Sara Matheu: ¡®¡®Los juguetes son un objetivo muy goloso para los ciberdelincuentes¡¯¡¯

Sin muchas esperanzas, Sara Nieves Matheu (Murcia, 29 a?os) cumpliment¨® a principios del a?o un par de solicitudes para participar en sendos concursos de investigaci¨®n inform¨¢tica. Un d¨ªa de verano, recibi¨® una llamada. Al d¨ªa siguiente, otra. Hab¨ªa ganado los dos. Uno de ellos era el premio de investigaci¨®n de la Sociedad Cient¨ªfica Inform¨¢tica de Espa?a y la Fundaci¨®n BBVA, que otorgan seis galardones en esa categor¨ªa, dotados de 5.000 euros cada uno. Matheu es la ¨²nica mujer en recibirlo este a?o. Desde peque?a le apasionan los n¨²meros y, mientras cursaba un programa piloto de Matem¨¢ticas e Inform¨¢tica en la Universidad de Murcia, descubri¨® la ciberseguridad, la sinergia perfecta entre ambas ramas. Confiesa haber sufrido en m¨¢s de una ocasi¨®n el machismo en el mundo cibern¨¦tico. En una ocasi¨®n, el empleado de una tienda de reparaci¨®n la culp¨® de que el ordenador no funcionara: ¡®¡®Tuve que convencer a un compa?ero de carrera para que fuera ¨¦l porque el dependiente pensaba que era una loca que estaba trasteando con el ordenador sin tener ni idea¡¯¡¯.

La investigaci¨®n premiada valora su tesis doctoral, realizada en la misma universidad en la que se gradu¨®. Durante cuatro a?os, Matheu ha dise?ado un sistema para evaluar la seguridad de los dispositivos inteligentes conectados en el internet de las cosas. Como explica durante una conversaci¨®n en la sede de la Fundaci¨®n BBVA horas antes de recibir el galard¨®n, los dispositivos que nos rodean en el hogar y en el trabajo pueden ser vulnerables ante ataques inform¨¢ticos, con distintas consecuencias. Desde los juguetes que utilizan los ni?os hasta una lavadora con wifi, cualquier aparato puede verse afectado. Matheu propone que, igual que los electrodom¨¦sticos cuentan con una etiqueta de eficiencia energ¨¦tica, las c¨¢maras de vigilancia de casa o el mu?eco que parlotea sean tambi¨¦n analizados y clasificados. La OCU lleg¨® a pedir en 2017 que se retiraran los juguetes con conexi¨®n a la red que planteaban inseguridades. Con el sistema de etiquetado que propone la joven murciana, los consumidores podr¨ªan saber de antemano a lo que se exponen.

Pregunta: La mayor parte de la poblaci¨®n conduce un coche sin conocer su mecanismo. De la misma manera, el internet de las cosas forma cada vez m¨¢s parte de nuestra vida aunque no sepamos en qu¨¦ consiste exactamente. ?Podr¨ªa explicarlo?

Respuesta: Es bastante sencillo: son todos esos dispositivos chiquititos que nos rodean y que est¨¢n conectados a internet compartiendo informaci¨®n, ya sean las lavadoras, las pulseras que llevamos todos en la mu?eca para medir los latidos del coraz¨®n o los pasos, las tarjetas inteligentes, las c¨¢maras que tenemos en nuestros hogares por si entran a robar¡­ Todo eso es el internet de las cosas.

P: Su investigaci¨®n se centra en descubrir c¨®mo se puede vulnerar la seguridad de esos dispositivos. ?Qu¨¦ propone para que sean m¨¢s seguros?

R: Analizo c¨®mo se puede vulnerar y hasta qu¨¦ punto est¨¢n protegidos, de manera que el consumidor lo sepa cuando vaya a comprarlos. La idea es crear una forma de evaluar esos dispositivos que sea f¨¢cil y barata, adem¨¢s de autom¨¢tica. El fabricante de un sensor o una c¨¢mara, por ejemplo, no puede estar un a?o esperando, porque en ese tiempo ya se ha lanzado otra versi¨®n al mercado. El sistema que proponemos tambi¨¦n es objetivo: hay una lista con la que el experto eval¨²a la seguridad y ve si el dispositivo cumple cada par¨¢metro o no. Eso se enlaza con tests emp¨ªricos, se ataca al sistema y se obtienen ciertas m¨¦tricas y n¨²meros que proporcionan el nivel de seguridad. Con ese n¨²mero, creamos la etiqueta.

P: ?C¨®mo ser¨ªa esa etiqueta?

