Privacidad de la información en Smart Cities

Página 1 de 66

PRIVACIDAD DE LA INFORMACIÓN EN SMART CITIES

JAIME HERNANDO HERNÁNDEZ PARDO

ASESOR:

YESID ENRIQUE DONOSO MEISEL, Ph D.

UNIVERSIDAD DE LOS ANDES

FACULTAD DE INGENIERÍA

DEPARTAMENTO DE INGENIERÍA DE SISTEMAS Y COMPUTACIÓN

Página 2 de 66

Contenido

1 INTRODUCCIÓN ... 5

2 DESCRIPCIÓN GENERAL DEL TRABAJO ... 6

2.1 OBJETIVOS ... 6

2.1.1 Objetivo General ... 6

2.1.2 Objetivos Específicos ... 6

2.2 CONTEXTO ... 7

3 ESPECIFICACIÓN DE ESCENARIOS DE APLICACIÓN ... 8

3.1 MOVILIDAD URBANA ... 8

3.1.1 Servicios de movilidad urbana ... 9

3.1.2 Implementaciones actuales ... 10

3.2 SMART ENERGY GRID ... 10

3.2.1 Servicios de smart energy grid... 11

3.2.2 Implementaciones actuales ... 12

3.3 E-HEALTH ... 12

3.3.1 Servicios de e-health ... 13

3.3.2 Implementaciones actuales ... 13

3.4 E-GOVERNMENT ... 14

3.4.1 Servicios de e-government ... 15

3.4.2 Implementaciones actuales ... 15

4 TIPOS DE INFORMACIÓN POR ESCENARIO ... 16

4.1 MOVILIDAD URBANA ... 16

4.2 SMART ENERGY GRID ... 20

4.3 EHEALTH ... 22

4.4 E-GOVERNMENT ... 26

5 LINEAMIENTOS DE PRIVACIDAD DE LA INFORMACIÓN... 29

5.1 MOVILIDAD URBANA ... 29

5.1.1 Privacidad de la Identidad ... 30

5.1.2 Privacidad de los requerimientos (solicitudes)... 33

5.1.3 Privacidad de la Ubicación ... 36

5.2 SMART GRID ENERGY ... 38

Página 3 de 66

5.2.2 Operación Normal ... 46

5.2.3 Operación anormal ... 46

5.3 E-HEALTH ... 47

5.3.1 PIPE ... 49

5.4 E-GOVERNMENT ... 58

5.4.1 El Modelo de Mejora de Privacidad ... 59

6 CONCLUSIONES ... 63

6.1 DISCUSIÓN ... 63

6.2 TRABAJO FUTURO ... 64

Página 4 de 66

ÍNDICE DE FIGURAS

Figura No 1. Modelo de Sistemas Inteligentes de Transportes……….9

Figura No 2. Modelo de Smart Grid Energy………11

Figura No 3. Archivo XML usado para el transporte de información acerca de la ubicación de Vehículos……….17

Figura No 4. Archivo de solicitud de actualización de mapas por parte del GPS…………18

Figura No 5. Ejemplo Flujo de datos en Sistemas de Transporte Inteligentes……….19

Figura No 6.Ejemplo de Reportes de Consumo de Energía………21

Figura No 7. Ejemplo Interfaz de Perfil de Usuario………...22

Figura No 8. Ejemplo Interfaz de Registros Electrónicos………...23

Figura No 9. Visualización de una prescripción electrónica………...25

Figura No 10. Ejemplo de información brindada por el Gobierno Electrónico………..27

Figura No 11. Modelo Privacidad Movilidad Urbana en Smart Cities……….30

Figura No 12. Ejemplo Servicio de Seudónimos………31

Figura No 13. Estructura Básica de un sistema RFID………..32

Figura No 14. Ejemplo de una posible violación de privacidad en sistemas RFID……...32

Figura No 15. Ejemplo de Política de privacidad en PeRA………...34

Figura No 16. Modelo de entidades y componentes de PeRA………35

Figura No 17. Ejemplo Arquitectura Anonimizadores………...36

Figura No 18. Modelo de Encubrimiento Espacial……….37

Figura No 19. Ejemplo de Preferencias de privacidad de Ubicación………...38

Figura No 20. Proceso CDP………..44

Figura No 21. Proceso ADP………..45

Figura No 22. Arquitectura PIPE………..50

Figura No 23. Modelo de Seguridad PIPE………..51

Figura No 24. Modelo ABC………60

Página 5 de 66

1 INTRODUCCIÓN

La comunicación machine-to-machine surge con la necesidad de llevar a otro nivel la forma

en que nos comunicamos, especialmente con los nuevos dispositivos que día a día van

surgiendo con tecnologías cada vez más avanzadas en redes que se expanden y ofrecen

la posibilidad de consumir nuevos servicios que tienen como objetivo, facilitar las

actividades diarias que los seres humanos realizan.

