INVESTIGACIÓN EN (JNIC2021 LIVE) - Manuel A. Serrano - Eduardo Fernández-Medina Cristina Alcaraz - Noemí de Castro - Guillermo Calvo - UCLM
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
EDITORES:
Manuel A. Serrano - Eduardo Fernández-Medina
Cristina Alcaraz - Noemí de Castro - Guillermo Calvo
Actas de las VI Jornadas Nacionales
(JNIC2021 LIVE)
INVESTIGACIÓN ENInvestigación en Ciberseguridad
Actas de las VI Jornadas Nacionales
( JNIC2021 LIVE)
Online 9-10 de junio de 2021
Universidad de Castilla-La ManchaInvestigación en Ciberseguridad
Actas de las VI Jornadas Nacionales
( JNIC2021 LIVE)
Online 9-10 de junio de 2021
Universidad de Castilla-La Mancha
Editores:
Manuel A. Serrano,
Eduardo Fernández-Medina,
Cristina Alcaraz
Noemí de Castro
Guillermo Calvo
Cuenca, 2021© de los textos e ilustraciones: sus autores
© de la edición: Universidad de Castilla-La Mancha
Edita: Ediciones de la Universidad de Castilla-La Mancha.
Colección JORNADAS Y CONGRESOS n.º 34
© de los textos: sus autores.
© de la edición: Universidad de Castilla-La Mancha.
© de los textos e ilustraciones: sus autores
© de la edición: Universidad de Castilla-La Mancha
Edita: Ediciones Esta
de la Universidad
editorial esdemiembro
Castilla-Lade
Mancha
la UNE, lo que garantiza la difusión y
comercialización de sus publicaciones a nivel nacional e internacional
Colección JORNADAS
Edita: Ediciones de YlaCONGRESOS
Universidad de n.º Castilla-La
34 Mancha.
Colección JORNADAS Y CONGRESOS n.º 34
I.S.B.N.: 978-84-9044-463-4
Esta editorial es miembro de la UNE, lo que garantiza la difusión y comercialización de sus publi-
caciones a nivel nacional e internacional.
D.O.I.: http://doi.org/10.18239/jornadas_2021.34.00
Esta editorial es miembro de la UNE, lo que garantiza la difusión y
I.S.B.N.: 978-84-9044-463-4
comercialización de sus publicaciones a nivel
nacional e internacional
D.O.I.: http://doi.org/10.18239/jornadas_2021.34.00
I.S.B.N.:
Esta obra 978-84-9044-463-4
se encuentra bajo una licencia internacional Creative Commons CC BY 4.0.
D.O.I.: http://doi.org/10.18239/jornadas_2021.34.00
Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta
Esta obra se encuentra bajo una licencia internacional Creative Commons CC BY 4.0.
obra no incluida en la licencia Creative Commons CC BY 4.0 solo puede ser realizada con la
Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra no incluida
autorización
en expresa
la licencia Creative de los CC
Commons titulares, salvopuede
BY 4.0 solo excepción prevista
ser realizada con la por la ley. Puede
autorización Vd.
expresa de losacceder
titulares, al
texto completo de la licencia en este enlace:
salvo excepción prevista por la ley. Puede Vd. acceder al texto completo de la licencia en este enlace: https://
https://creativecommons.org/licenses/by/4.0/deed.es
creativecommons.org/licenses/by/4.0/deed.es
Esta obra se encuentra bajo una licencia internacional Creative Commons CC BY 4.0.
Hecho en España (U.E.) – Made in Spain (E.U.)
Hecho en España
Cualquier forma de(U.E.) – Made indistribución,
reproducción, Spain (E.U.)comunicación pública o transformación de esta
obra no incluida en la licencia Creative Commons CC BY 4.0 solo puede ser realizada con la
autorización expresa de los titulares, salvo excepción prevista por la ley. Puede Vd. acceder al
texto completo de la licencia en este enlace:
https://creativecommons.org/licenses/by/4.0/deed.es
Hecho en España (U.E.) – Made in Spain (E.U.)Bienvenida del Comité Organizador
Tras la parada provocada por la pandemia en 2020, las VI Jornadas Nacionales de Investiga-
ción en Ciberseguridad ( JNIC) vuelven el 9 y 10 de Junio del 2021 con energías renovadas, y por
primera vez en su historia, en un formato 100% online. Esta edición de las JNIC es organizada
por los grupos GSyA y Alarcos de la Universidad de Castilla-La Mancha en Ciudad Real, y
con la activa colaboración del comité ejecutivo, de los presidentes de los distintos comités de
programa y del Instituto Nacional de Ciberseguridad (INCIBE). Continúa de este modo la
senda de consolidación de unas jornadas que se celebraron por primera vez en León en 2015 y
le siguieron Granada, Madrid, San Sebastián y Cáceres, consecutivamente hasta 2019, y que,
en condiciones normales se habrían celebrado en Ciudad Real en 2020.
