Tema 1

Ciberseguridad en Internet de las Cosas

Tema 1. Fundamentos de la
ciberseguridad industrial y
en IoT
Índice
Esquema

Ideas clave

1.1. Introducción y objetivos

1.2. Definiciones relacionadas con la IoT y la

ciberseguridad

1.3. Los sistemas IoT en la actualidad

1.4. Consideraciones de seguridad

1.5. Marco legal y normativo aplicable a las IoT

1.6. Referencias bibliográficas

A fondo

Internet de las cosas en la industria

Smarter Buildings and Homes with the Internet of Things

(IoT)

Once casos de éxito de IoT

Internet of Things for Dummies, Qorvo Special Edition

Meetup: Amazon IoT con un ejemplo práctico

Test
 Esquema

Ciberseguridad en Internet de las Cosas 3

Tema 1. Esquema
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

1.1. Introducción y objetivos

En este tema se describen los conceptos y fundamentos más importantes

relacionados con la Internet de las cosas y la Internet industrial de las cosas.

El tema se centra, fundamentalmente, en los aspectos relacionados con la

importancia de la IoT e IIoT , los beneficios que se obtienen como consecuencia de

su aplicación y la orientación de ciberseguridad respecto a los mismos. Estos

conceptos son esenciales ya que servirán para comprender las perspectivas de

futuro en las interconexiones entre dispositivos, personas e Internet, con el fin de

mejorar los procesos y minimizar los esfuerzos.

Para poder entender la repercusión y el valor de la IoT en la sociedad y en la

industria debemos pararnos a conocer el origen de esta.

Origen e historia

Se considera que el primer dispositivo conectado a Internet fue en 1982 en la

Universidad Carnegie Mellon en Pittsburgh, donde se conectó una máquina

expendedora de bebidas. El sistema consistía en una serie de interruptores

conectados a las bandejas para determinar el número de bebidas de cada una y

conectaron esa máquina a una red local a través de una red Ethernet. Este sistema

fue evolucionando desde informar del número de bebidas, comprobar si las bebidas

estaban frías, todo ello a través de un programa informático que en unos inicios solo

podía ser accedido desde el servidor local, pero que posteriormente fue conectado a

Arpanet (Internet).

Este hecho abrió el camino de la industria 4.0, la IA y lo que conocemos como IoT.

Aunque este término no fue utilizado hasta 1999 en entornos e investigación, Kevin

Ashton, un profesor del MIT, apodado como el padre de la Internet de las cosas,

fue el primero en utilizar el concepto de Internet de las cosas en una conferencia

Ciberseguridad en Internet de las Cosas 4

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

sobre la conectividad de sensores para controlar las existencias de una tienda. Años

más tarde, en 2009, Ashton confirmó que el acrónimo de IoT empezó a utilizarse

gracias a Twitter, ya que en ahí se utilizan hashtags como sucedió con #IoT.

Los IoT y la Industria 4.0 - IIoT

En los últimos años cada vez es más frecuente escuchar el concepto de industria

4.0, incluso cada vez más se sectoriza este concepto y empezamos a escuchar

conceptos como agricultura 4.0, ganadería 4.0, etc.

El término industria 4.0 o cuarta revolución industrial se refiere al nuevo proceso que

está sufriendo actualmente la industria, asociado con automatización y la fabricación

informatizada de todos los procesos interconectados por medio del Internet de las

cosas (IOT). Este concepto de Internet de las cosas orientado a la industria es

denominado como IIoT. Para muchos autores, este concepto de industria 4.0 está

directamente ligado al de CPS (Cyber Physical Systems) y al de IoT, como podemos

ver en la Figura 1.

Figura 1. IoT e industria 4.0. Fuente: Industrial Internet of Things (s.f.).

Ciberseguridad en Internet de las Cosas 5

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

La entrada de estos CPS en la industria ha traído grandes ventajas

desde el punto de vista productivo y del conocimiento, pero también

algunos interrogantes y problemáticas.

La principal problemática es que la entrada de estos sistemas se realizó sin tener en

cuenta el concepto de seguridad y los nuevos riesgos que suponía esa

automatización de procesos.

Debido a la alta competitividad que se les exigía a los sistemas, a sus requerimientos
crecientes de productividad y conectividad, se propiciaron sistemas cada vez más

abiertos y generales, orientando la parte operacional (OT) de las compañías

industriales a las de información (TI), para hacerlas converger a medio plazo. Esta

tendencia propició que cada vez más sistemas de control industriales tuviesen

conectividad sobre redes TCP/IP, Ethernet e incluso conectividad inalámbrica.

Dichos protocolos de red están estandarizados y tienen medidas de seguridad

adecuadas, siempre y cuando estas sean configuradas.

L a conectividad de los sistemas industriales suponía grandes ventajas para las

empresas, pero también incrementó los riesgos de estas al aumentar la visibilidad y

exposición al exterior, máxime si dichos sistemas no estaban correctamente

gestionados. Así, por ejemplo, hoy en día es posible encontrar pequeñas compañías

de energías renovables que gestionan sus plantas eólicas y solares por Internet, pero

carecen de protocolos de seguridad apropiados.

Por lo tanto, la llegada de la IoT ha permitido un gran abanico de nuevas

oportunidades a las industrias, pero también posibilitó un escenario con muchas

más amenazas que debía ser gestionado, en este escenario entra el concepto de

ciberseguridad en IoT.

Ciberseguridad en Internet de las Cosas 6

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Los objetivos que se alcanzarán tras la lectura de este tema son los siguientes:

▸ Conocer las definiciones formales asociadas con el Internet de las cosas, el

Internet de las cosas en la industria, los sistemas ciberfísicos, y la

ciberseguridad.

▸ Comprender la importancia que tienen para las empresas los análisis de riesgos,

normativas y controles asociados con la seguridad de la parte operacional de sus

sistemas.

▸ Entender la importancia real de que los ambientes industriales cuenten con medidas

de ciberseguridad adecuadas.

Ciberseguridad en Internet de las Cosas 7

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

1.2. Definiciones relacionadas con la IoT y la

ciberseguridad

En este apartado se incluyen las definiciones relacionadas con algunos de los

conceptos más importantes que se tratarán. Resulta imprescindible partir de una

visión común para estos términos que están muy relacionados; en ocasiones se

tocan y pueden, por lo tanto, resultar confusos.