Éste es el objetivo principal detrás de las denominadas “Ciudades Inteligentes” o “Smart Cities” que pretenden mejorar la calidad de vida de las personas que las habitan, siempre

basadas en soluciones tecnológicas que usan la comunicación M2M para hacer posible que

los servicios que dichas ciudades ofrecen, se lleven a cabo de manera correcta, siempre

teniendo información actualizada y confiable acerca de distintas situaciones que se puedan

presentar allí.

Dicha información es el eje central de las Smart Cities ya que es esto, lo que finalmente se

va a transportar en las comunicaciones entre los dispositivos y es el insumo principal que

usa un dispositivo en particular para tomar decisiones acerca de una situación que se

presente que esté relacionada con el o los servicios que éste alimenta dentro de la ciudad.

La intención de este trabajo será insertarse en el mundo de la información dentro de las

Smart Cities, enfocándose principalmente en su privacidad, primero contextualizando cada

uno de los escenarios que hacen uso de dicha información, para posteriormente ya dentro

este contexto, hacer un análisis profundo especialmente en cómo se maneja la información

y los lineamientos de privacidad que se usan actualmente y los que en el futuro llegarán a

implementarse en los escenarios propuestos. Para lograr esto, durante todo el desarrollo

de trabajo, se consultarán constantemente reportes de investigación y de aplicación en

Smart Cities de fuentes confiables y verificadas que permitan tener información adecuada

Página 6 de 66

2 DESCRIPCIÓN GENERAL DEL TRABAJO

2.1 OBJETIVOS

2.1.1 Objetivo General

El objetivo de este proyecto es identificar y explorar los procesos de privacidad y manejo

de la información dentro del contexto de las Smart Cities, en casos de aplicación

particulares, partiendo de sus servicios, requerimientos y actores involucrados en el entorno

de la administración de la información.

2.1.2 Objetivos Específicos

 Definir la problemática que presentan las Smart Cities en cuanto a la privacidad de

la información que allí se maneja

 Identificar escenarios de aplicación, en donde se vean los servicios que se ofrecen

en las Smart Cities.

 Identificar el tipo de información que manejan cada uno los servicios de Smart

Cities.

 Definir lineamientos de privacidad de la información en cada uno de los escenarios

de aplicación identificados.

 Proponer alternativas de manejo de la información en servicios de Smart City para

Página 7 de 66

2.2 CONTEXTO

El querer controlar el medio físico que nos rodea, representa una dificultad grande y están

limitado por varios factores, por ejemplo, una persona que no se encuentre en su casa no

puede controlar qué electrodomésticos consumen energía a menos de que pueda

prenderlos o apagarlos directamente, o un técnico en un edificio no podrá saber que el aire

acondicionado se ha dañado a menos de que alguien más se lo informe.

Por esta razón, han surgido propuestas como Ciudades Inteligentes (Smart Cities), cuyo

objetivo es dotar a máquinas usadas en la industria y en la vida cotidiana, con dispositivos

y sensores que controlan cualquier tipo de parámetro para poder actuar con mayor rapidez

bajo una condición específica. De la misma forma, nace el concepto de El Internet de Las

Cosas (Internet of Things - IoT), una tecnología que permite conectar sensores y actuadores

a internet, de tal forma que el mundo físico pueda accederse a través de software.

Estas nuevas propuestas en tecnología introducen el desarrollo de aplicaciones y

dispositivos que soportan nuevos procesos de negocio, las cuales hacen uso de

información actualizada que es la base para que los servicios que dichas aplicaciones o

dispositivos soportan, funcionen de manera correcta. Esto nos introduce la importancia de

la información dentro de éste contexto de las Smart Cities, lo cual nos lleva a pensar acerca

de la privacidad de la misma ya que un elemento esencial como éste, no puede estar en

manos de quien no corresponda lo cual puede llevar a la falla o inconsistencia de los

servicios que las Smart Cities ofrecen y puede generar riesgos en el bienestar de las

personas que habitan dichas ciudades.

