Tema 1

Ciberseguridad en Internet de las Cosas

Fundamentos de la IoT
 Índice
Esquema 3

Ideas clave 4
1.1. Introducción y objetivos 4
1.2. Definiciones relacionadas con la IoT y la
ciberseguridad 7
© Universidad Internacional de La Rioja (UNIR)

1.3. Los sistemas IoT en la actualidad 18

1.4. Consideraciones de seguridad 24
1.5. Marco legal y normativo aplicable a las IoT 26
1.4. Referencias bibliográficas 30

A fondo 32

Test 34
 Esquema
© Universidad Internacional de La Rioja (UNIR)

Título de la Asignatura
3
Tema x. Esquema
 Ideas clave

1.1. Introducción y objetivos

En este tema se describen los conceptos y fundamentos más importantes

relacionados con la Internet de las cosas y la Internet industrial de las cosas.

El tema se centra, fundamentalmente, en los aspectos relacionados con la

importancia de la IoT e IIoT, los beneficios que se obtienen como consecuencia de su
aplicación y la orientación de ciberseguridad respecto a los mismos. Estos conceptos
son esenciales ya que servirán para comprender las perspectivas de futuro en las
interconexiones entre dispositivos, personas e Internet, con el fin de mejorar los
procesos y minimizar los esfuerzos.

Para poder entender la repercusión y el valor de la IoT en la sociedad y en la industria

debemos pararnos a conocer el origen de esta.

Origen e historia

Se considera que el primer dispositivo conectado a Internet fue en 1982 en la

Universidad Carnegie Mellon en Pittsburgh, donde se conectó una máquina
expendedora de bebidas. El sistema consistía en una serie de interruptores
conectados a las bandejas para determinar el número de bebidas de cada una y
conectaron esa máquina a una red local a través de una red Ethernet. Este sistema
fue evolucionando desde informar del número de bebidas, comprobar si las bebidas
© Universidad Internacional de La Rioja (UNIR)

estaban frías, todo ello a través de un programa informático que en unos inicios solo
podía ser accedido desde el servidor local, pero que posteriormente fue conectado a
Arpanet (Internet).

Ciberseguridad en Internet de las Cosas

4
Tema 1. Ideas clave
 Este hecho abrió el camino de la industria 4.0, la IA y lo que conocemos como IoT.
Aunque este término no fue utilizado hasta 1999 en entornos e investigación, Kevin
Ashton, un profesor del MIT, apodado como el padre de la Internet de las cosas, fue
el primero en utilizar el concepto de Internet de las cosas en una conferencia sobre
la conectividad de sensores para controlar las existencias de una tienda. Años más
tarde, en 2009, Ashton confirmó que el acrónimo de IoT empezó a utilizarse gracias
a Twitter, ya que en ahí se utilizan hashtags como sucedió con #IoT.

Los IoT y la Industria 4.0 - IIoT

En los últimos años cada vez es más frecuente escuchar el concepto de industria 4.0,
incluso cada vez más se sectoriza este concepto y empezamos a escuchar conceptos
como agricultura 4.0, ganadería 4.0, etc.

El término industria 4.0 o cuarta revolución industrial se refiere al nuevo proceso que
está sufriendo actualmente la industria, asociado con automatización y la fabricación
informatizada de todos los procesos interconectados por medio del Internet de las
cosas (IOT). Este concepto de Internet de las cosas orientado a la industria es
denominado como IIoT. Para muchos autores, este concepto de industria 4.0 está
directamente ligado al de CPS (Cyber Physical Systems) y al de IoT, como podemos
ver en la Figura 1.
© Universidad Internacional de La Rioja (UNIR)

Ciberseguridad en Internet de las Cosas

5
Tema 1. Ideas clave
 Figura 1. IoT e industria 4.0. Fuente: Industrial Internet of Things (s.f.).

La entrada de estos CPS en la industria ha traído grandes ventajas desde el

punto de vista productivo y del conocimiento, pero también algunos
interrogantes y problemáticas.

La principal problemática es que la entrada de estos sistemas se realizó sin tener en

cuenta el concepto de seguridad y los nuevos riesgos que suponía esa
automatización de procesos.

Debido a la alta competitividad que se les exigía a los sistemas, a sus requerimientos
crecientes de productividad y conectividad, se propiciaron sistemas cada vez más
abiertos y generales, orientando la parte operacional (OT) de las compañías
industriales a las de información (TI), para hacerlas converger a medio plazo. Esta
tendencia propició que cada vez más sistemas de control industriales tuviesen
conectividad sobre redes TCP/IP, Ethernet e incluso conectividad inalámbrica. Dichos
protocolos de red están estandarizados y tienen medidas de seguridad adecuadas,
siempre y cuando estas sean configuradas.
© Universidad Internacional de La Rioja (UNIR)

La conectividad de los sistemas industriales suponía grandes ventajas para las

empresas, pero también incrementó los riesgos de estas al aumentar la visibilidad y
exposición al exterior, máxime si dichos sistemas no estaban correctamente
gestionados. Así, por ejemplo, hoy en día es posible encontrar pequeñas compañías

Ciberseguridad en Internet de las Cosas

6
Tema 1. Ideas clave
 de energías renovables que gestionan sus plantas eólicas y solares por Internet, pero
carecen de protocolos de seguridad apropiados.

Por lo tanto, la llegada de la IoT ha permitido un gran abanico de nuevas

oportunidades a las industrias, pero también posibilitó un escenario con muchas
más amenazas que debía ser gestionado, en este escenario entra el concepto de
ciberseguridad en IoT.

Los objetivos que se alcanzarán tras la lectura de este tema son los siguientes:

 Conocer las definiciones formales asociadas con el Internet de las cosas, el

Internet de las cosas en la industria, los sistemas ciberfísicos, y la ciberseguridad.
 Comprender la importancia que tienen para las empresas los análisis de riesgos,
normativas y controles asociados con la seguridad de la parte operacional de sus
sistemas.
 Entender la importancia real de que los ambientes industriales cuenten con
medidas de ciberseguridad adecuadas.