Para que todos los que sigan el curso puedan tener la misma visión, se utilizará

como glosario la Guía de Seguridad (CCN-STIC-401) desarrollada en el año 2010 y

actualizada en agosto de 2015 por el Centro Criptológico Nacional, dependiente del

Ministerio de Hacienda y Administraciones Públicas del Gobierno de España, que

está disponible para su descarga (Ministerio de Hacienda y Administraciones

Públicas 2015) (CCN-STIC-401 2015).

Figura 2. Esquema de los principales elementos que se analizarán en el aparatado de definiciones.

Fuente: elaboración propia.

A continuación, se analizarán los principales conceptos que se pueden ver en la

Ciberseguridad en Internet de las Cosas 8

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 2. Estos son conceptos que el alumno debe tener siempre en mente. Es

importante destacar que no son los únicos que se tratarán en el curso, pero sí son

aquellos que suponen la columna vertebral sobre los que se sustentan los demás. El
resto de los conceptos se pueden seguir en la guía recomendada.

Definición de ciberseguridad

Actualmente existen varias definiciones formales para esta palabra. Aunque en la

realidad la mayor parte de las veces es mal utilizada y se utiliza indistintamente para

la seguridad informática en general, aunque debería ser usada solo cuando

intentamos proteger algo dentro del ciberespacio.

De manera informal, se considera que la ciberseguridad es la protección de los

sistemas informáticos contra amenazas que intentan causar daños en activos

de valor, aprovechando vulnerabilidades dentro de los controles que intentan

proteger estos activos. Es decir, la ciberseguridad consiste en la implantación de

controles eficientes que impidan a las amenazas causar un daño sobre nuestros

activos de valor.

Centrándonos en las definiciones formales, la Guía de Seguridad (documento CCN-

STIC-401) presenta varias definiciones, de las que aquí mostramos las que

consideramos más relevantes:

«2.219.1 – Definición de la O.M. 10/2013, de 19 de febrero del Ministerio de Defensa

Español: Conjunto de actividades dirigidas a proteger el ciberespacio contra el uso

indebido del mismo, defendiendo su infraestructura tecnológica, los servicios que prestan

y la información que manejan.

2.219.2 - Conjunto de actuaciones orientadas a asegurar, en la medida de lo posible, las

redes y sistemas que constituyen el ciberespacio: i) Detectando y enfrentándose a

intrusiones; ii) Detectando, reaccionando y recuperándose de incidentes, y iii)

Preservando la confidencialidad, disponibilidad e integridad de la información.

2.219.3 - Sinónimo del término Ciberdefensa. Normalmente el término Ciberdefensa se

suele utilizar en el ámbito militar, y el término Ciberseguridad en el ámbito civil, aunque

Ciberseguridad en Internet de las Cosas 9

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

en el presente estudio se han utilizado indistintamente ambos términos (ISDEFE, 2009)».

Como se puede ver, las definiciones son muy diversas. Unas intentan limitar la

ciberseguridad al ámbito civil frente al militar y otras, en cambio, intentan limitarlo al

ámbito del ciberespacio.

La realidad es que es muy difícil separar hoy el ámbito físico del ciberespacio,

dado que todos los componentes se encuentran cada vez más conectados y

casi todos ellos requieren de una conexión a Internet, aunque sea temporalmente y

de forma limitada. Por ello, se ha tomado como costumbre incluir dentro del alcance

de la ciberseguridad todo aquello que pueda afectar al sistema TIC (tecnologías de la

información y comunicación) de las organizaciones.

Así mismo, y dentro de estas definiciones hemos visto una serie de palabras que es

importante que el alumno estudie dentro del documento CCN-STIC-401, con el

objetivo de familiarizarse con ellas.

Definición de activo de información (A)

Los activos son el principal elemento de cualquier sistema de

información o sistema industrial que se desea proteger y para el que se

debe desarrollar una correcta estrategia de ciberseguridad que incluya

controles para protegerlo y una correcta gestión del riesgo.

Lo primero que tenemos que entender de los activos es que se pueden dividir en dos

bloques:

▸ Los denominados TI/IT, que están asociados a las tecnologías de la información (por

ejemplo: Intranet, programas de gestión, etc.).

▸ Los llamados OT, asociados a las tecnologías operativas y más focalizados a la

parte industrial (por ejemplo: Scadas, PLCs, etc.).

Ciberseguridad en Internet de las Cosas 10

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Cuando hablamos de ciberseguridad industrial muchas veces pensamos en activos

OT, pero la realidad es que cada vez están más vinculados ambos tipos de activos,

con lo que cada vez es más complicado poder separar el uno del otro, esto ha

sucedido a raíz de la llegada de los IoT, donde las nuevas tendencias utilizan esta

alternativa en contraposición de otras más tradicionales como los SCADA.

Formalmente, el documento CCN-STIC-401 da algunas definiciones de activos,

aquí mostramos las que consideramos más relevantes:

«2.10.1 - Componente o funcionalidad de un sistema de información susceptible de ser

atacado deliberada o accidentalmente con consecuencias para la organización. Incluye:

información, datos, servicios, aplicaciones (software), equipos (hardware),

comunicaciones, recursos administrativos, recursos físicos y recursos humanos (ENS

2010).

2.10.2 - Componente o funcionalidad de un sistema de información susceptible de ser

atacado deliberada o accidentalmente con consecuencias para la organización. Incluye:

información, datos, servicios, aplicaciones (software), equipos (hardware),

comunicaciones, recursos administrativos, recursos físicos y recursos humanos (UNE-

71504 2008).

2.10.3 - (Estrategia del Servicio) Cualquier Recurso o Capacidad. Los Activos de un

Proveedor de Servicio incluyen todo aquello que se pueda atribuir a la entrega del

Servicio. Los Activos pueden ser de los siguientes tipos: Administrativos, Organizativos,

de Proceso, de Conocimiento, Personas, In-formación, Aplicaciones, Infraestructura, y de

Capital (ITIL:2007 2007).