Estas jornadas se han convertido en un foro de encuentro de los actores más relevantes en
el ámbito de la ciberseguridad en España. En ellas, no sólo se presentan algunos de los trabajos
científicos punteros en las diversas áreas de ciberseguridad, sino que se presta especial atención
a la formación e innovación educativa en materia de ciberseguridad, y también a la conexión
con la industria, a través de propuestas de transferencia de tecnología. Tanto es así que, este año
se presentan en el Programa de Transferencia algunas modificaciones sobre su funcionamiento
y desarrollo que han sido diseñadas con la intención de mejorarlo y hacerlo más valioso para
toda la comunidad investigadora en ciberseguridad.
Además de lo anterior, en las JNIC estarán presentes excepcionales ponentes (Soledad
Antelada, del Lawrence Berkeley National Laboratory, Ramsés Gallego, de Micro Focus y
Mónica Mateos, del Mando Conjunto de Ciberdefensa) mediante tres charlas invitadas y se
desarrollarán dos mesas redondas. Éstas contarán con la participación de las organizaciones
más relevantes en el panorama industrial, social y de emprendimiento en relación con la ciber-
seguridad, analizando y debatiendo el papel que está tomando la ciberseguridad en distintos
ámbitos relevantes.
En esta edición de JNIC se han establecido tres modalidades de contribuciones de inves-
tigación, los clásicos artículos largos de investigación original, los artículos cortos con investi-
gación en un estado más preliminar, y resúmenes extendidos de publicaciones muy relevantes
y de alto impacto en materia de ciberseguridad publicados entre los años 2019 y 2021. En el
caso de contribuciones de formación e innovación educativa, y también de transferencias se
han considerado solamente artículos largos. Se han recibido para su valoración un total de 86
7Bienvenida del Comité Organizador
contribuciones organizadas en 26, 27 y 33 artículos largos, cortos y resúmenes ya publicados,
de los que los respectivos comités de programa han aceptado 21, 19 y 27, respectivamente. En
total se ha contado con una ratio de aceptación del 77%. Estas cifras indican una participación
en las jornadas que continúa creciendo, y una madurez del sector español de la ciberseguridad
que ya cuenta con un volumen importante de publicaciones de alto impacto.
El formato online de esta edición de las jornadas nos ha motivado a organizar las jornadas
de modo más compacto, distinguiendo por primera vez entre actividades plenarias (charlas
invitadas, mesas redondas, sesión de formación e innovación educativa, sesión de transfe-
rencia de tecnología, junto a inauguración y clausura) y sesiones paralelas de presentación de
artículos científicos. En concreto, se han organizado 10 sesiones de presentación de artículos
científicos en dos líneas paralelas, sobre las siguientes temáticas: detección de intrusos y gestión
de anomalías (I y II), ciberataques e inteligencia de amenazas, análisis forense y cibercrimen,
ciberseguridad industrial, inteligencia artificial y ciberseguridad, gobierno y riesgo, tecnologías
emergentes y entrenamiento, criptografía, y finalmente privacidad.
En esta edición de las jornadas se han organizado dos números especiales de revistas con
elevado factor de impacto para que los artículos científicos mejor valorados por el comité de
programa científico puedan enviar versiones extendidas de dichos artículos. Adicionalmente, se
han otorgado premios al mejor artículo en cada una de las categorías. En el marco de las JNIC
también hemos contado con la participación de la Red de Excelencia Nacional de Investigación
en Ciberseguridad (RENIC), impulsando la ciberseguridad a través de la entrega de los premios
al Mejor Trabajo Fin de Máster en Ciberseguridad y a la Mejor Tesis Doctoral en Ciberseguridad. Tam-
bién se ha querido acercar a los jóvenes talentos en ciberseguridad a las JNIC, a través de un CTF
(Capture The Flag) organizado por la Universidad de Extremadura y patrocinado por Viewnext.
Desde el equipo que hemos organizado las JNIC2021 queremos agradecer a todas aquellas
personas y entidades que han hecho posible su celebración, comenzando por los autores de
los distintos trabajos enviados y los asistentes a las jornadas, los tres ponentes invitados, las
personas y organizaciones que han participado en las dos mesas redondas, los integrantes de
los distintos comités de programa por sus interesantes comentarios en los procesos de revisión
y por su colaboración durante las fases de discusión y debate interno, los presidentes de las
sesiones, la Universidad de Extremadura por organizar el CTF y la empresa Viewnext por
patrocinarlo, los técnicos del área TIC de la UCLM por el apoyo con la plataforma de comu-
nicación, los voluntarios de la UCLM y al resto de organizaciones y entidades patrocinadoras,
entre las que se encuentra la Escuela Superior de Informática, el Departamento de Tecnologías
y Sistemas de Información y el Instituto de Tecnologías y Sistemas de Información, todos ellos
de la Universidad de Castilla-La Mancha, la red RENIC, las cátedras (Telefónica e Indra)
y aulas (Avanttic y Alpinia) de la Escuela Superior de Informática, la empresa Cojali, y muy
especialmente por su apoyo y contribución al propio INCIBE.