1.2. Definiciones relacionadas con la IoT y la

ciberseguridad

En este apartado se incluyen las definiciones relacionadas con algunos de los conceptos
más importantes que se tratarán. Resulta imprescindible partir de una visión común para
estos términos que están muy relacionados; en ocasiones se tocan y pueden, por lo
tanto, resultar confusos.
© Universidad Internacional de La Rioja (UNIR)

Para que todos los que sigan el curso puedan tener la misma visión, se utilizará como
glosario la Guía de Seguridad (CCN-STIC-401) desarrollada en el año 2010 y
actualizada en agosto de 2015 por el Centro Criptológico Nacional, dependiente del

Ciberseguridad en Internet de las Cosas

7
Tema 1. Ideas clave
 Ministerio de Hacienda y Administraciones Públicas del Gobierno de España, que está
disponible para su descarga (Ministerio de Hacienda y Administraciones Públicas
2015) (CCN-STIC-401 2015).

Figura 2. Esquema de los principales elementos que se analizarán en el aparatado de definiciones. Fuente:
elaboración propia.

A continuación, se analizarán los principales conceptos que se pueden ver en la Figura

2. Estos son conceptos que el alumno debe tener siempre en mente. Es importante
destacar que no son los únicos que se tratarán en el curso, pero sí son aquellos que
suponen la columna vertebral sobre los que se sustentan los demás. El resto de los
conceptos se pueden seguir en la guía recomendada.

Definición de ciberseguridad

Actualmente existen varias definiciones formales para esta palabra. Aunque en la

realidad la mayor parte de las veces es mal utilizada y se utiliza indistintamente para
la seguridad informática en general, aunque debería ser usada solo cuando
© Universidad Internacional de La Rioja (UNIR)

intentamos proteger algo dentro del ciberespacio.

De manera informal, se considera que la ciberseguridad es la protección de los

sistemas informáticos contra amenazas que intentan causar daños en activos de
valor, aprovechando vulnerabilidades dentro de los controles que intentan proteger

Ciberseguridad en Internet de las Cosas

8
Tema 1. Ideas clave
 estos activos. Es decir, la ciberseguridad consiste en la implantación de controles
eficientes que impidan a las amenazas causar un daño sobre nuestros activos de
valor.

Centrándonos en las definiciones formales, la Guía de Seguridad (documento CCN-

STIC-401) presenta varias definiciones, de las que aquí mostramos las que
consideramos más relevantes:

«2.219.1 – Definición de la O.M. 10/2013, de 19 de febrero del Ministerio de

Defensa Español: Conjunto de actividades dirigidas a proteger el
ciberespacio contra el uso indebido del mismo, defendiendo su
infraestructura tecnológica, los servicios que prestan y la información que
manejan.

2.219.2 - Conjunto de actuaciones orientadas a asegurar, en la medida de lo

posible, las redes y sistemas que constituyen el ciberespacio: i) Detectando
y enfrentándose a intrusiones; ii) Detectando, reaccionando y
recuperándose de incidentes, y iii) Preservando la confidencialidad,
disponibilidad e integridad de la información.

2.219.3 - Sinónimo del término Ciberdefensa. Normalmente el término

Ciberdefensa se suele utilizar en el ámbito militar, y el término
Ciberseguridad en el ámbito civil, aunque en el presente estudio se han
utilizado indistintamente ambos términos (ISDEFE, 2009)».

Como se puede ver, las definiciones son muy diversas. Unas intentan limitar la
ciberseguridad al ámbito civil frente al militar y otras, en cambio, intentan limitarlo
al ámbito del ciberespacio.

La realidad es que es muy difícil separar hoy el ámbito físico del ciberespacio, dado
que todos los componentes se encuentran cada vez más conectados y casi todos
ellos requieren de una conexión a Internet, aunque sea temporalmente y de forma
© Universidad Internacional de La Rioja (UNIR)

limitada. Por ello, se ha tomado como costumbre incluir dentro del alcance de la
ciberseguridad todo aquello que pueda afectar al sistema TIC (tecnologías de la
información y comunicación) de las organizaciones.

Ciberseguridad en Internet de las Cosas

9
Tema 1. Ideas clave
 Así mismo, y dentro de estas definiciones hemos visto una serie de palabras que es
importante que el alumno estudie dentro del documento CCN-STIC-401, con el
objetivo de familiarizarse con ellas.

Definición de activo de información (A)

Los activos son el principal elemento de cualquier sistema de información o

sistema industrial que se desea proteger y para el que se debe desarrollar una
correcta estrategia de ciberseguridad que incluya controles para protegerlo y
una correcta gestión del riesgo.

Lo primero que tenemos que entender de los activos es que se pueden dividir en dos
bloques:

 Los denominados TI/IT, que están asociados a las tecnologías de la información

(por ejemplo: Intranet, programas de gestión, etc.).
 Los llamados OT, asociados a las tecnologías operativas y más focalizados a la parte
industrial (por ejemplo: Scadas, PLCs, etc.).

Cuando hablamos de ciberseguridad industrial muchas veces pensamos en activos

OT, pero la realidad es que cada vez están más vinculados ambos tipos de activos,
con lo que cada vez es más complicado poder separar el uno del otro, esto ha
sucedido a raíz de la llegada de los IoT, donde las nuevas tendencias utilizan esta
alternativa en contraposición de otras más tradicionales como los SCADA.

Formalmente, el documento CCN-STIC-401 da algunas definiciones de activos, aquí

mostramos las que consideramos más relevantes:
© Universidad Internacional de La Rioja (UNIR)

«2.10.1 - Componente o funcionalidad de un sistema de información

susceptible de ser atacado deliberada o accidentalmente con consecuencias
para la organización. Incluye: información, datos, servicios, aplicaciones
(software), equipos (hardware), comunicaciones, recursos administrativos,
recursos físicos y recursos humanos (ENS 2010).

Ciberseguridad en Internet de las Cosas

10
Tema 1. Ideas clave
 2.10.2 - Componente o funcionalidad de un sistema de información
susceptible de ser atacado deliberada o accidentalmente con consecuencias
para la organización. Incluye: información, datos, servicios, aplicaciones
(software), equipos (hardware), comunicaciones, recursos administrativos,
recursos físicos y recursos humanos (UNE-71504 2008).