Es por esta importancia, que este trabajo, va a estar enfocado en el estudio de los procesos

de privacidad de la información dentro del contexto de las Smart Cities y pretende llevar

una investigación a fondo que permita conocer cómo se debe manejar la información en

cuanto a la privacidad de ésta, en ciertos escenarios de aplicación que más adelante en el

trabajo se irán exponiendo y en los cuales se pretende en cada uno de ellos, proponer

alternativas del manejo de información que cumplan con un objetivo muy importante en este

contexto, el cual es garantizar la privacidad de la información que los servicios de una Smart

Página 8 de 66

3 ESPECIFICACIÓN DE ESCENARIOS DE APLICACIÓN

En esta sección, se presentan los escenarios de aplicación identificados en una Smart City,

como introducción para el análisis que se va a hacer sobre el manejo y privacidad de la

información. Para esto, en primer lugar se pretende dejar clara la idea y funcionalidad

general de cada uno de los escenarios ya para más adelante tener un contexto

correctamente determinado que permita asociar cada tipo de información en cada uno de

los escenarios justificados.

3.1 MOVILIDAD URBANA

El escenario de movilidad urbana es uno de los más importantes en una Smart City ya que

busca soluciones a un problema común en la mayoría de las grandes ciudades, el cual es

la eficiencia de los medios de transporte que usan los ciudadanos. Este escenario,

principalmente hace referencia a conceptos e ideas de sostenibilidad, seguridad y eficiencia

de la infraestructura física y tecnológica que las ciudades poseen para dar lugar a servicios

de transporte inteligentes que beneficien la movilidad de los ciudadanos.

Tal vez el mayor problema que se pretende atacar con la implementación de este escenario

es la congestión del tráfico, el cual tiene implicaciones negativas ligadas directamente con

la calidad de vida de los ciudadanos por varios aspectos tales como la disminución en la

productividad de éstos, el empeoramiento en la calidad del aire (contaminación) entre otros,

es por esto que éste escenario es crítico para poder desarrollar y establecer parámetros de

calidad de vida y eficiencia dentro de las actividades diarias de una ciudad que pretenda

Página 9 de 66

Figura No 1. Modelo de Sistemas Inteligentes de Transportes

3.1.1 Servicios de movilidad urbana

Los principales servicios que se ofrecerían en este escenario son los siguientes:

 Proporcionar información en tiempo real del tráfico: A partir de dispositivos GPS y

conexiones a internet ( Wi Fi, 4g, etc) en los vehículos, recibir, enviar y desplegar

información actualizada sobre el comportamiento del tráfico en una zona

determinada que permita establecer rutas eficientes para llegar a los destinos

indicados en menor tiempo y de paso descongestionar las carreteras en horas pico

 Gestionar incidencias en carreteras, el timing de los semáforos, actualización de

mapas y rutas optimas: Básicamente manejar reportes sobre sucesos que estén

pasando en las carreteras, como por ejemplo obras que se estén realizando, como

también, control, manejo y soporte en tiempo real de dispositivos y elementos que

inciden directamente en el trafico (ej. Semáforos, mapas, etc) para cumplir con el

objetivo principal de optimizar el transporte urbano en favor de la calidad de vida de

los ciudadanos.

 Conducción Verde: Referente a la sostenibilidad del medio ambiente, es por esto

que este servicio pretende la búsqueda de rutas optimizadas para disminuir el

Página 10 de 66 lo cual es crítico para problemas ambientales que también las Smart Cities

pretenden mejorar

3.1.2 Implementaciones actuales

 Proyecto MARTA (Movilidad y Automoción con redes de transporte Avanzadas)

Este proyecto ha desarrollado investigaciones en comunicaciones vehículo a

vehículo y vehículo a infraestructura por medio de conexión a redes celulares 4G

que permitan el envío en tiempo real de información actualizada sobre el transporte.

Dentro de éste proyecto, se han desarrollado sistemas inteligentes de detección de

somnolencia del conductor, sistemas de detección de peatones y sistemas de

detección de peligros en intersecciones.

3.2 SMART ENERGY GRID

La generación y gestión eficiente de la energía es un tema prioritario en las ciudades

modernas debido al aumento en el precio de la energía y a problemas ambientales

asociados a los recursos naturales necesarios para producir energía. Tradicionalmente la

energía tiene un flujo unidireccional sin retroalimentación, es por esto que la Smart Energy

Grid rompe con esta estructura y propone un esquema de comunicación bidireccional que

se ajuste directamente a la producción y consumo en tiempo real de la energía, mejorando

la distribución y reduciendo gastos.