Manuel A. Serrano, Eduardo Fernández-Medina
Presidentes del Comité Organizador
Cristina Alcaraz
Presidenta del Comité de Programa Científico
Noemí de Castro
Presidenta del Comité de Programa de Formación e Innovación Educativa
Guillermo Calvo Flores
Presidente del Comité de Transferencia Tecnológica
8Índice General
Comité Ejecutivo.............................................................................................. 11
Comité Organizador........................................................................................ 12
Comité de Programa Científico....................................................................... 13
Comité de Programa de Formación e Innovación Educativa........................... 15
Comité de Transferencia Tecnológica............................................................... 17
Comunicaciones
Sesión de Investigación A1: Detección de intrusiones y gestión de anomalías I 21
Sesión de Investigación A2: Detección de intrusiones y gestión de anomalías II 55
Sesión de Investigación A3: Ciberataques e inteligencia de amenazas............. 91
Sesión de Investigación A4: Análisis forense y cibercrimen............................. 107
Sesión de Investigación A5: Ciberseguridad industrial y aplicaciones.............. 133
Sesión de Investigación B1: Inteligencia Artificial en ciberseguridad............... 157
Sesión de Investigación B2: Gobierno y gestión de riesgos.............................. 187
Sesión de Investigación B3: Tecnologías emergentes y entrenamiento en
ciberseguridad................................................................................................... 215
Sesión de Investigación B4: Criptografía.......................................................... 235
Sesión de Investigación B5: Privacidad............................................................. 263
Sesión de Transferencia Tecnológica................................................................ 291
Sesión de Formación e Innovación Educativa.................................................. 301
Premios RENIC.............................................................................................. 343
Patrocinadores................................................................................................. 349
9Comité Ejecutivo
Juan Díez González INCIBE
Luis Javier García Villalba Universidad de Complutense de Madrid
Eduardo Fernández-Medina Patón Universidad de Castilla-La Mancha
Guillermo Suárez-Tangil IMDEA Networks Institute
Andrés Caro Lindo Universidad de Extremadura
Pedro García Teodoro Universidad de Granada. Representante
de red RENIC
Noemí de Castro García Universidad de León
Rafael María Estepa Alonso Universidad de Sevilla
Pedro Peris López Universidad Carlos III de Madrid
11Comité Organizador
Presidentes del Comité Organizador
Eduardo Fernández-Medina Patón Universidad de Castilla-la Mancha
Manuel Ángel Serrano Martín Universidad de Castilla-la Mancha
Finanzas
David García Rosado Universidad de Castilla-la Mancha
Luis Enrique Sánchez Crespo Universidad de Castilla-la Mancha
Actas
Antonio Santos-Olmo Parra Universidad de Castilla-la Mancha
Difusión
Julio Moreno García-Nieto Universidad de Castilla-la Mancha
José Antonio Cruz Lemus Universidad de Castilla-la Mancha
María A Moraga de la Rubia Universidad de Castilla-la Mancha
Webmaster
Aurelio José Horneros Cano Universidad de Castilla-la Mancha
Logística y Organización
Ignacio García-Rodriguez de Guzmán Universidad de Castilla-la Mancha
Ismael Caballero Muñoz-Reja Universidad de Castilla-la Mancha
Gregoria Romero Grande Universidad de Castilla-la Mancha
Natalia Sanchez Pinilla Universidad de Castilla-la Mancha
12Comité de Programa Científico
Presidenta
Cristina Alcaraz Tello Universidad de Málaga
Miembros
Aitana Alonso Nogueira INCIBE
Marcos Arjona Fernández ElevenPaths
Ana Ayerbe Fernández-Cuesta Tecnalia
Marta Beltrán Pardo Universidad Rey Juan Carlos
Carlos Blanco Bueno Universidad de Cantabria
Jorge Blasco Alís Royal Holloway, University of London
Pino Caballero-Gil Universidad de La Laguna
Andrés Caro Lindo Universidad de Extremadura
Jordi Castellà Roca Universitat Rovira i Virgili
José M. de Fuentes García-Romero
de Tejada Universidad Carlos III de Madrid
Jesús Esteban Díaz Verdejo Universidad de Granada
Josep Lluis Ferrer Gomila Universitat de les Illes Balears
Dario Fiore IMDEA Software Institute
David García Rosado Universidad de Castilla-La Mancha
Pedro García Teodoro Universidad de Granada
Luis Javier García Villalba Universidad Complutense de Madrid
Iñaki Garitano Garitano Mondragon Unibertsitatea
Félix Gómez Mármol Universidad de Murcia
Lorena González Manzano Universidad Carlos III de Madrid
María Isabel González Vasco Universidad Rey Juan Carlos I
Julio César Hernández Castro University of Kent
Luis Hernández Encinas CSIC
Jorge López Hernández-Ardieta Banco Santander
Javier López Muñoz Universidad de Málaga
Rafael Martínez Gasca Universidad de Sevilla
Gregorio Martínez Pérez Universidad de Murcia
13David Megías Jiménez Universitat Oberta de Cataluña
Luis Panizo Alonso Universidad de León
Fernando Pérez González Universidad de Vigo
Aljosa Pasic ATOS
Ricardo J. Rodríguez Universidad de Zaragoza
Fernando Román Muñoz Universidad Complutense de Madrid