2.10.4 - Recursos del sistema de información o relacionados con éste, necesarios para

que la Organización funcione correctamente y alcance los objetivos propuestos por su

Dirección» (MageritV3 2012)».

Como podemos ver, en general, las definiciones evitan entrar en las tipologías de los

activos, dado que estas pueden ser muy amplias. Lo que sí es importante es tener en

cuenta que cuando hablamos de activos también nos podemos estar refiriendo a

un servicio.

Actualmente, existen grandes problemáticas relacionadas con el simple hecho

Ciberseguridad en Internet de las Cosas 11

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

de poder identificar y catalogar un activo dentro del sistema de información de

una compañía. Estamos acostumbrados a identificar activos tangibles (dinero,

coches, edificios), pero todavía existe una gran complejidad dentro de las
organizaciones para ser capaces de identificar sus activos de valor asociados a los

sistemas de información.

Para solucionar estas problemáticas han surgido tendencias en investigación que

intentan obtener fórmulas para la tasación objetiva del valor de los activos, bien

desde el punto de vista económico para una potencial venta o bien desde el punto de

vista de las pérdidas económicas que supondría el impacto de una amenaza sobre

una de sus dimensiones.

También han surgido conceptos, como el de «activo de grano fino» frente al de

«activo de grano grueso», que pretende racionalizar la identificación de activos, dado

que algunas compañías intentaban catalogar hasta las unidades de teclado que

tenían, lo cual desde el punto de vista de la ciberseguridad y del control del riesgo no

es relevante.

Uno de los elementos que forman parte de los activos es el que se denomina

dimensión o criterio de riesgo, que varía según la normativa que se quiera aplicar

y que representa atributos del activo que pueden verse afectados por la amenaza. Es

decir, aquellos elementos o propiedades del activo sobre los que intenta impactar la

amenaza.

Estos criterios dependen del esquema normativo sobre el que estemos analizando

el riesgo, así:

▸ Si nos fijamos en un criterio normativo propio de gestión de seguridad de la

información como la norma ISO27001 (ISO/IEC27001 2013) o COBIT (COBITv5.0

2012) y orientada a la metodología de análisis y gestión de riesgos Magerit
(MageritV3 2012), las dimensiones de los activos serán entre otras: confidencialidad

(C), disponibilidad (D), integridad (I), legalidad (L), autenticación (A) y no repudio

Ciberseguridad en Internet de las Cosas 12

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

(NR). Pueden existir otras.

▸ En cambio, si nos focalizamos en el ámbito de las infraestructuras críticas, sin

dejar de lado las anteriores, se busca también analizar otras dimensiones como:

impacto sobre las personas (IP), impacto económico (IE), impacto medioambiental
(IM) o impacto público y social (IPS).

Todo lo anteriormente mencionado demuestra la importancia de los activos dentro de

la ciberseguridad, pero también el enorme recorrido que queda todavía desde el

punto de vista de la investigación para poder catalogarlos y normalizarlos y la

enorme complejidad que, hoy en día, supone para las compañías su correcta

identificación y valoración.

Definición de amenazas de seguridad (T)

Las amenazas son aquellos elementos que intentan alcanzar alguna de

las dimensiones de un activo de valor y causar un impacto negativo en

ellas.

Una de las primeras cosas que debemos tener en cuenta cuando hablamos de

amenazas en los sistemas de información es que estas no tienen por qué tener un

impacto que seamos capaces de apreciar a simple vista. Es decir, cuando nos

roban un coche enseguida detectamos que ese coche ya no está, pero cuando

hablamos de información el robo de esta no implica que desaparezca, tan solo que la

dimensión de «confidencialidad» se ha visto afectada por una amenaza (por ejemplo:

troyano) que está accediendo a esa información sin permiso, poniendo en riesgo el

activo propietario de la dimensión.

Ciberseguridad en Internet de las Cosas 13

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Formalmente, el documento CCN-STIC-401 da algunas definiciones de amenazas,

aquí mostramos las que consideramos más relevantes:

«2.42.1 - Causa potencial de un incidente no deseado que puede ocasionar daño a un

sistema o a una organización (UNE-ISO/IEC-27000 2014)».

«2.42.3 - Cualquier cosa que pueda aprovechar una Vulnerabilidad. De esta forma,

cualquier causa potencial de un Incidente puede ser considerada una Amenaza. Por

ejemplo, un fuego es una Amenaza que puede aprovechar la Vulnerabilidad de moquetas

inflamables. Este término es comúnmente usado en la Gestión de la Información de

Seguridad y la Gestión de Continuidad del Servicio de TI, pero también aplica a otras

áreas tales como Gestión de la Disponibilidad y Problemas» (ITIL:2007 2007).

«2.42.4 - Cualquier circunstancia o evento que puede explotar, intencionadamente o no,

una vulnerabilidad específica en un Sistema de las TIC resultando en una pérdida de

confidencialidad, integridad o disponibilidad de la información manejada o de la integridad

o disponibilidad del propio Sistema».

«2.42.8 - Eventos que pueden desencadenar un incidente en la Organización,

produciendo daños materiales o pérdidas inmateriales en sus activos (MageritV3 2012).

2.42.9 - Causa potencial de un incidente que puede causar daños a un sistema de

información o a una organización» (UNE-71504 2008).

Como podemos ver, las definiciones son muy diversas y poco homogéneas, algunas

están enfocadas a la vulnerabilidad, otras a subconjuntos de dimensiones. Esto no

es ni más ni menos que un reflejo de la complejidad de las amenazas y de su

enorme diversidad.

Definición de controles/salvaguardas de seguridad (C)

Los controles son aquellas medidas que introducimos dentro de nuestro

sistema de información con el objetivo de poder evitar que una amenaza

impacte sobre una dimensión de riesgo de un activo de valor.

Un ejemplo sería un antivirus, que es un control de seguridad que pretende evitar

que una amenaza —un virus—, pueda causar un impacto sobre una dimensión de un

Ciberseguridad en Internet de las Cosas 14

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

activo de valor, como podría ser disponer de un sistema de nóminas.

Formalmente, el documento CCN-STIC-401 da algunas definiciones de control,

aquí mostramos las que consideramos más relevantes:

«2.306.1 – Medida que modifica un riesgo (UNE-Guía73 2010)».