2.10.3 - (Estrategia del Servicio) Cualquier Recurso o Capacidad. Los Activos

de un Proveedor de Servicio incluyen todo aquello que se pueda atribuir a la
entrega del Servicio. Los Activos pueden ser de los siguientes tipos:
Administrativos, Organizativos, de Proceso, de Conocimiento, Personas, In-
formación, Aplicaciones, Infraestructura, y de Capital (ITIL:2007 2007).

2.10.4 - Recursos del sistema de información o relacionados con éste,

necesarios para que la Organización funcione correctamente y alcance los
objetivos propuestos por su Dirección» (MageritV3 2012)».

Como podemos ver, en general, las definiciones evitan entrar en las tipologías de los
activos, dado que estas pueden ser muy amplias. Lo que sí es importante es tener en
cuenta que cuando hablamos de activos también nos podemos estar refiriendo a un
servicio.

Actualmente, existen grandes problemáticas relacionadas con el simple hecho de

poder identificar y catalogar un activo dentro del sistema de información de una
compañía. Estamos acostumbrados a identificar activos tangibles (dinero, coches,
edificios), pero todavía existe una gran complejidad dentro de las organizaciones para
ser capaces de identificar sus activos de valor asociados a los sistemas de
información.

Para solucionar estas problemáticas han surgido tendencias en investigación que

intentan obtener fórmulas para la tasación objetiva del valor de los activos, bien desde
© Universidad Internacional de La Rioja (UNIR)

el punto de vista económico para una potencial venta o bien desde el punto de vista
de las pérdidas económicas que supondría el impacto de una amenaza sobre una de
sus dimensiones.

Ciberseguridad en Internet de las Cosas

11
Tema 1. Ideas clave
 También han surgido conceptos, como el de «activo de grano fino» frente al de
«activo de grano grueso», que pretende racionalizar la identificación de activos, dado
que algunas compañías intentaban catalogar hasta las unidades de teclado que
tenían, lo cual desde el punto de vista de la ciberseguridad y del control del riesgo no
es relevante.

Uno de los elementos que forman parte de los activos es el que se denomina
dimensión o criterio de riesgo, que varía según la normativa que se quiera aplicar y
que representa atributos del activo que pueden verse afectados por la amenaza. Es
decir, aquellos elementos o propiedades del activo sobre los que intenta impactar la
amenaza.

Estos criterios dependen del esquema normativo sobre el que estemos analizando el
riesgo, así:

 Si nos fijamos en un criterio normativo propio de gestión de seguridad de la

información como la norma ISO27001 (ISO/IEC27001 2013) o COBIT (COBITv5.0
2012) y orientada a la metodología de análisis y gestión de riesgos Magerit
(MageritV3 2012), las dimensiones de los activos serán entre otras:
confidencialidad (C), disponibilidad (D), integridad (I), legalidad (L), autenticación
(A) y no repudio (NR). Pueden existir otras.

 En cambio, si nos focalizamos en el ámbito de las infraestructuras críticas, sin

dejar de lado las anteriores, se busca también analizar otras dimensiones como:
impacto sobre las personas (IP), impacto económico (IE), impacto medioambiental
(IM) o impacto público y social (IPS).
© Universidad Internacional de La Rioja (UNIR)

Todo lo anteriormente mencionado demuestra la importancia de los activos dentro

de la ciberseguridad, pero también el enorme recorrido que queda todavía desde el
punto de vista de la investigación para poder catalogarlos y normalizarlos y la enorme
complejidad que, hoy en día, supone para las compañías su correcta identificación y
valoración.

Ciberseguridad en Internet de las Cosas

12
Tema 1. Ideas clave
 Definición de amenazas de seguridad (T)

Las amenazas son aquellos elementos que intentan alcanzar alguna de las
dimensiones de un activo de valor y causar un impacto negativo en ellas.

Una de las primeras cosas que debemos tener en cuenta cuando hablamos de
amenazas en los sistemas de información es que estas no tienen por qué tener un
impacto que seamos capaces de apreciar a simple vista. Es decir, cuando nos roban
un coche enseguida detectamos que ese coche ya no está, pero cuando hablamos de
información el robo de esta no implica que desaparezca, tan solo que la dimensión
de «confidencialidad» se ha visto afectada por una amenaza (por ejemplo: troyano)
que está accediendo a esa información sin permiso, poniendo en riesgo el activo
propietario de la dimensión.

Formalmente, el documento CCN-STIC-401 da algunas definiciones de amenazas,

aquí mostramos las que consideramos más relevantes:

«2.42.1 - Causa potencial de un incidente no deseado que puede ocasionar

daño a un sistema o a una organización (UNE-ISO/IEC-27000 2014)».

«2.42.3 - Cualquier cosa que pueda aprovechar una Vulnerabilidad. De esta

forma, cualquier causa potencial de un Incidente puede ser considerada una
Amenaza. Por ejemplo, un fuego es una Amenaza que puede aprovechar la
Vulnerabilidad de moquetas inflamables. Este término es comúnmente usado
en la Gestión de la Información de Seguridad y la Gestión de Continuidad del
Servicio de TI, pero también aplica a otras áreas tales como Gestión de la
Disponibilidad y Problemas» (ITIL:2007 2007).

«2.42.4 - Cualquier circunstancia o evento que puede explotar,

intencionadamente o no, una vulnerabilidad específica en un Sistema de las
TIC resultando en una pérdida de confidencialidad, integridad o
© Universidad Internacional de La Rioja (UNIR)

disponibilidad de la información manejada o de la integridad o

disponibilidad del propio Sistema».

«2.42.8 - Eventos que pueden desencadenar un incidente en la

Organización, produciendo daños materiales o pérdidas inmateriales en sus
activos (MageritV3 2012).

Ciberseguridad en Internet de las Cosas

13
Tema 1. Ideas clave
 2.42.9 - Causa potencial de un incidente que puede causar daños a un
sistema de información o a una organización» (UNE-71504 2008).

Como podemos ver, las definiciones son muy diversas y poco homogéneas, algunas
están enfocadas a la vulnerabilidad, otras a subconjuntos de dimensiones. Esto no
es ni más ni menos que un reflejo de la complejidad de las amenazas y de su enorme
diversidad.

Definición de controles/salvaguardas de seguridad (C)

Los controles son aquellas medidas que introducimos dentro de nuestro

sistema de información con el objetivo de poder evitar que una amenaza
impacte sobre una dimensión de riesgo de un activo de valor.