Luis Enrique Sánchez Crespo Universidad de Castilla-La Mancha
José Soler Technical University of Denmark-DTU
Miguel Soriano Ibáñez Universidad Politécnica de Cataluña
Victor A. Villagrá González Universidad Politécnica de Madrid
Urko Zurutuza Ortega Mondragon Unibertsitatea
Lilian Adkinson Orellana Gradiant
Juan Hernández Serrano Universitat Politécnica de Cataluña
14Comité de Programa de Formación e Innovación Educativa
Presidenta
Noemí De Castro García Universidad de León
Miembros
Adriana Suárez Corona Universidad de León
Raquel Poy Castro Universidad de León
José Carlos Sancho Núñez Universidad de Extremadura
Isaac Agudo Ruiz Universidad de Málaga
Ana Isabel González-Tablas Ferreres Universidad Carlos III de Madrid
Xavier Larriva Universidad Politécnica de Madrid
Ana Lucila Sandoval Orozco Universidad Complutense de Madrid
Lorena González Manzano Universidad Carlos III de Madrid
María Isabel González Vasco Universidad Rey Juan Carlos
David García Rosado Universidad de Castilla - La Mancha
Sara García Bécares INCIBE
15Comité de Transferencia Tecnológica
Presidente
Guillermo Calvo Flores INCIBE
Miembros
José Luis González Sánchez COMPUTAEX
Marcos Arjona Fernández ElevenPaths
Victor Villagrá González Universidad Politécnica de Madrid
Luis Enrique Sánchez Crespo Universidad de Castilla – La Mancha
17Sesión de Investigación B3: Tecnologías emergentes y entrenamiento en ciberseguridad
http://doi.org/10.18239/jornadas_2021.34.49
Análisis de Seguridad y Privacidad en
dispositivos de la Internet de las Cosas usados
por jóvenes
Sonia Solera-Cotanilla1 , Mario Vega-Barbas1 , Manuel Álvarez-Campana Fernández-Corredor1 ,
Cayetano Valero Amores2 , Jaime Fúster de la Fuente2 , Gregorio López López2
1
ETSI Telecomunicación, Universidad Politécnica de Madrid
{sonia.solera, mario.vega, manuel.alvarez-campana}@upm.es
2
Instituto de Investigación Tecnológica, ICAI, Universidad Pontificia Comillas
{201507104, jaimeff}@alu.comillas.edu, gllopez@comillas.edu
Resumen—Bajo el paradigma de la Internet de las Cosas, en parte, a la deficiencia o carencia de mecanismos de seguridad
los últimos años ha proliferado la aparición y el uso de una robustos que les protejan frente ciberataques, ası́ como, en
amplia variedad de dispositivos conectados. En este artı́culo se muchas ocasiones, a los propios usuarios que, por descuido o
presentan los resultados del análisis de problemas de seguridad y
privacidad de dichos dispositivos efectuado dentro del Proyecto desconocimiento, no toman las debidas precauciones de uso
Europeo RAYUELA, cuyo principal objetivo es fomentar el uso (por ejemplo, no es extraño encontrar usuarios que utilizan
seguro de Internet por parte de los jóvenes. Los resultados del contraseñas por defecto o débiles). Este tipo de factores hace
análisis presentan un conjunto de vulnerabilidades asociadas al que los dispositivos conectados se encuentren actualmente en
uso de los dispositivos conectados más utilizados por los menores. el punto de mira de los ciberataques más frecuentes [7], [8].
Se pone en evidencia que, con frecuencia, los fabricantes de
los dispositivos priorizan las funcionalidades y los servicios a El presente trabajo se enmarca en el proyecto RAYUE-
proporcionar, dejando en un segundo plano los aspectos de LA [9] (empoweRing and educAting YoUng pEople for the
seguridad. Del mismo modo, el estudio revela que, en ocasiones, internet by pLAying) financiado por el programa H2020 de
las empresas tratan de explotar los datos ligados al uso de la Unión Europea. En el proyecto, liderado por Comillas,
estos dispositivos con diversos fines, obviando el derecho a la participa un consorcio multidisciplinar formado por diecisiete
privacidad de los usuarios.
Index Terms—Internet de las Cosas, Seguridad, Privacidad, socios de nueve paı́ses europeos, incluyendo universidades,
Vulnerabilidad, Dispositivos Conectados. centros de investigación, fuerzas y cuerpos de seguridad del
Tipo de contribución: Contribución cientı́fica original en Estado y compañı́as tecnológicas. El principal objetivo de
estado preliminar y/o en desarrollo RAYUELA es el desarrollo de un juego de tipo aventura
interactiva, para los menores de entre doce y diecisiete años,
I. I NTRODUCCI ÓN orientado a concienciar a los jóvenes sobre los riesgos y
La computación ubicua, la tecnologı́a pervasiva y la in- amenazas que entraña el uso de Internet y los dispositivos
teligencia ambiental representan tres tecnologı́as que han conectados, ası́ como educarles sobre las buenas prácticas para
condicionado en gran medida el avance y el desarrollo de la protegerse frente a ellos. Además de los aspectos tecnológicos
actual Sociedad de la Información. El auge de este ecosistema asociados a los riesgos de uso de los dispositivos conectados,
digital de dispositivos y objetos cotidianos conectados entre sı́, el proyecto aborda los factores psicológicos, antropológicos
conocido como Internet de las Cosas (IoT) [1], ha facilitado la y sociológicos que influyen en ciberdelitos como el online
creación de servicios novedosos y personalizados. La utilidad grooming, el cyberbullying y la trata de personas con fines de
de dichos dispositivos está estrechamente relacionada con su explotación sexual.