«2.306.3 - Un medio de gestión de Riesgo, asegurando que el Objetivo de Negocio es

alcanzado, o asegurando que un Proceso es seguido. Ejemplos de Controles incluyen:

Políticas, Procedimientos, Roles, RAID, etc. Un control es llamado, algunas veces,

Contramedida o medida de seguridad. Control también es un medio de gestionar el uso o

comportamiento de un Elemento de Configuración, Sistema o Servicio TI (ITIL:2007

2007).

2.306.4 - Las políticas, procedimientos, prácticas y estructuras organizacionales

diseñadas para proporcionar una garantía razonable de que los objetivos del negocio se

alcanzarán y los eventos no deseados serán prevenidos o detectados (COBITv4.0

2006)».

Como podemos ver, en general las definiciones varían mucho, pero al final la base

es la misma: son elementos que nos permitirán controlar el riesgo.

Definición de vulnerabilidades de seguridad (V)

Las vulnerabilidades son aquellos fallos existentes en nuestros

sistemas, bien por malas implantaciones de controles o por ausencia de

estos, que permitirán a las amenazas llegar hasta el activo y causar un

impacto negativo sobre el mismo.

Un ejemplo sería un antivirus desactualizado que se convierte en un control

ineficiente o con una vulnerabilidad que puede ser aprovechada por un virus para

causar un impacto sobre una dimensión o disponibilidad de un activo de valor (por

ejemplo, un sistema de nóminas).

Ciberseguridad en Internet de las Cosas 15

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Formalmente, el documento CCN-STIC-401 da algunas definiciones de

vulnerabilidad, aquí mostramos las que consideramos más relevantes:

«2.1050.2 - Debilidad de un activo o de un control que puede ser explotada por una o más

amenazas (UNE-ISO/IEC-27000 2014).

2.1050.3 - Propiedades intrínsecas de que algo produzca como resultado una sensibilidad

a una fuente de riesgo que puede conducir a un suceso con una consecuencia (UNE-
Guía73 2010).

2.1050.4 - Una debilidad que puede ser aprovechada por una Amenaza. Por ejemplo, un

puerto abierto en el cortafuegos, una clave de acceso que no se cambia, o una alfombra

inflamable. También se considera una Vulnerabilidad un Control perdido» (ITIL:2007

2007)».

«2.1050.6 - Debilidad de seguridad de un sistema que le hace susceptible de poder ser

dañado al ser aprovechada por una amenaza (CCN-STIC-400 2006)».

«2.1050.8 - Defecto o debilidad en el diseño, implementación u operación de un sistema

que habilita o facilita la materialización de una amenaza (MageritV3 2012)».

Desde el punto de vista de la ciberseguridad, la que mejor se adapta es la definición

de MAGERIT, que lo considera un defecto o debilidad del diseño del sistema. De

una forma más radical, se podría ver como el incumplimiento en el nivel de cobertura

de un control, ya sea parcialmente, es decir, por un fallo en la implementación de

este, o totalmente, por la ausencia de implementación.

Definición de análisis de riesgos (AR)

Una vez definidos todos los elementos anteriores nos encontramos en disposición de

explicar lo que es un análisis de riesgos, pero antes, conviene explicar un concepto

asociado a este, que es el de patrón o esquema.

Un patrón o esquema es la unión de todos los elementos mencionados

anteriormente (activos, amenazas, controles y vulnerabilidades) y sus

relaciones con el objetivo de poder analizar y gestionar los riesgos.

Ciberseguridad en Internet de las Cosas 16

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Mediante la selección de un patrón normativo y la valoración de sus elementos

podemos analizar los riesgos a los que están sometidos los activos y procesos de la

organización y tomar medidas para mitigarlos.

Formalmente, el documento CCN-STIC-401, da algunas definiciones de análisis de

riesgos, aquí mostramos las que consideramos más relevantes:

«2.52.1 - Proceso que permite comprender la naturaleza del riesgo y determinar el nivel

de riesgo (UNE-Guía73 2010).

2.52.2 - Utilización sistemática de la información disponible para identificar peligros y

estimar los riesgos (ENS 2010).

2.52.3 - Proceso que permite comprender la naturaleza del riesgo y determinar el nivel de

riesgo (UNE-Guía73 2010).

2.52.4 - Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta

una Organización» (MageritV3 2012)».

El concepto de análisis y de gestión del riesgo es fundamental para entender la

ciberseguridad industrial, ya que es la base de las normativas actuales y el

sistema por el que las organizaciones toman decisiones para mejorar.

Definición de Internet de las cosas

Se puede catalogar IoT como una combinación de dispositivos actuadores y

sensores, con una interconexión digital de los objetos cotidianos a través de internet

sin la interacción de persona a persona o de persona a computador. Así mismo la

norma ISO/IEC 20924 la describe como «…infrastructure of interconnected entities,

people, systems and information resources together with services which processes

and reacts to information from the physical world and virtual world»

Ciberseguridad en Internet de las Cosas 17

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 3. Descripción gráfica IoT. Fuente: elaboración propia.

En resumen, podemos decir que esa trata de la capacidad de comunicar

información para que pueda ser utilizada por los diferentes servicios o

stakeholders.

Definición de ciberseguridad en IoT

Una vez que hemos entendido los conceptos de ciberseguridad, análisis de riesgos y
de IoT, ya estamos en disposición de entender qué es la ciberseguridad en IoT.

El aumento masivo del uso de los diferentes dispositivos de IoT que se utilizan

en la nuestra vida cotidiana, así como en la industria, repercute en un aumento de las

vulnerabilidades. Tanto es así que más del 50 % de las amenazas dentro de la

industria en los últimos años están relacionadas con este tipo de dispositivos.

La mayor parte de estos dispositivos no se focalizan en incorporar mecanismos de

seguridad; tanto es así que muchos de ellos presentan fuertes debilidades como

puede ser la limitación de recursos, de esta forma los controles de seguridad no se

Ciberseguridad en Internet de las Cosas 18

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

pueden aplicar con eficacia ya que en ocasiones los fabricantes de estos dispositivos

no los implementan para abaratar los costes.