Un ejemplo sería un antivirus, que es un control de seguridad que pretende evitar

que una amenaza —un virus—, pueda causar un impacto sobre una dimensión de un
activo de valor, como podría ser disponer de un sistema de nóminas.

Formalmente, el documento CCN-STIC-401 da algunas definiciones de control, aquí

mostramos las que consideramos más relevantes:

«2.306.1 – Medida que modifica un riesgo (UNE-Guía73 2010)».

«2.306.3 - Un medio de gestión de Riesgo, asegurando que el Objetivo de

Negocio es alcanzado, o asegurando que un Proceso es seguido. Ejemplos
de Controles incluyen: Políticas, Procedimientos, Roles, RAID, etc. Un control
es llamado, algunas veces, Contramedida o medida de seguridad. Control
también es un medio de gestionar el uso o comportamiento de un Elemento
de Configuración, Sistema o Servicio TI (ITIL:2007 2007).
© Universidad Internacional de La Rioja (UNIR)

2.306.4 - Las políticas, procedimientos, prácticas y estructuras

organizacionales diseñadas para proporcionar una garantía razonable de
que los objetivos del negocio se alcanzarán y los eventos no deseados serán
prevenidos o detectados (COBITv4.0 2006)».

Ciberseguridad en Internet de las Cosas

14
Tema 1. Ideas clave
 Como podemos ver, en general las definiciones varían mucho, pero al final la base es la
misma: son elementos que nos permitirán controlar el riesgo.

Definición de vulnerabilidades de seguridad (V)

Las vulnerabilidades son aquellos fallos existentes en nuestros sistemas, bien

por malas implantaciones de controles o por ausencia de estos, que
permitirán a las amenazas llegar hasta el activo y causar un impacto negativo
sobre el mismo.

Un ejemplo sería un antivirus desactualizado que se convierte en un control

ineficiente o con una vulnerabilidad que puede ser aprovechada por un virus para
causar un impacto sobre una dimensión o disponibilidad de un activo de valor (por
ejemplo, un sistema de nóminas).

Formalmente, el documento CCN-STIC-401 da algunas definiciones de

vulnerabilidad, aquí mostramos las que consideramos más relevantes:

«2.1050.2 - Debilidad de un activo o de un control que puede ser explotada

por una o más amenazas (UNE-ISO/IEC-27000 2014).

2.1050.3 - Propiedades intrínsecas de que algo produzca como resultado una

sensibilidad a una fuente de riesgo que puede conducir a un suceso con una
consecuencia (UNE-Guía73 2010).

2.1050.4 - Una debilidad que puede ser aprovechada por una Amenaza. Por
ejemplo, un puerto abierto en el cortafuegos, una clave de acceso que no se
cambia, o una alfombra inflamable. También se considera una
Vulnerabilidad un Control perdido» (ITIL:2007 2007)».
© Universidad Internacional de La Rioja (UNIR)

«2.1050.6 - Debilidad de seguridad de un sistema que le hace susceptible de

poder ser dañado al ser aprovechada por una amenaza (CCN-STIC-400
2006)».

«2.1050.8 - Defecto o debilidad en el diseño, implementación u operación

de un sistema que habilita o facilita la materialización de una amenaza
(MageritV3 2012)».

Ciberseguridad en Internet de las Cosas

15
Tema 1. Ideas clave
 Desde el punto de vista de la ciberseguridad, la que mejor se adapta es la definición
de MAGERIT, que lo considera un defecto o debilidad del diseño del sistema. De una
forma más radical, se podría ver como el incumplimiento en el nivel de cobertura de
un control, ya sea parcialmente, es decir, por un fallo en la implementación de este,
o totalmente, por la ausencia de implementación.

Definición de análisis de riesgos (AR)

Una vez definidos todos los elementos anteriores nos encontramos en disposición de
explicar lo que es un análisis de riesgos, pero antes, conviene explicar un concepto
asociado a este, que es el de patrón o esquema.

Un patrón o esquema es la unión de todos los elementos mencionados

anteriormente (activos, amenazas, controles y vulnerabilidades) y sus
relaciones con el objetivo de poder analizar y gestionar los riesgos.

Mediante la selección de un patrón normativo y la valoración de sus elementos

podemos analizar los riesgos a los que están sometidos los activos y procesos de la
organización y tomar medidas para mitigarlos.

Formalmente, el documento CCN-STIC-401, da algunas definiciones de análisis de

riesgos, aquí mostramos las que consideramos más relevantes:

«2.52.1 - Proceso que permite comprender la naturaleza del riesgo y

determinar el nivel de riesgo (UNE-Guía73 2010).

2.52.2 - Utilización sistemática de la información disponible para identificar

peligros y estimar los riesgos (ENS 2010).
© Universidad Internacional de La Rioja (UNIR)

2.52.3 - Proceso que permite comprender la naturaleza del riesgo y

determinar el nivel de riesgo (UNE-Guía73 2010).

2.52.4 - Proceso sistemático para estimar la magnitud de los riesgos a que

está expuesta una Organización» (MageritV3 2012)».

Ciberseguridad en Internet de las Cosas

16
Tema 1. Ideas clave
 El concepto de análisis y de gestión del riesgo es fundamental para entender la
ciberseguridad industrial, ya que es la base de las normativas actuales y el sistema
por el que las organizaciones toman decisiones para mejorar.

Definición de Internet de las cosas

Se puede catalogar IoT como una combinación de dispositivos actuadores y sensores,

con una interconexión digital de los objetos cotidianos a través de internet sin la
interacción de persona a persona o de persona a computador. Así mismo la norma
ISO/IEC 20924 la describe como «…infrastructure of interconnected entities, people,
systems and information resources together with services which processes and
reacts to information from the physical world and virtual world».

Figura 1. Descripción gráfica IoT. Fuente: elaboración propia.

En resumen, podemos decir que esa trata de la capacidad de comunicar

información para que pueda ser utilizada por los diferentes servicios o
stakeholders.