adopción en la vida cotidiana de las personas [2]. Dentro del proyecto, el presente trabajo se centra en el
Conforme aumenta el uso de los dispositivos conecta- análisis del paradigma tecnológico de la IoT y las potenciales
dos, mayor es el grado de personalización y la utilidad de amenazas que, desde el punto de vista de la seguridad y la
los servicios y las aplicaciones que la IoT pone a nuestra privacidad, conlleva su uso por parte de los menores.
disposición. De este modo, el concepto de ecosistema de Este colectivo resulta de especial interés puesto que, según
dispositivos interconectados ha tenido, en los últimos años, el informe de UNICEF “Estado Mundial de la Infancia 2017:
un gran impacto en la consolidación de, por ejemplo, los Los niños en el mundo digital”, se estima que los niños y
servicios de telemedicina y salud electrónica [3] o la industria adolescentes menores de dieciocho años suponen más de un
4.0 [4]. Ello ha facilitado la creación de nuevos contextos de tercio de los usuarios de Internet en todo el mundo [10] y
mercado como el de los juguetes y el desarrollo infantil [5] Eurostat estima que el 96 % de los adolescentes (de dieciséis
o el de la industria del automóvil [6]. a diecinueve años) utilizan Internet a diario en Europa [11].
No obstante, a pesar de los beneficios que ofrece el Estos jóvenes, nacidos entre 2003 y 2008, son los denomi-
paradigma de la IoT, continuamente se detectan numerosas nados nativos digitales y destacan por una alta adopción e
debilidades en los dispositivos conectados y la aplicaciones incluso dependencia de la tecnologı́a en su vida cotidiana, por
subyacentes, comprometiendo la privacidad y la seguridad lo que el presente estudio trata de entender esta relación innata
de los usuarios finales. Estas debilidades se deben, en gran entre los jóvenes y cualquier tipo de dispositivo conectado del
221Sesión de Investigación B3: Tecnologías emergentes y entrenamiento en ciberseguridad
ecosistema de la IoT [12]. esta información, se pregunta por la frecuencia de uso de
determinados dispositivos ası́ como por la concienciación de
II. M ETODOLOG ÍA
seguridad y privacidad que ofrecen y las amenazas que pueden
El objetivo fundamental del trabajo es analizar las prin- acarrear. Todas estas preguntas se han desarrollado desde un
cipales vulnerabilidades y deficiencias de los dispositivos punto de vista no técnico para que la encuesta pueda ser
conectados más utilizados por los jóvenes. Con ello, se respondida por usuarios con poco o nulo conocimiento técnico
pretende obtener una visión clara de los principales vectores del ámbito que nos concierne. Como alternativa, y a la espera
de ataque o puntos débiles de estas tecnologı́as, sentando las de obtener los resultados de dicha encuesta, se ha recurrido
bases para concienciar y educar a los jóvenes sobre los riesgos a la información proporcionada por varios informes recientes
y amenazas que su uso entraña, ası́ como sobre las buenas [13], [14], [15].
prácticas de uso para evitarlos. Según los citados informes, el dispositivo más utilizado
La metodologı́a de análisis se ha basado en una revisión por los jóvenes es el smartphone, seguido del smart TV y
sistemática de la literatura. La búsqueda inicial se centró en el ordenador de sobremesa o portátil, y, con una incidencia
determinar cuáles son los dispositivos conectados más utiliza- similar, las tablets y videoconsolas. Por otro lado, los juguetes
dos por el segmento de población objetivo. A continuación, se inteligentes y los wearables ocupan posiciones menos sig-
procedió a recopilar un conjunto significativo de artı́culos de nificativas, aunque su uso ha crecido significativamente en
las bases de datos que se han considerado de principal interés, los últimos años. Con un uso aún marginal también se hace
como son IEEE Xplore Digital Library, ScienceDirect, ACM referencia a los asistentes personales inteligentes, los altavoces
Digital Library, Web of Science y Google Scholar. En todas inteligentes, los dispositivos para gestionar aparatos eléctricos
ellas se ha realizado una búsqueda inicial con palabras clave o de climatización, las pizarras inteligentes, etc. A partir de
como “Internet of Things”, “children”, “security”, “privacy”, esta información se han definido las siguientes categorı́as
etc. Y se ha refinado dicha búsqueda con palabras clave de dispositivos conectados a considerar para el análisis de
especı́ficas, como por ejemplo “smartwatch”, en caso de vulnerabilidades (teniendo en cuenta que los ordenadores se
querer obtener informes relacionados con wearables. han dejado fuera del estudio al no considerarse parte de
Esta primera búsqueda se complementó con otra más am- ninguna de las categorı́as):