Este será nuestro objetivo principal, llegar a entender todos esos elementos que

intervienen a la hora de gestionar un sistema de IoT y cómo podemos controlarlos a

la vez que cumplimos con la normativa existente.

Ciberseguridad en Internet de las Cosas 19

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

1.3. Los sistemas IoT en la actualidad

Los ecosistemas de IoT están formados por multitud de elementos que lo conforman

como son las «cosas», la toma de decisiones inteligentes, los sensores, actuadores y

los sistemas integrados

Figura 4. Esquema de los principales elementos que se analizarán en el aparatado de sistemas de IoT en

la actualidad. Fuente: elaboración propia.

Las cosas de IoT

Consideremos una cosa como un objeto físico o virtual susceptible de poder ser

identificado e incorporado a una red de comunicación. Para que esto suceda, las

«cosas» tienen que poder comunicarse entre sí con los diferentes servicios que

puedan existir en la red.

Por otro lado, se debe tener en cuenta que las «cosas» pueden tener diferentes

características como son la detección, captura, almacenamiento y procesamiento de

datos, ejecución de aplicaciones, aprendizaje automático, etc. Se debe entender el

conjunto de cosas como un ecosistema que convive y puede ser gestionado

mediante herramientas o sistemas inteligentes que permiten monitorear y controlar

de forma autónoma, de tal forma que pueden proveer de información para toma de

decisiones inteligentes.

Ciberseguridad en Internet de las Cosas 20

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Toma de decisiones inteligentes

Cada vez son más la cantidad de dispositivos con la capacidad de procesar, analizar,

procesar y compartir información que se conectan a un sistema inteligente. Esto

deriva en la conectividad de miles de millones de «cosas» conectadas a la red, las

cuales generan cantidades de información ingobernables. Por ello, se deben

implementar técnicas de gestión de esos datos, así como análisis de estos para
poder conseguir información relevante en la toma de decisiones. Así mismo, el

concepto de IoT compromete la actuación, por tanto, también afectaría a la misma.

La toma de decisiones está totalmente ligada a la información de la que se

dispone. Esta toma de decisiones puede ser tan sencilla como la activación de un

dispositivo o tan compleja como el aprendizaje automático. Esta toma de decisiones

conduce a actuaciones que posteriormente generarán más información,

retroalimentando el sistema y mejorando las decisiones.

Sensores y actuadores

Los sensores son la parte fundamental de IoT, ya que a partir de ellos podemos

monitorear los sistemas y el entorno, así como el contexto en el que opera el

sistema. Los sensores pueden tener diferentes tamaños, desde milímetros, para

poder ser integrados en objetos físicos, desde carreteras hasta marcapasos…

Los sensores pueden medir indicadores físicos, químicos, biológicos o incluso

información sobres las redes aplicaciones y sistemas. Una vez obtenida la

información se generar datos cuantitativos para su procesamiento en tiempo real

o almacenamiento y posterior recuperación. Algunos tipos de sensores pueden ser

los sensores de temperatura, presión, luz y sensores acústicos entre otros...

Ciberseguridad en Internet de las Cosas 21

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 5. Ejemplos de sensores y actuadores. Fuente: Geeker (s.f.).

Un actuador puede considerarse como la entidad que mueve y controla un sistema o

mecanismo. Es decir, un actuador realiza la operación contraria a un sensor, toma

una entrada eléctrica y la convierte en una acción física. Por ejemplo, imaginemos

una lámpara o un termostato inteligentes, sus actuadores pueden regular la luz o la

temperatura a partir de una señal eléctrica.

En conclusión, los sensores realizan las funciones de dispositivos de entrada de

información sobre entornos o contextos y los cuales serán tratados posteriormente.

Por el contrario, los actuadores realizan las funciones de salida, actúan a partir de

una información procesada o toma de decisiones como hemos comentado. La

mayoría de los dispositivos de entrada y salida en los IoT se encuentran integrados

Ciberseguridad en Internet de las Cosas 22

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

en sistemas.

Sistemas Integrados

Los sensores y actuadores son los elementos principales de un ecosistema IoT.

Estos pueden estar conectados a los backend a través de pasarelas para que los

datos extraídos por los sensores sean procesados y se puedan tomar decisiones.

Cómo se ha comentado con anterioridad los sensores y actuadores no tienen por

qué trabajar de forma individualizada, y pueden encontrase en un sistema integrado,

donde se incluyen tanto sensores como actuadores de forma integrada, con

capacidad de conexión a redes LAN o Internet. Los sistemas integrados de IoT

trabajan como una unidad única de procesamiento por lo que pueden procesar

información por si solos. Algunos dispositivos que contienen este tipo de sistemas
integrados pueden ser relojes inteligentes, implantes médicos, termostatos

inteligentes.

Figura 6. Sistema Integrado IoT reloj inteligente: Fuente Bernier (2021).

Ciberseguridad en Internet de las Cosas 23

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Comunicaciones

Los requisitos de comunicación varían dependiendo de las necesidades de las redes

de IoT en función de su desempeño y los recursos. La elección de un protocolo de

comunicación para ser implementado en un ecosistema de IoT dependerá de los

requisitos de este y de su caso de uso. La combinación de diferentes protocolos es

una de las prácticas utilizadas más comunes dentro de los ecosistemas de IoT; de

esta forma se puede garantizar la interoperabilidad.

Existen dos tipos de protocolos de comunicación que se encuentran dentro de los

sistemas de IoT, estos pueden ser inalámbricos o de conexión directa. Dentro de

los protocolos inalámbricos podemos encontrar una gran cantidad:

▸ Protocolos de radio de corto alcance:

• ZigBee.

• Bluetooth.

• BLE.

• Wi-Fi.

• Wi-Fi HaLow.

▸ Comunicación de campo cercano:

• NFC.

▸ Identificación de radio frecuencia:

• RFID.

▸ Redes móviles y protocolos de radio de gran alcance:

• LoRaWAN.

Ciberseguridad en Internet de las Cosas 24

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

• SigFox.

• NarrowBand-IoT (NB-IoT).

• LTE-M.

Cada uno de los protocolos se define bajo su propio estándar, como, por ejemplo,

ZigBee y ZibBee 3.0 están basados en IEEE 802.15.4.