Definición de ciberseguridad en IoT

© Universidad Internacional de La Rioja (UNIR)

Una vez que hemos entendido los conceptos de ciberseguridad, análisis de riesgos y
de IoT, ya estamos en disposición de entender qué es la ciberseguridad en IoT.
El aumento masivo del uso de los diferentes dispositivos de IoT que se utilizan en la
nuestra vida cotidiana, así como en la industria, repercute en un aumento de las

Ciberseguridad en Internet de las Cosas

17
Tema 1. Ideas clave
 vulnerabilidades. Tanto es así que más del 50 % de las amenazas dentro de la
industria en los últimos años están relacionadas con este tipo de dispositivos.

La mayor parte de estos dispositivos no se focalizan en incorporar mecanismos de

seguridad; tanto es así que muchos de ellos presentan fuertes debilidades como
puede ser la limitación de recursos, de esta forma los controles de seguridad no se
pueden aplicar con eficacia ya que en ocasiones los fabricantes de estos dispositivos
no los implementan para abaratar los costes.

Este será nuestro objetivo principal, llegar a entender todos esos elementos que
intervienen a la hora de gestionar un sistema de IoT y cómo podemos controlarlos a
la vez que cumplimos con la normativa existente.

1.3. Los sistemas IoT en la actualidad

Los ecosistemas de IoT están formados por multitud de elementos que lo conforman
como son las «cosas», la toma de decisiones inteligentes, los sensores, actuadores y
los sistemas integrados

Figura 2. Esquema de los principales elementos que se analizarán en el aparatado de sistemas de IoT en la
© Universidad Internacional de La Rioja (UNIR)

actualidad. Fuente: elaboración propia.

Ciberseguridad en Internet de las Cosas

18
Tema 1. Ideas clave
 Las cosas de IoT

Consideremos una cosa como un objeto físico o virtual susceptible de poder ser
identificado e incorporado a una red de comunicación. Para que esto suceda, las
«cosas» tienen que poder comunicarse entre sí con los diferentes servicios que
puedan existir en la red.

Por otro lado, se debe tener en cuenta que las «cosas» pueden tener diferentes
características como son la detección, captura, almacenamiento y procesamiento de
datos, ejecución de aplicaciones, aprendizaje automático, etc. Se debe entender el
conjunto de cosas como un ecosistema que convive y puede ser gestionado mediante
herramientas o sistemas inteligentes que permiten monitorear y controlar de forma
autónoma, de tal forma que pueden proveer de información para toma de decisiones
inteligentes.

Toma de decisiones inteligentes

Cada vez son más la cantidad de dispositivos con la capacidad de procesar, analizar,
procesar y compartir información que se conectan a un sistema inteligente. Esto
deriva en la conectividad de miles de millones de «cosas» conectadas a la red, las
cuales generan cantidades de información ingobernables. Por ello, se deben
implementar técnicas de gestión de esos datos, así como análisis de estos para
poder conseguir información relevante en la toma de decisiones. Así mismo, el
concepto de IoT compromete la actuación, por tanto, también afectaría a la misma.

La toma de decisiones está totalmente ligada a la información de la que se dispone.

Esta toma de decisiones puede ser tan sencilla como la activación de un dispositivo o
© Universidad Internacional de La Rioja (UNIR)

tan compleja como el aprendizaje automático. Esta toma de decisiones conduce a

actuaciones que posteriormente generarán más información, retroalimentando el
sistema y mejorando las decisiones.

Ciberseguridad en Internet de las Cosas

19
Tema 1. Ideas clave
 Sensores y actuadores

Los sensores son la parte fundamental de IoT, ya que a partir de ellos podemos
monitorear los sistemas y el entorno, así como el contexto en el que opera el sistema.
Los sensores pueden tener diferentes tamaños, desde milímetros, para poder ser
integrados en objetos físicos, desde carreteras hasta marcapasos…

Los sensores pueden medir indicadores físicos, químicos, biológicos o incluso

información sobres las redes aplicaciones y sistemas. Una vez obtenida la
información se generar datos cuantitativos para su procesamiento en tiempo real o
almacenamiento y posterior recuperación. Algunos tipos de sensores pueden ser los
sensores de temperatura, presión, luz y sensores acústicos entre otros...
© Universidad Internacional de La Rioja (UNIR)

Figura 5. Ejemplos de sensores y actuadores. Fuente: Geeker (s.f.).

Un actuador puede considerarse como la entidad que mueve y controla un sistema o

mecanismo. Es decir, un actuador realiza la operación contraria a un sensor, toma
una entrada eléctrica y la convierte en una acción física. Por ejemplo, imaginemos

Ciberseguridad en Internet de las Cosas

20
Tema 1. Ideas clave
 una lámpara o un termostato inteligentes, sus actuadores pueden regular la luz o la
temperatura a partir de una señal eléctrica.

En conclusión, los sensores realizan las funciones de dispositivos de entrada de

información sobre entornos o contextos y los cuales serán tratados posteriormente.
Por el contrario, los actuadores realizan las funciones de salida, actúan a partir de
una información procesada o toma de decisiones como hemos comentado. La
mayoría de los dispositivos de entrada y salida en los IoT se encuentran integrados
en sistemas.

Sistemas Integrados

Los sensores y actuadores son los elementos principales de un ecosistema IoT. Estos
pueden estar conectados a los backend a través de pasarelas para que los datos
extraídos por los sensores sean procesados y se puedan tomar decisiones. Cómo se
ha comentado con anterioridad los sensores y actuadores no tienen por qué trabajar
de forma individualizada, y pueden encontrase en un sistema integrado, donde se
incluyen tanto sensores como actuadores de forma integrada, con capacidad de
conexión a redes LAN o Internet. Los sistemas integrados de IoT trabajan como una
unidad única de procesamiento por lo que pueden procesar información por si solos.
Algunos dispositivos que contienen este tipo de sistemas integrados pueden ser
relojes inteligentes, implantes médicos, termostatos inteligentes.
© Universidad Internacional de La Rioja (UNIR)

Figura 6. Sistema Integrado IoT reloj inteligente: Fuente Bernier (2021).

Ciberseguridad en Internet de las Cosas

21
Tema 1. Ideas clave
 Comunicaciones

Los requisitos de comunicación varían dependiendo de las necesidades de las redes

de IoT en función de su desempeño y los recursos. La elección de un protocolo de
comunicación para ser implementado en un ecosistema de IoT dependerá de los
requisitos de este y de su caso de uso. La combinación de diferentes protocolos es
una de las prácticas utilizadas más comunes dentro de los ecosistemas de IoT; de esta
forma se puede garantizar la interoperabilidad.