plia incluyendo conferencias, noticias e informes tecnológicos
1. Smartphones y tablets.
industriales y, para garantizar que las referencias consideradas
2. Smart TVs y videoconsolas.
fueran oportunas, de esta búsqueda con cientos de informes
3. Juguetes inteligentes.
encontrados solo se tuvieron en cuenta aquellos fechados a
4. Wearables.
partir del 2017. Como resultado de este filtrado y consideran-
5. Dispositivos IoT domésticos inteligentes.
do solo aquellos que abordan aspectos concretos de seguridad
6. Asistentes personales inteligentes.
y/o privacidad de uso de los dispositivos IoT por parte de los
7. Altavoces inteligentes.
jóvenes, se obtuvieron 61 artı́culos especialmente relacionados
8. Otros, como drones o cámaras.
con el estudio. Además, de este conjunto resultante se des-
cartaron 16 por no aportar información adicional respecto al III-B. Identificación de problemas de seguridad y privacidad
resto, resultando los 45 artı́culos en los que se basa finalmente
el estudio. El análisis de los problemas de seguridad y privacidad de
En el siguiente apartado se proporciona un resumen de los los dispositivos conectados expuesto ha tenido en cuenta, tras
resultados más relevantes obtenidos en el estudio. el filtrado de informes realizado y mencionado en la meto-
Las referencias obtenidas en la primera fase se agruparon dologı́a, más de cuarenta trabajos de investigación enfocados
en base a las categorı́as principales de dispositivos utilizados a la categorización mencionada. La Fig. 1 muestra la distri-
por los menores. Dentro de cada grupo de dispositivos, se bución de las referencias estudiadas por tipo de dispositivo
analizaron y compararon con detalle las correspondientes categorizado.
referencias, tratando de identificar los problemas de seguridad
y privacidad comunes. Durante esta tarea, se llevó a cabo la
definición de un glosario de cuestiones de seguridad y priva-
cidad. Por último, se evaluó cuantitativamente la relevancia
de los distintos términos del glosario en cada categorı́a de
dispositivo, en función del número de referencias en las que
aparecı́an.
III. R ESULTADOS
III-A. Categorización de dispositivos conectados
Como se ha indicado, el análisis se centra en los dis-
positivos conectados más utilizados por los jóvenes. Para
determinar cuáles son estos, se optó por la realización de una
encuesta orientada a los menores que, desafortunadamente, no
ha podido ser completada aún. En ella se incluyen preguntas
relativas a las aplicaciones y dispositivos conectados que más
integrados se encuentran en su vida cotidiana. Para obtener Figura 1. Referencias analizadas por categorı́a de dispositivo.
222Sesión de Investigación B3: Tecnologías emergentes y entrenamiento en ciberseguridad
En función de este análisis sistemático de vulnerabilida-
des y deficiencias de los dispositivos pertenecientes a las
categorı́as expuestas, se ofrece como resultado principal una
clasificación de los problemas de seguridad y privacidad
analizados en diez grupos diferentes, siete referidos a la
seguridad y tres a cuestiones de privacidad. Cada uno de estos
problemas agrupa vulnerabilidades o ataques de seguridad o
riesgos de privacidad similares o relacionados. Con respecto
a los problemas de seguridad, los siete grupos establecidos
son:
1. Suplantación de la identidad del usuario o del disposi-
tivo conectado.
2. Ausencia o debilidad de cifrado, consiste en la expo- Figura 2. Problemas de seguridad.
sición de datos durante la transferencia de información
entre pares debido a que estos se intercambian en texto
plano o están protegidos con medios de cifrado poco o la aplicación subyacente.
fiables u obsoletos. III-C. Análisis de incidencias por tipo de dispositivo
3. Ausencia o debilidad de autenticación debido a meca-
Las Fig. 2 y 3 muestran la incidencia de cada problema
nismos de autenticación obsoletos o nulos que permiten
de seguridad y privacidad, respectivamente, en cada tipo de
el acceso al dispositivo con un rol especı́fico.
dispositivo conectado. Esta incidencia se ha determinado a
4. Interacción de voz no controlada que permite la eje-
partir del número de informes que hacen referencia al tipo
cución de comandos de voz por parte usuarios no
de dispositivo en cuestión y a los problemas tratados. Como
autorizados, ası́ como ataques de canal lateral. Este
puede verse en la Fig. 2, la categorı́a más afectada por los
problema de seguridad está relacionado con los ataques
problemas de seguridad, según la literatura analizada, son
de enmascaramiento e invasión de voz (VMA y VSA
los dispositivos IoT domésticos inteligentes, comprometida
respectivamente por sus siglas en inglés), ası́ como los
por seis de siete problemas. Le siguen los wearables y los
comandos de voz ocultos.