Los protocolos de conexión directa o cableado:

▸ Ethernet.

▸ USB.

▸ SPI.

▸ MIPI.

▸ I2C.

Cabe destacar que las comunicaciones en IoT admiten diferentes protocolos que no

tienen que estar basados en IP, como pueden ser SMS, LiDar, Radar, etc…

Las tecnologías inalámbricas tienen diferentes características como pueden ser

rangos de señal especifico, el ancho de banda. Además, pueden ser clasificadas

dentro de diferentes tipos de red: red de área personal inalámbrica (WPAN), red de

área local inalámbrica (WLAN), red de área inalámbrica amplia (WWAN)

A continuación, se muestra una lista de los diferentes protocolos agrupados por la

capa. La capa de enlace gestiona la conectividad entre los dispositivos de IoT a

través de un enlace físico ya sea de cable o inalámbrico, como puede ser entre

varios sensores o un sensor y la puerta de enlace que a su vez se conectan a

Internet. La capa de red se divide en dos partes; encapsulación, que construye los

paquetes, y enrutamiento, que se encarga de la transferencia de paquetes de un

Ciberseguridad en Internet de las Cosas 25

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

punto de la red a origen a otro destino. Por último, la capa de sesión es donde se

definen los protocolos de mensajería entre los elementos IoT.

Tabla 1. Protocolos por capas de IoT. Fuente: elaboración propia a partir de adaptada de Enisa.

Hay que destacar que el hecho de que en el término «Internet de las cosas»

aparezca la palabra Internet, no quiere decir que necesariamente estén conectados a

Internet, ya que el único requisito es que puedan ser transmitidos los datos.

Ciberseguridad en Internet de las Cosas 26

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

1.4. Consideraciones de seguridad

A medida que la dependencia a la conectividad continua y los dispositivos

inteligentes crece en nuestra vida cotidiana, existen innumerables elementos que

pueden entrometerse y afectar a aspectos de nuestra privacidad o de información

sensible que puede ser vulnerada. De tal forma que podemos decir que la seguridad

es un factor principal de preocupación y atención en relación con IoT, este

aspecto debe abordarse del mismo modo que la seguridad general ya que se trata de

aspectos íntimamente relacionados con el mundo físico.

Un aspecto que a menudo se omite es la gestión y administración de los

dispositivos de IoT, estos deben tener designados un responsable, ya que si

consideramos todo el contexto como un ecosistema de IoT implica una gran

complejidad y debe ser heterogéneo; asimismo, debemos tener en cuenta la

capacidad de escalabilidad de este.

A continuación, se detallan una serie de elementos que afectan directamente a los

entornos seguros de IoT:

▸ Amplio abanico de ataque: la rápida evolución de los distintos dispositivos implica

a su vez que las amenazas y los riesgos lo hacen a la vez. Como ya sabemos, IoT
se basa en la recopilación y el procesamiento de una gran cantidad de datos, que

pueden incluir datos de tipo confidencial y privado, y estos puede que no queden
claro para el usuario, ya que puede afectar a diferentes contextos como la salud, la
seguridad y la privacidad. Una vez entendido esto, podemos decir que una amenaza
de IoT puede afectar a un abanico muy amplio de posibilidades.

▸ Limitación de recursos: como hemos comentado con anterioridad, los sistemas

convencionales de IoT son fabricados centrándose en la funcionalidad del

dispositivo, limitando las características de estos a ella. De esta forma se deja a un

lado la importancia de la seguridad, limitando capacidades de procesamiento,

Ciberseguridad en Internet de las Cosas 27

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

memoria y energía, sin dejar lugar a la posibilidad de implementar controles de

seguridad.

▸ Complejidad de los ecosistemas: se suele cometer el error de entender IoT como

una serie de dispositivos independientes y que cada uno de ellos tiene una función,
pero se debe concebir como un ecosistema complejo y diverso en el que están
involucrados factores como las personas, las interfaces, conectividad…

▸ Fragmentación de estándares: las nuevas tecnologías en el ámbito de IoT están

en constante cambio y evolución, esto complica la regularización de medidas de

seguridad y buenas prácticas, asimismo, el amplio abanico de estándares que

pueden ser aplicados en un mismo ecosistema complica su gestión.

▸ Integración de seguridad: existen diferentes factores que afectan a la integración,

como puede ser la diversidad de dispositivos que pueden requerir diferentes

sistemas de autenticación que deben ser integrados; además, los diferentes puntos
de vista de los stakeholders pueden ser un problema a la hora de unificar posiciones.

▸ Aspectos de seguridad: el hecho de que en IoT existan actuadores que interactúan

con el mundo físico, implica que la seguridad debe ser un factor clave, ya que una

amenaza puede provocar daños no solo de información o disponibilidad, si no daños

humanos, como pueden ser los ataques de ciberseguridad que han sufrido algunos
vehículos conectados a la red.

▸ Experiencia: al tratarse de un ámbito muy nuevo existe una escasez de personal

cualificado que pueda aportar y gestionar un entorno seguro de IoT.

▸ Actualizaciones de seguridad: la aplicación de las actualizaciones de seguridad

son muy complejas, ya que las interfaces no permiten actualizaciones tradicionales,

por tanto, es una tarea compleja que implica un gran despliegue de recursos.

▸ Programación: en IoT los tiempos de comercialización son más cortos debido a la

demanda y la competencia, esto implica que los esfuerzos que se aplican a la hora

de desarrollar se enfocan en la funcionalidad final y usabilidad y no tanto en los

Ciberseguridad en Internet de las Cosas 28

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

desarrollos de seguridad y privacidad.

▸ Responsabilidad: no suele existir una designación clara de las responsabilidades,

lo que puede implicar que existan conflictos de responsabilidad a la hora de abordar

incidentes de seguridad, ya que los sistemas pueden ser muy extensos e involucrar
a numerosos dispositivos. Esto implica que si un dispositivo es compartido por varias
partes a la hora de gestionar la seguridad, no existe una clara respuesta de la

responsabilidad.

Ciberseguridad en Internet de las Cosas 29

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

1.5. Marco legal y normativo aplicable a las IoT

A continuación, se enumerarán algunos de los diferentes marcos teóricos y

normativos relacionado con IoT más conocidos del contexto actual, así como los

marcos legislativos relacionados.