Existen dos tipos de protocolos de comunicación que se encuentran dentro de los

sistemas de IoT, estos pueden ser inalámbricos o de conexión directa. Dentro de los
protocolos inalámbricos podemos encontrar una gran cantidad:

 Protocolos de radio de corto alcance:

• ZigBee.
• Bluetooth.
• BLE.
• Wi-Fi.
• Wi-Fi HaLow.

 Comunicación de campo cercano:

• NFC.

 Identificación de radio frecuencia:

• RFID.

 Redes móviles y protocolos de radio de gran alcance:

© Universidad Internacional de La Rioja (UNIR)

• LoRaWAN.
• SigFox.
• NarrowBand-IoT (NB-IoT).
• LTE-M.

Ciberseguridad en Internet de las Cosas

22
Tema 1. Ideas clave
 Cada uno de los protocolos se define bajo su propio estándar, como, por ejemplo,
ZigBee y ZibBee 3.0 están basados en IEEE 802.15.4.

Los protocolos de conexión directa o cableado:

 Ethernet.
 USB.
 SPI.
 MIPI.
 I2C.

Cabe destacar que las comunicaciones en IoT admiten diferentes protocolos que no
tienen que estar basados en IP, como pueden ser SMS, LiDar, Radar, etc…

Las tecnologías inalámbricas tienen diferentes características como pueden ser

rangos de señal especifico, el ancho de banda. Además, pueden ser clasificadas
dentro de diferentes tipos de red: red de área personal inalámbrica (WPAN), red de
área local inalámbrica (WLAN), red de área inalámbrica amplia (WWAN)

A continuación, se muestra una lista de los diferentes protocolos agrupados por la

capa. La capa de enlace gestiona la conectividad entre los dispositivos de IoT a través
de un enlace físico ya sea de cable o inalámbrico, como puede ser entre varios
sensores o un sensor y la puerta de enlace que a su vez se conectan a Internet. La
capa de red se divide en dos partes; encapsulación, que construye los paquetes, y
enrutamiento, que se encarga de la transferencia de paquetes de un punto de la red
a origen a otro destino. Por último, la capa de sesión es donde se definen los
protocolos de mensajería entre los elementos IoT.
© Universidad Internacional de La Rioja (UNIR)

Ciberseguridad en Internet de las Cosas

23
Tema 1. Ideas clave
 Tabla 1. Protocolos por capas de IoT. Fuente: elaboración propia a partir de adaptada de Enisa.

Hay que destacar que el hecho de que en el término «Internet de las cosas» aparezca
la palabra Internet, no quiere decir que necesariamente estén conectados a Internet,
ya que el único requisito es que puedan ser transmitidos los datos.

1.4. Consideraciones de seguridad

A medida que la dependencia a la conectividad continua y los dispositivos inteligentes

crece en nuestra vida cotidiana, existen innumerables elementos que pueden
entrometerse y afectar a aspectos de nuestra privacidad o de información sensible
que puede ser vulnerada. De tal forma que podemos decir que la seguridad es un
factor principal de preocupación y atención en relación con IoT, este aspecto debe
abordarse del mismo modo que la seguridad general ya que se trata de aspectos
íntimamente relacionados con el mundo físico.

Un aspecto que a menudo se omite es la gestión y administración de los dispositivos

de IoT, estos deben tener designados un responsable, ya que si consideramos todo
el contexto como un ecosistema de IoT implica una gran complejidad y debe ser
heterogéneo; asimismo, debemos tener en cuenta la capacidad de escalabilidad de
© Universidad Internacional de La Rioja (UNIR)

este.

A continuación, se detallan una serie de elementos que afectan directamente a los

entornos seguros de IoT:

Ciberseguridad en Internet de las Cosas

24
Tema 1. Ideas clave
  Amplio abanico de ataque: la rápida evolución de los distintos dispositivos implica
a su vez que las amenazas y los riesgos lo hacen a la vez. Como ya sabemos, IoT se
basa en la recopilación y el procesamiento de una gran cantidad de datos, que
pueden incluir datos de tipo confidencial y privado, y estos puede que no queden
claro para el usuario, ya que puede afectar a diferentes contextos como la salud,
la seguridad y la privacidad. Una vez entendido esto, podemos decir que una
amenaza de IoT puede afectar a un abanico muy amplio de posibilidades.

 Limitación de recursos: como hemos comentado con anterioridad, los sistemas

convencionales de IoT son fabricados centrándose en la funcionalidad del
dispositivo, limitando las características de estos a ella. De esta forma se deja a un
lado la importancia de la seguridad, limitando capacidades de procesamiento,
memoria y energía, sin dejar lugar a la posibilidad de implementar controles de
seguridad.

 Complejidad de los ecosistemas: se suele cometer el error de entender IoT como

una serie de dispositivos independientes y que cada uno de ellos tiene una
función, pero se debe concebir como un ecosistema complejo y diverso en el que
están involucrados factores como las personas, las interfaces, conectividad…

 Fragmentación de estándares: las nuevas tecnologías en el ámbito de IoT están

en constante cambio y evolución, esto complica la regularización de medidas de
seguridad y buenas prácticas, asimismo, el amplio abanico de estándares que
pueden ser aplicados en un mismo ecosistema complica su gestión.

 Integración de seguridad: existen diferentes factores que afectan a la integración,

como puede ser la diversidad de dispositivos que pueden requerir diferentes
© Universidad Internacional de La Rioja (UNIR)

sistemas de autenticación que deben ser integrados; además, los diferentes

puntos de vista de los stakeholders pueden ser un problema a la hora de unificar
posiciones.

Ciberseguridad en Internet de las Cosas

25
Tema 1. Ideas clave
  Aspectos de seguridad: el hecho de que en IoT existan actuadores que
interactúan con el mundo físico, implica que la seguridad debe ser un factor clave,
ya que una amenaza puede provocar daños no solo de información o
disponibilidad, si no daños humanos, como pueden ser los ataques de
ciberseguridad que han sufrido algunos vehículos conectados a la red.

 Experiencia: al tratarse de un ámbito muy nuevo existe una escasez de personal

cualificado que pueda aportar y gestionar un entorno seguro de IoT.