altavoces inteligentes, con cinco de siete problemas. El resto
5. Inyección de código que da lugar a la ejecución de
de categorı́as se han visto afectadas por al menos tres del
comandos maliciosos preparados para modificar el fun-
total de problemas de seguridad definidos. En el caso de
cionamiento común del sistema o facilitar el acceso
los smartphones y tablets, debido a que el estudio se ha
no autorizado a partes o datos protegidos, como, por
centrado en aplicaciones, esta incidencia se ha relacionado
ejemplo, inyección de comandos SQL.
principalmente con los problemas de privacidad por violación
6. Intersección de datos mediante la escucha activa o pa-
de determinadas leyes, dejando de lado los de seguridad que
siva (sniffing) de las comunicaciones entre dispositivos
no resultan reseñables frente a los encontrados en el resto de
interconectados que pasa desapercibida para los usua-
categorı́as de dispositivos.
rios comunes, como, por ejemplo, Man-in-the-Middle.
Por su parte, la Fig. 3 nos muestra que todas las categorı́as,
7. Toma de posesión, consiste en el control total del
a través de los problemas de privacidad detectados, permiten
dispositivo para acceder a los datos o realizar ataques
comprometer los datos de los usuarios. Además, los artı́culos
que requieren la cooperación entre los dispositivos co-
analizados indican que los usuarios de todas las categorı́as,
nectados, como, por ejemplo, el ataque de Denegación
excepto los juguetes inteligentes y asistentes virtuales inte-
de Servicio Distribuido (DDoS).
ligentes, muestran dudas o temores sobre la gestión que los
Con respecto a los problemas de privacidad identificados dispositivos hacen de los datos personales. Por último, sólo los
en los informes, destacan los siguientes: artı́culos orientados al análisis de aplicaciones o dispositivos
1. Compromiso de los datos del usuario debido a pérdida especialmente diseñados para menores (juguetes inteligentes,
y/o acceso indebido o no autorizado de dichos datos smartphones y tablets) han detectado violaciones de las leyes
por un funcionamiento inesperado del dispositivo, el de privacidad, concretamente de la COPPA.
servidor subyacente o las aplicaciones de terceros.
2. Violación de las leyes de privacidad mediante el uso IV. D ISCUSI ÓN Y C ONCLUSIONES
indebido de datos sensibles y/o personales que implique La investigación presentada en este documento ofrece un
una violación total o parcial de leyes especı́ficas de análisis de la seguridad y privacidad del paradigma tecnológi-
privacidad como el Reglamento General de Protección co de la IoT orientado a jóvenes de entre doce y diecisiete
de Datos (GDPR, en inglés), la Ley de Protección de años. El objetivo principal del estudio es advertir sobre las
la Privacidad en Lı́nea para Niños (COPPA, en inglés), vulnerabilidades asociadas a los dispositivos conectados más
etc. utilizados por el colectivo objetivo en su vida diaria.
3. Falta de control y comprensión sobre sobre la gestión En los últimos años, el desarrollo de las Tecnologı́as de
de los datos del usuario por parte de los dispositivos y la Información y la Comunicación y la IoT ha adquirido tal
aplicaciones o servicios subyacentes. Esta cuestión tiene nivel de madurez que se ha favorecido la creación de nuevos
en cuenta la percepción del usuario sobre lo que ocurre servicios telemáticos más eficientes y eficaces. Esto se debe,
con los datos personales gestionados por el dispositivo principalmente, a una alta penetración de este ecosistema
223Sesión de Investigación B3: Tecnologías emergentes y entrenamiento en ciberseguridad
aquellos trabajos centrados en el análisis de juguetes inteli-
gentes y aplicaciones para smartphone y tablets especifican
una violación concreta de regulaciones o leyes de privacidad.
En este sentido, destaca la falta de análisis del GDPR, ya que
la totalidad de referencias analizadas en relación a ello han
utilizado COPPA como base de estudio.
V. T RABAJOS FUTUROS
Tomando como punto de partida los resultados de esta
investigación, se plantea como trabajo futuro dos lı́neas de
investigación claras. En primer lugar, se pretende definir una
Figura 3. Problemas de privacidad.
metodologı́a de evaluación del nivel de seguridad y privacidad
de los dispositivos de la IoT orientados a menores. En segundo
lugar, se plantea un análisis de los posibles factores humanos
que afectan la vulnerabilidad y los riesgos detectados. En
de dispositivos interconectados en nuestra vida cotidiana, lo base a los principales hallazgos realizados en esta fase de
que facilita una mayor personalización de dichos servicios. investigación, se desarrollarán ciberaventuras como parte de
Sin embargo, aunque los beneficios de la IoT son claros, un juego serio para ayudar a que los menores adquieran
el conjunto de dispositivos que lo componen se enfrenta a buenas prácticas en el uso de este tipo de dispositivos.
multitud de vulnerabilidades asociadas a su uso. Por ello, se
ha realizado una revisión sistemática de la literatura sobre los AGRADECIMIENTOS
tipos de dispositivos conectados más utilizados por el grupo Este trabajo ha sido financiado por el programa Horizon
objetivo (menores de doce a diecisiete años). Dicho análisis 2020 de la Unión Europea a través del proyecto RAYUELA
parte de una categorización de los dispositivos compuesta por (nº de contrato 882828). El contenido del artı́culo refleja solo
ocho grupos de interés: smartphones y tablets, smart TVs y el punto de vista de sus autores. La Comisión Europea no es
videoconsolas, juguetes inteligentes, wearables, dispositivos responsable del uso que se pueda hacer de la información que
IoT domésticos inteligentes, asistentes personales inteligentes, contiene.
altavoces inteligentes, y otros, como cámaras web o drones.