Figura 7. Esquema de los principales elementos que se analizarán en el aparatado de Marco legal y

normativo. Fuente: elaboración propia.

Marco normativo

▸ Cobit 5 provee un marco para poder cumplir y gestionar los objetivos principales de

las TI, los riesgos de seguridad y de control. Cobit ofrece seguridad de la información
(SI). Se aplica en función de los objetivos principales de la compañía, aplicando las
prioridades respecto a ellas. En este marco se establece la necesidad de definición

del responsable de seguridad en función de sus objetivos.

▸ ISO 27002 se enfoca en la mejora, implementación y gestión de la seguridad de la

información a través de la implementación de controles de seguridad que se definen

114 controles repartidos en catorce dominios, existen herramientas que permiten
gestionar esta implantación de una forma intuitiva como puede ser la herramienta de
eMarisma.

Ciberseguridad en Internet de las Cosas 30

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ ISO/IEC 29161. Esta norma se centra en la identificación única para IoT, en la que

se definen las reglas principales para la identificación de los diferentes actuadores,

dispositivos, comunicaciones… y de esta forma poder validar su compatibilidad en el

contexto de aplicabilidad.

▸ ISO/IEC TR 22417. Aquí se detallan diferentes escenarios de IoT agrupadas por un

foco de aplicabilidad con el fin de poder categorizar el uso de los diferentes

escenarios y los requisitos identificados.

Ciberseguridad en Internet de las Cosas 31

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Tabla 2. Categorización IoT. Fuente: elaboración propia.

▸ ISO/IEC 20924 proporciona un glosario de definiciones y términos referente a IoT.

En ella se detallan 53 términos de IoT.

▸ ISO/IEC 30141:2018 proporciona un marco de vocabulario común para cualquier

sector, para poder implementar entornos del Internet de las cosas, de tal forma que
se consigue mejorar la seguridad y disminuir las vulnerabilidades posibles, así se
evitan problemas de información sensible.

Ciberseguridad en Internet de las Cosas 32

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Marco legal

No existe una aplicación especifica legal sobre IoT, aunque algunos aspectos legales

pueden aplicar. Dependiendo de la localización existen diferentes marcos jurídicos

que pueden ser aplicables a IoT.

En cuanto a protección de datos se refieres:

▸ En Europa existe el RGPD:

«La protección de las personas físicas en relación con el tratamiento de datos personales
es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos

Fundamentales de la Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado

de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene

derecho a la protección de los datos de carácter personal que le conciernan» (2016,

artículo 1).

▸ En Colombia la ley 1581 de 2102 «derecho constitucional que tienen todas las

personas a conocer, actualizar y rectificar las informaciones que se hayan recogido

sobre ellas en bases de datos o archivos, y los demás derechos, libertades y

garantías constitucionales» (artículo 1).

Regularización

Como se ha comentado no existe una regularización legal sobre IoT general, aunque

ya empiezan a aparecer como es el caso de California en la que el 1 de enero de

2020 entró en vigor una de las primeras leyes de regularización de IoT, en ella se

establecen los diferentes requisitos de seguridad para los dispositivos que se

vendan en California, definiendo cualquier dispositivo conectado como cualquier

dispositivo u objeto físico capaz de conectarse a internet directa o indirectamente.

El objetivo principal es que los diferentes dispositivos conectados,

tengan una seguridad al menos razonable y apropiada.

Ciberseguridad en Internet de las Cosas 33

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

1.6. Referencias bibliográficas

Bernier, R. (4 de abril de 2021). How To Unfreeze Apple Watch . Apple How Now.
https://applehownow.com/how-to-unfreeze-apple-watch/

Centro Criptológico Nacional. (2015). Guía de Seguridad (CCN-STIC-401) . Gobierno

de España. https://www.ccn-cert.cni.es/pdf/guias/glosario-de-terminos/22-401-

descargar-glosario/file.html

ENISA (2017). Baseline Security Recommendations for IoT. European Union Agency

for Cybersecurity. https://www.enisa.europa.eu/publications/baseline-security-

recommendations-for-iot

Geeker (s.f.). 35 Sensor [Imagen].

https://i0.wp.com/www.geeker.co.nz/images/detailed/1/35Sensor.jpg

Industrial Internet of Things (s.f.). Diferencias entre IoT y IIoT

https://iiotonline.es/diferencias-entre-iot-y-iiot/

ISO/IEC (marzo 2021). ISO/IEC 20924:2021 Information technology — Internet of

Things (IoT) — Vocabulary.

Ley Estatutaria 1581 de 2012. Por la cual se dictan disposiciones generales para la

protección de datos personales. 17 de octubre de 2012 (Colombia).

https://www.defensoria.gov.co/public/Normograma%202013_html/Normas/Ley_1581

_2012.pdf

Ciberseguridad en Internet de las Cosas 34

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (27 de abril de

2016). Relativo a la protección de las personas físicas en lo que respecta al

tratamiento de datos personales y a la libre circulación de estos datos y por el que se

deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

https://www.boe.es/doue/2016/119/L00001-00088.pdf

Ciberseguridad en Internet de las Cosas 35

Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 A fondo

Internet de las cosas en la industria

Schneider Electric España (22 de enero de 2019) La necesidad de reindustrializarse:

el impacto del IoT | Schneider Electric [Vídeo]. YouTube

https://www.youtube.com/watch?
v=6MmEmLYpmYU&ab_channel=SchneiderElectricEspa%C3%B1a

Vídeo en el que se da una primera aproximación, de forma resumida, del valor de IoT

dentro de la industria, así como su impacto y características.

Ciberseguridad en Internet de las Cosas 36

Tema 1. A fondo
© Universidad Internacional de La Rioja (UNIR)
 A fondo

Smarter Buildings and Homes with the Internet of

Things (IoT)

Intel (2015). Smarter Buildings & Homes with the Internet of Things. Intel Corporation.
https://cdrdv2.intel.com/v1/dl/getContent/332534?
wapkw=smarter%20buildings%20and%20homes

Brief de Intel en que se detalla la nueva era IoT y cómo impacta en los nuevos

edificios y espacios inteligentes, para optimizar la eficiencia, el confort y la seguridad

de las personas, así como incrementar el rendimiento de los diferentes activos.

