luz, vehículos, ascensores, marcapasos, semáforos, bombas de insulina, cerraduras inteligentes, etc.

El despliegue masivo de estos pequeños sistemas o “cosas” dedicadas a la monitorización y al control remoto, y su interconexión indistinta con tecnologías de la información y con tecnologías de las operaciones no solo está acortando las distancias entre ambos mundos, si no que obliga a la coexistencia en un hábitat único donde las tecnologías de la operación se preparan y adaptan rápidamente para combatir los riesgos y amenazas de las tecnologías de la información y viceversa.

Volviendo al silogismo de Darwin, si la evolución de las tecnologías ha de dar pie a una taxonomía de “especies tecnológicas”, será el internet de las cosas quién, además de hacer converger los mundos IT y OT, provocará el perfilado de unas nuevas “especies” que reflejen los contextos de las distintas industrias y sectores por segmentos como “smart energies”, “connected cars”, “connected buildings”, “manufacturing”, “smart health” o “smart cities” en los que los condicionantes de sus realidades y de sus procesos serán determinantes en la definición de sus arquitecturas y de sus metodologías mientras que, por otro lado, las capacidades de protección y seguridad confluyen en servicios y sistemas centralizados capaces de correlacionar todo tipo de eventos, identificando cualquier amenaza y reaccionando frente a cualquier incidente tanto en el plano físico como digital.

Entrando en este último ámbito, uno de los principales retos derivados de esta evolución tecnológica es la adaptación de la seguridad al contexto cambiante de las industrias y a la naturaleza y uso de la información recolectada y procesada por el Internet de las Cosas. La recolección masiva de datos de carácter personal y su tratamiento, junto con la involucración de estas tecnologías en la prestación de servicios esenciales para la sociedad, ponen en evidencia la necesidad de mejorar los mecanismos de control de acceso a la información, el cifrado, la monitorización y la trazabilidad de los procesos en todos los elementos de la cadena de extremo a extremo. Desde los pequeños dispositivos IoT, actualmente con recursos y capacidades limitadas, hasta los sistemas industriales centralizados, considerados en muchos casos como infraestructuras críticas, pasando por las plataformas y servicios de terceros emplazados en nubes y contemplando todos los elementos (actores, tecnologías y protocolos) que componen las autopistas de la información (redes de telecomunicación inalámbricas o no) que las conectan

Todo un reto si lo complementamos con la carencia actual de especialistas en seguridad y con la inmadurez y heterogeneidad de la regulación y legislación existente, pero que visto desde una perspectiva positiva supone un desafío apasionante para los profesionales del sector.