 Actualizaciones de seguridad: la aplicación de las actualizaciones de seguridad son

muy complejas, ya que las interfaces no permiten actualizaciones tradicionales,
por tanto, es una tarea compleja que implica un gran despliegue de recursos.

 Programación: en IoT los tiempos de comercialización son más cortos debido a la

demanda y la competencia, esto implica que los esfuerzos que se aplican a la hora
de desarrollar se enfocan en la funcionalidad final y usabilidad y no tanto en los
desarrollos de seguridad y privacidad.

 Responsabilidad: no suele existir una designación clara de las responsabilidades,

lo que puede implicar que existan conflictos de responsabilidad a la hora de
abordar incidentes de seguridad, ya que los sistemas pueden ser muy extensos e
involucrar a numerosos dispositivos. Esto implica que si un dispositivo es
compartido por varias partes a la hora de gestionar la seguridad, no existe una
clara respuesta de la responsabilidad.

1.5. Marco legal y normativo aplicable a las IoT

© Universidad Internacional de La Rioja (UNIR)

A continuación, se enumerarán algunos de los diferentes marcos teóricos y

normativos relacionado con IoT más conocidos del contexto actual, así como los
marcos legislativos relacionados.

Ciberseguridad en Internet de las Cosas

26
Tema 1. Ideas clave
 Figura 7. Esquema de los principales elementos que se analizarán en el aparatado de Marco legal y normativo.
Fuente: elaboración propia.

Marco normativo

 Cobit 5 provee un marco para poder cumplir y gestionar los objetivos principales
de las TI, los riesgos de seguridad y de control. Cobit ofrece seguridad de la
información (SI). Se aplica en función de los objetivos principales de la compañía,
aplicando las prioridades respecto a ellas. En este marco se establece la necesidad
de definición del responsable de seguridad en función de sus objetivos.

 ISO 27002 se enfoca en la mejora, implementación y gestión de la seguridad de la

información a través de la implementación de controles de seguridad que se
definen 114 controles repartidos en catorce dominios, existen herramientas que
permiten gestionar esta implantación de una forma intuitiva como puede ser la
herramienta de eMarisma.

 ISO/IEC 29161. Esta norma se centra en la identificación única para IoT, en la que
se definen las reglas principales para la identificación de los diferentes actuadores,
© Universidad Internacional de La Rioja (UNIR)

dispositivos, comunicaciones… y de esta forma poder validar su compatibilidad en

el contexto de aplicabilidad.

Ciberseguridad en Internet de las Cosas

27
Tema 1. Ideas clave
  ISO/IEC TR 22417. Aquí se detallan diferentes escenarios de IoT agrupadas por un
foco de aplicabilidad con el fin de poder categorizar el uso de los diferentes
escenarios y los requisitos identificados.

Tabla 1. Categorización IoT. Fuente: elaboración propia.

 ISO/IEC 20924 proporciona un glosario de definiciones y términos referente a IoT.

En ella se detallan 53 términos de IoT.

 ISO/IEC 30141:2018 proporciona un marco de vocabulario común para cualquier

© Universidad Internacional de La Rioja (UNIR)

sector, para poder implementar entornos del Internet de las cosas, de tal forma
que se consigue mejorar la seguridad y disminuir las vulnerabilidades posibles, así
se evitan problemas de información sensible.

Ciberseguridad en Internet de las Cosas

28
Tema 1. Ideas clave
 Marco legal

No existe una aplicación especifica legal sobre IoT, aunque algunos aspectos legales
pueden aplicar. Dependiendo de la localización existen diferentes marcos jurídicos
que pueden ser aplicables a IoT.

En cuanto a protección de datos se refieres:

 En Europa existe el RGPD:

«La protección de las personas físicas en relación con el tratamiento de

datos personales es un derecho fundamental. El artículo 8, apartado 1, de la
Carta de los Derechos Fundamentales de la Unión Europea («la Carta») y el
artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea
(TFUE) establecen que toda persona tiene derecho a la protección de los
datos de carácter personal que le conciernan» (2016, artículo 1).

 En Colombia la ley 1581 de 2102 «derecho constitucional que tienen todas las
personas a conocer, actualizar y rectificar las informaciones que se hayan recogido
sobre ellas en bases de datos o archivos, y los demás derechos, libertades y
garantías constitucionales» (artículo 1).

Regularización

Como se ha comentado no existe una regularización legal sobre IoT general, aunque
ya empiezan a aparecer como es el caso de California en la que el 1 de enero de 2020
entró en vigor una de las primeras leyes de regularización de IoT, en ella se establecen
los diferentes requisitos de seguridad para los dispositivos que se vendan en
California, definiendo cualquier dispositivo conectado como cualquier dispositivo u
© Universidad Internacional de La Rioja (UNIR)

objeto físico capaz de conectarse a internet directa o indirectamente.

El objetivo principal es que los diferentes dispositivos conectados, tengan una

seguridad al menos razonable y apropiada.

Ciberseguridad en Internet de las Cosas

29
Tema 1. Ideas clave
 1.4. Referencias bibliográficas

Bernier, R. (4 de abril de 2021). How To Unfreeze Apple Watch. Apple How Now.
[Link]

Centro Criptológico Nacional. (2015). Guía de Seguridad (CCN-STIC-401). Gobierno de

España. [Link]
descargar-glosario/[Link]

ENISA (2017). Baseline Security Recommendations for IoT. European Union Agency
for Cybersecurity. [Link]
recommendations-for-iot

Geeker (s.f.). 35 Sensor [Imagen].

[Link]

Industrial Internet of Things (s.f.). Diferencias entre IoT y IIoT

[Link]

ISO/IEC (marzo 2021). ISO/IEC 20924:2021 Information technology — Internet of

Things (IoT) — Vocabulary.

Ley Estatutaria 1581 de 2012. Por la cual se dictan disposiciones generales para la
protección de datos personales. 17 de octubre de 2012 (Colombia).
[Link]
581_2012.pdf
© Universidad Internacional de La Rioja (UNIR)

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (27 de abril de
2016). Relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por el que se

Ciberseguridad en Internet de las Cosas

30
Tema 1. Ideas clave
 deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
[Link]
© Universidad Internacional de La Rioja (UNIR)

Ciberseguridad en Internet de las Cosas

31
Tema 1. Ideas clave
 A fondo
Internet de las cosas en la industria

Schneider Electric España (22 de enero de 2019) La necesidad de reindustrializarse: el

impacto del IoT | Schneider Electric [Vídeo]. YouTube
[Link]
spa%C3%B1a

Vídeo en el que se da una primera aproximación, de forma resumida, del valor de IoT
dentro de la industria, así como su impacto y características.