Ciberseguridad en Internet de las Cosas 37

Tema 1. A fondo
© Universidad Internacional de La Rioja (UNIR)
 A fondo

Once casos de éxito de IoT

Jose Luna (21 de noviembre de 2019). 11 ejemplos EXITOSOS del Internet De Las

Cosas (IOT) QUE NO CREERÁS [Vídeo]. YouTube.

https://www.youtube.com/watch?v=-2DxznYu6gA&ab_channel=JoseLunaJoseLuna

Vídeo en el que se muestran y explican once casos de éxito de sistemas de IoT.

Ciberseguridad en Internet de las Cosas 38

Tema 1. A fondo
© Universidad Internacional de La Rioja (UNIR)
 A fondo

Internet of Things for Dummies, Qorvo Special

Edition

Miller, L. (2017). Internet of Things for Dummies, Qorvo Special Edition. John Wiley &

Sons, Inc.
https://media.wiley.com/assets/7348/78/Vol_1_9781119349891_Internet_of_Things_

FD_QorvoSE.pdf

En este libro se explica de qué se trata la IoT y qué significa para empresas de

diferentes industrias (capítulo 1); qué estándares y protocolos de comunicación

existen actualmente o están en desarrollo para IoT (capítulo 2); desafíos clave de

datos de IoT, incluidos datos grandes y pequeños, análisis y seguridad (capítulo 3) y

algunas conclusiones importantes sobre IoT para empresas (capítulo 4).

Ciberseguridad en Internet de las Cosas 39

Tema 1. A fondo
© Universidad Internacional de La Rioja (UNIR)
 A fondo

Meetup: Amazon IoT con un ejemplo práctico

Paradigma Digital (6 de noviembre de 2018). [Meetup] Amazon IoT con un ejemplo

p r á c t i c o [Vídeo]. YouTube. https://www.youtube.com/watch?

v=k0OPf6K6HOs&ab_channel=ParadigmaDigital

Vídeo que muestra un ejemplo práctico de un aparcamiento implementado con IoT

desplegado en Amazon.

Ciberseguridad en Internet de las Cosas 40

Tema 1. A fondo
© Universidad Internacional de La Rioja (UNIR)
 Test

1. ¿Cuál fue el origen de la IoT?

A. En 1999, cuando se empezaron a realizar investigaciones sobre IoT.

B. En 1982, cuando se conectó una máquina de refrescos en una universidad

a Internet.

C. En 2009, cuando apareció Twitter y se utilizó el término IoT como hashtag.

D. En 2011, cuando se acuño en Alemania el término «Industria 4.0».

2. ¿Qué es la ciberseguridad?

A. Protección de los sistemas informáticos contra amenazas que intentan

causar daños en activos físicos de valor.

B. Conjunto de actividades dirigidas a proteger el ciberespacio contra el uso

indebido del mismo, al defender su infraestructura tecnológica, los servicios

que prestan y la información que manejan.

C. Conjunto de actuaciones orientadas a asegurar, en la medida de lo posible,

las redes y sistemas que constituyen el ciberespacio lógico.

D. Se trata de un concepto que es equivalente al de seguridad informática.

3. ¿Qué tipos de activos de información podemos distinguir?

A. Activos TI.

B. Activos TO.

C. Servicios.

D. Todas las anteriores son correctas.

Ciberseguridad en Internet de las Cosas 41

Tema 1. Test
© Universidad Internacional de La Rioja (UNIR)
 Test

4. Seleccione la respuesta correcta sobre la definición de IoT:

A. Infraestructuras que interconectan entidades, personas, sistemas y

recursos de información, que junto con los servicios y procesos reaccionan a

la información del mundo físico y virtual.

B. La comunicación de elementos de un sistema independiente de los

protocolos de comunicación.

C. La interacción de dispositivos de tipo actuadores o sensores, sin la

interacción de persona a persona o persona a computador únicamente a

través de Internet.

D. Todas las anteriores son correctas.

5. Seleccione la respuesta incorrecta:

A. La toma de decisiones está totalmente ligada a la información de la que se

dispone.

B. Las tomas de decisiones pueden ser muy sencillas o complejas.

C. La toma de decisiones retroalimenta el sistema a través de los actuadores

que generan nuevas señales.

D. La toma de decisiones es independiente de la información obtenida,

únicamente se realiza a partir de las normativas establecidas.

6. En la comunicación de sistemas IoT en el que se requiere que la comunicación

sea de largo alcance, ¿qué protocolos utilizarías?

A. ZigBee, Bluetooth, Wi-Fi.

B. LoRaWAN, LTE-M.
C.NFC.
D. Todas las anteriores son correctas.

Ciberseguridad en Internet de las Cosas 42

Tema 1. Test
© Universidad Internacional de La Rioja (UNIR)
 Test

7. Para que un dispositivo pueda ser considerado como IoT debe estar

obligatoriamente conectado a Internet:

A. Falso, únicamente debe poder transmitir datos.

B. Verdadero.

C. No necesita conectividad de ningún tipo.

D. Depende de los protocolos.

8. ¿Qué elementos afectan directamente a los entornos de IoT con respecto a la

seguridad?

A. Se aboga por la funcionalidad sobre la seguridad.

B. No se implementan mecanismos de seguridad avanzados para abaratar

costes.

C. Es complejo identificar la responsabilidad sobre los dispositivos.

D. Todas las anteriores son correctas.

9. ¿Qué elementos se deben tener en cuenta y catalogar para obtener un buen

análisis de riesgos?

A. Activos, amenazas, vulnerabilidades y controles.

B. Activos, amenazas y controles.

C. Activos, vulnerabilidades y controles.

D. Amenazas, vulnerabilidades y controles.

10. ¿En qué norma se establece un glosario de definiciones y términos de IoT?

A. ISO/IEC 20924.

B. ISO/IEC 30141

C. ISO/IEC 27002.

D. ISO/IEC 22417.

Ciberseguridad en Internet de las Cosas 43

Tema 1. Test
© Universidad Internacional de La Rioja (UNIR)