R: Es b¨¢sicamente un diagrama de ara?a, de forma que, cuanto mayor es el ¨¢rea, mayor es el riesgo. Tiene un aspecto visual ¨Dsimilar a la eficiencia energ¨¦tica¨D que se pega al dispositivo. Al ir a comprarlo, se puede ver si tiene mucha seguridad o poca. Es importante que, adem¨¢s, sea din¨¢mica, porque se puede evaluar algo hoy, pero ma?ana sufre un ataque y la etiqueta ya no funciona. La idea es que tenga un c¨®digo QR para que se vaya actualizando.

P: ?Qu¨¦ se necesita para poner ese sistema en marcha?

R: Sobre todo se necesita apoyo de la Uni¨®n Europea. Por fin va a implementar una regulaci¨®n y est¨¢n centr¨¢ndose sobre todo en el internet de las cosas, en la nube y en el 5G. Est¨¢n tomando ideas nuestras, como la etiqueta y los perfiles. Los perfiles sirven para tener en cuenta los contextos: no es lo mismo hablar de seguridad militar que de seguridad en un hospital. A partir de ah¨ª se podr¨ªa crear ese mecanismo de evaluaci¨®n gen¨¦rico a nivel europeo, pero se necesita el apoyo de las entidades que regulan las leyes.

P: ?Cu¨¢nto tiempo puede pasar hasta que lo vean los consumidores en los aparatos que compran?

R: Desde que en Europa manifestaron su intenci¨®n de empezar hasta ahora creo que han pasado tres o cuatro a?os, as¨ª que a lo mejor en tres o cuatro a?os m¨¢s empezamos a ver etiquetas en los productos. De todas maneras, ya hay organizaciones en EE UU, por ejemplo, que proponen tambi¨¦n este sistema. Hay un avance y una voluntad para establecerlo.

P: ?Qu¨¦ tipo de dispositivos pueden ser m¨¢s vulnerables?

R: Depende de la funci¨®n que cumplan. El problema es que, aunque sea un dispositivo a priori muy tonto, como una c¨¢mara de vigilancia (que si la hackean, pueden entrar a robar), si se ponen de acuerdo los ciberdelincuentes y atacan los dispositivos de muchas casas del mundo a la vez para llegar a servidores m¨¢s importantes, como los de una el¨¦ctrica o los de un hospital, las consecuencias pueden ser muy graves. Y es m¨¢s habitual de lo que parece.

P: A menudo pensamos que solo las empresas y los organismos sufren ciberataques...

R: En hogares tambi¨¦n ocurre. Hace poco yo tambi¨¦n fui atacada. Hab¨ªa una aplicaci¨®n muy conocida para escanear documentos con el m¨®vil y se descubri¨® que ten¨ªa una vulnerabilidad y que los hackers la empleaban para minar bitcoins de tu m¨®vil. En este caso te fastidiaban el rendimiento del tel¨¦fono, pero podr¨ªa ser m¨¢s grave. Ocurre con los juguetes de los ni?os, que son un objetivo muy goloso. Recuerdo un caso de un juguete que hablaba... El hacker lo atac¨® y hablaba con el ni?o dici¨¦ndole que era Pap¨¢ Noel. Pod¨ªa obtener informaci¨®n del ni?o, conversaciones¡­ y almacenar grabaciones que lo ayudaran a convencer a otros ni?os de que ¨¦l era uno de ellos, de forma que podr¨ªan darse casos de pederastia. Ha habido varias marcas de juguetes que han sido atacadas. El sistema que proponemos servir¨ªa para estos casos.

P: ?Cree que ese etiquetado acabar¨¢ siendo una medida obligatoria?

R: En el sistema de evaluaci¨®n hay varios niveles: desde que la propia empresa eval¨²e la seguridad del producto, hasta que la organizaci¨®n vaya a la empresa, eval¨²e el producto, lo ataque y certifique que es seguro. Quiz¨¢ en Europa el nivel m¨ªnimo s¨ª que acabe siendo obligatorio.

P: ?Hacia d¨®nde se dirige su investigaci¨®n?

R: Hasta ahora, nos hemos centrado en dispositivos aislados, pero un sistema est¨¢ compuesto de much¨ªsimos aparatos. Imagina un coche autom¨¢tico que tiene un mont¨®n de dispositivos del internet de las cosas. Si falla uno, pueden fallar otros por el efecto cascada. La idea ahora es analizar esas dependencias y que formen parte de la medida de seguridad que estamos obteniendo. Tambi¨¦n queremos que, si un fabricante de un dispositivo descubre una vulnerabilidad en el producto, pueda compartir la informaci¨®n. Estamos enlazando eso con la certificaci¨®n. Si se descubre una vulnerabilidad, pretendemos que llegue a la entidad que hace las certificaciones, se reval¨²e el producto¡­ y la etiqueta se actualice.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.