En este sentido, es importante aclarar que, aunque los dis- R EFERENCIAS
positivos más utilizados por los jóvenes son los smartphones [1] K. Ashton: “That Internet of Things”, en RFID Journal, 22, 2000.
y las tablets, el análisis realizado se ha centrado en aquellos [2] M. Vega-Barbas, I. Pau y F. Seoane: “From general services to pervasive
and sensitive services”, en Encyclopedia of Information Science and
informes que ofrecen información de seguridad y privacidad Technology, Fourth Edition, IGI Global, pp. 7754-7764, 2018.
sobre las aplicaciones de uso extendido en lugar de la propia [3] M.M. Alam et al.: “A Survey on the Roles of Communication Tech-
tecnologı́a. nologies in IoT-Based Personalized Healthcare Applications”, en IEEE
Access, 6, pp. 36611-36631, 2018.
Como resultado principal de esta investigación se ha gene- [4] Y. Lu: “Industry 4.0: A Survey on Technologies, Applications and Open
rado un glosario de incidencias y problemas de seguridad y Research Issues”, en Journal of industrial information integration, 6,
pp. 1-10, 2017.
privacidad. Este glosario está compuesto por siete vulnerabili- [5] D. Holloway y L. Green: “The Internet of Toys”, en Communication
dades principales de seguridad y tres de privacidad, que son: Research and Practice, 2, pp. 506-519, 2016.
suplantación de identidad, ausencia o debilidad de cifrado, [6] F. Yang, S. Wang, J. Li, Z. Liu y Q. Sun: “An Overview of Internet of
Vehicles”, en China communications, 11, pp. 1-15, 2014.
ausencia o debilidad de autenticación, interacción de voz no [7] H.F. Atlam, A. Alenezi, M.O. Alassafi, A.A. Alshdadi y G.B. Wills:
controlada, inyección de código, intersección de datos y toma “Security, cybercrime and digital forensics for IoT. In Principles of
de posesión, en lo que respecta a la seguridad; y compromiso Internet of Things (IoT) Ecosystem: Insight Paradigm”, en Springer,
pp. 551-577, 2020.
de los datos del usuario, violación de las leyes de privacidad [8] S. Hilt, V. Kropotov, F. Mercês, M. Rosario y D. Sancho: “The Internet
y falta de control y comprensión, en lo que respecta a la of Things in the Cybercrime Underground”, en Trend Micro Research,
privacidad. El conjunto de vulnerabilidades identificadas en 2019.
[9] “RAYUELA: A fun way to fight cybercrime”, 2020. [En lı́nea]. Dis-
el glosario cubre todas las áreas de seguridad y privacidad ponible en: https://www.rayuela-h2020.eu/. [Accedido: 23 de marzo,
que suponen amenazas de ataques a los distintos dispositivos 2021].
contemplados en el estudio. [10] B. Keeley y C. Little: “The State of the Worlds Children 2017: Children
in a Digital World”, en ERIC, 2017.
Mediante el estudio de la incidencia de cada problema sobre [11] Eurostat. Being Young in Europe Today–digital World. European Com-
cada categorı́a de dispositivo (ver Fig. 2 y 3), se concluye que mission, 2020.
la mayorı́a de los problemas de seguridad están generados [12] S. Bennett, K. Maton y L. Kervin: “The ‘digital Natives’ Debate: A
Critical Review of the Evidence”, en British journal of educational
por una débil o inadecuada autenticación y/o encriptación de technology, 39, pp. 775-786, 2008.
los datos gestionados. Esto favorece otros problemas como [13] S. Livingstone, G. Mascheroni y E. Staksrud: “European Research on
la interceptación de datos, la suplantación de identidad o la Children’s Internet use: Assessing the Past and Anticipating the Future”,
en New Media & Society, 20, pp. 1103-1122, 2018.
toma de control por terceros de los dispositivos. Además, este [14] D. Smahel et al.: EU Kids Online 2020: Survey Results from 19
problema de seguridad tiene incidencia sobre la privacidad Countries. 2020.
ofrecida por los dispositivos. La mayorı́a de las referencias [15] T. Cabello-Hutt, P. Cabello y M. Claro: “Online Opportunities and Risks
for Children and Adolescents: The Role of Digital Skills, Age, Gender
analizadas que analizan problemas de privacidad remarcan and Parental Mediation in Brazil”, en new media & society, 20, pp.
que los datos gestionados por los dispositivos y aplicaciones 2411-2431, 2018.
subyacentes pueden estar comprometidos. Sin embargo, sólo
224También puede leer