Smarter Buildings and Homes with the Internet of Things (IoT)

Intel (2015). Smarter Buildings & Homes with the Internet of Things. Intel Corporation.
[Link]
nd%20homes

Brief de Intel en que se detalla la nueva era IoT y cómo impacta en los nuevos edificios
y espacios inteligentes, para optimizar la eficiencia, el confort y la seguridad de las
personas, así como incrementar el rendimiento de los diferentes activos.

Once casos de éxito de IoT

Jose Luna (21 de noviembre de 2019). 11 ejemplos EXITOSOS del Internet De Las Cosas
© Universidad Internacional de La Rioja (UNIR)

(IOT) QUE NO CREERÁS [Vídeo]. YouTube. [Link]

2DxznYu6gA&ab_channel=JoseLunaJoseLuna

Vídeo en el que se muestran y explican once casos de éxito de sistemas de IoT.

Ciberseguridad en Internet de las Cosas

32
Tema 1. A fondo
 Internet of Things for Dummies, Qorvo Special Edition

Miller, L. (2017). Internet of Things for Dummies, Qorvo Special Edition. John Wiley &
Sons, Inc.
[Link]
FD_QorvoSE.pdf

En este libro se explica de qué se trata la IoT y qué significa para empresas de
diferentes industrias (capítulo 1); qué estándares y protocolos de comunicación
existen actualmente o están en desarrollo para IoT (capítulo 2); desafíos clave de
datos de IoT, incluidos datos grandes y pequeños, análisis y seguridad (capítulo 3) y
algunas conclusiones importantes sobre IoT para empresas (capítulo 4).

Meetup: Amazon IoT con un ejemplo práctico

Paradigma Digital (6 de noviembre de 2018). [Meetup] Amazon IoT con un ejemplo

práctico [Vídeo]. YouTube.
[Link]

Vídeo que muestra un ejemplo práctico de un aparcamiento implementado con IoT

desplegado en Amazon.
© Universidad Internacional de La Rioja (UNIR)

Ciberseguridad en Internet de las Cosas

33
Tema 1. A fondo
 Test
1. ¿Cuál fue el origen de la IoT?
A. En 1999, cuando se empezaron a realizar investigaciones sobre IoT.
B. En 1982, cuando se conectó una máquina de refrescos en una universidad a
Internet.
C. En 2009, cuando apareció Twitter y se utilizó el término IoT como hashtag.
D. En 2011, cuando se acuño en Alemania el término «Industria 4.0».

2. ¿Qué es la ciberseguridad?
A. Protección de los sistemas informáticos contra amenazas que intentan
causar daños en activos físicos de valor.
B. Conjunto de actividades dirigidas a proteger el ciberespacio contra el uso
indebido del mismo, al defender su infraestructura tecnológica, los servicios
que prestan y la información que manejan.
C. Conjunto de actuaciones orientadas a asegurar, en la medida de lo posible,
las redes y sistemas que constituyen el ciberespacio lógico.
D. Se trata de un concepto que es equivalente al de seguridad informática.

3. ¿Qué tipos de activos de información podemos distinguir?

A. Activos TI.
B. Activos TO.
C. Servicios.
D. Todas las anteriores son correctas.
© Universidad Internacional de La Rioja (UNIR)

Ciberseguridad en Internet de las Cosas

34
Tema 1. Test
 4. Seleccione la respuesta correcta sobre la definición de IoT:
A. Infraestructuras que interconectan entidades, personas, sistemas y recursos
de información, que junto con los servicios y procesos reaccionan a la
información del mundo físico y virtual.
B. La comunicación de elementos de un sistema independiente de los
protocolos de comunicación.
C. La interacción de dispositivos de tipo actuadores o sensores, sin la
interacción de persona a persona o persona a computador únicamente a través
de Internet.
D. Todas las anteriores son correctas.

5. Seleccione la respuesta incorrecta:

A. La toma de decisiones está totalmente ligada a la información de la que se
dispone.
B. Las tomas de decisiones pueden ser muy sencillas o complejas.
C. La toma de decisiones retroalimenta el sistema a través de los actuadores
que generan nuevas señales.
D. La toma de decisiones es independiente de la información obtenida,
únicamente se realiza a partir de las normativas establecidas.

6. En la comunicación de sistemas IoT en el que se requiere que la comunicación sea

de largo alcance, ¿qué protocolos utilizarías?
A. ZigBee, Bluetooth, Wi-Fi.
B. LoRaWAN, LTE-M.
[Link].
D. Todas las anteriores son correctas.
© Universidad Internacional de La Rioja (UNIR)

Ciberseguridad en Internet de las Cosas

35
Tema 1. Test
 7. Para que un dispositivo pueda ser considerado como IoT debe estar
obligatoriamente conectado a Internet:
A. Falso, únicamente debe poder transmitir datos.
B. Verdadero.
C. No necesita conectividad de ningún tipo.
D. Depende de los protocolos.

8. ¿Qué elementos afectan directamente a los entornos de IoT con respecto a la

seguridad?
A. Se aboga por la funcionalidad sobre la seguridad.
B. No se implementan mecanismos de seguridad avanzados para abaratar
costes.
C. Es complejo identificar la responsabilidad sobre los dispositivos.
D. Todas las anteriores son correctas.

9. ¿Qué elementos se deben tener en cuenta y catalogar para obtener un buen

análisis de riesgos?
A. Activos, amenazas, vulnerabilidades y controles.
B. Activos, amenazas y controles.
C. Activos, vulnerabilidades y controles.
D. Amenazas, vulnerabilidades y controles.

10. ¿En qué norma se establece un glosario de definiciones y términos de IoT?

A. ISO/IEC 20924.
B. ISO/IEC 30141
C. ISO/IEC 27002.
D. ISO/IEC 22417.
© Universidad Internacional de La Rioja (UNIR)

Ciberseguridad en Internet de las Cosas

36
Tema 1. Test