Por medio de dispositivos que jueguen el papel de los contadores actuales de energía,

identificar cuando el usuario requiere de un consumo considerable de energía, para así en

dicho momento producir la energía necesaria para satisfacer dicho consumo. Esto se

ajustaría a un modelo de consumo por demanda en el que solo se consume y se produce

Página 11 de 66

Figura No 2. Modelo de Smart Grid Energy

3.2.1 Servicios de smart energy grid

 Producción de energía por demanda: Producir energía cuando el usuario lo requiera.

Por medio de dispositivos que se comunican con la central eléctrica, que tienen

sensores que trabajan en tiempo real, enviando información solicitando un consumo

de energía determinado en cierto momento que el usuario lo requiera.

 Facturación inteligente: En lugar de leer contadores cada mes que pueden tener

cierto rango de error en el verdadero consumo, hacer lecturas cada quince minutos

por medio de la información enviada por los dispositivos que miden la energía y de

esta forma adecuar la tarifa al consumo que realmente se realiza, así evitando

sobrecostos para el usuario.

 Contacto con el usuario en tiempo real: El ciudadano se convierte en parte activa en

el proceso de consumo y producción de energía, al tener información actualizada

sobre el uso de energía que le permita buscar alternativas al consumo que el usuario

hace de ésta. En general sería una ayuda para generar planes de consumo flexibles

Página 12 de 66

3.2.2 Implementaciones actuales

Málaga Smart City: Proyecto iniciado en 2009 que comprende varias iniciativas como:

 Smart Grids: Gestión inteligente de la distribución de energía.

 Smart Generation and Storage: Autogeneración de energía renovable.  Smart Energy Management: Gestión eficiente del uso final de la energía.

El proyecto gestiona sistemas de almacenamiento de energía en baterías para el uso

posterior de ésta, adecuándose a las necesidades del usuario en el momento en que desee

hacer uso de ésta, como por ejemplo en casos como el alumbrado público, calefacción en

edificios y transporte eléctrico. Con respecto a esto último, el proyecto pretende potenciar

el uso de coches eléctricos con la instalación de postes de recarga.

3.3 E-HEALTH

Tal vez el servicio más importante asociado a una Smart City es el caso de e-Health, por

las implicaciones que tiene en la calidad de vida de las personas. Este servicio

principalmente hace referencia a la práctica de la medicina y servicios relacionados

soportados en procesos electrónicos y de comunicación generalmente asociados a m2m.

El espectro de éste servicio es muy grande, incluyendo desde los profesionales de la salud

y sus usuarios, hasta aplicaciones complejas que automaticen todos los procesos de

atención medica de los pacientes que padezcan un tipo de diagnóstico determinado.

Dichos procesos de automatización están soportados principalmente por dispositivos

sensores y receptores que tienen como única responsabilidad, monitorear y enviar el estado

de los pacientes en tiempo real y aplicaciones que procesan dicha información relacionada

a estos para tomar decisiones críticas con respecto a qué se debe hacer en situaciones

límite que puedan afectar la vida de los ciudadanos dentro de una Smart City.

Desde servicios en e-Health como la gestión de accesos, la tele consulta y la tele asistencia,

poder garantizar que los servicios prestados tanto para los profesionales de la salud como

para el usuario normal, sean efectivos para solucionar problemas actuales como la

Página 13 de 66

3.3.1 Servicios de e-health

 Definición y Personalización de Perfiles de salud: Este servicio permite recolectar

automáticamente información relacionada con la salud del usuario, con el motivo de

mantener un perfil (Historia Clínica) del usuario actualizado. Con esto, es posible

que el médico tratante tenga acceso a este perfil con información actualizada y tenga

permisos para modificarlo cuando sea necesario.

 Monitoreo Remoto: El sistema graba un detalle diario de actividades realizadas por

el usuario y genera reportes sobre la información recolectada y los envía a un

sistema que tienen los profesionales de la salud en donde se hace seguimiento

personalizado a cada paciente. También se avisa al paciente para que en ciertos

casos, tome medidas asociadas a sus actividades diarios, para poder mejorar su

estado de salud con respecto a un diagnostico determinado.

 Aplicaciones de alerta y asistencia: El servicio alerta al usuario, a un pariente o a los

servicios de emergencia, en caso de alguna situación crítica que se pueda presentar

o que efectivamente se presente con la salud de la persona y ayuda al usuario o a

los que lo asisten a superar la situación en caso de que sea posible.

3.3.2 Implementaciones actuales

OASIS PROJECT: el proyecto introduce una plataforma abierta que permite la

interoperabilidad y compartir contenido entre diferentes servicios y entidades relacionadas

a aplicaciones desarrolladas para satisfacer distintas necesidades primarias de las

personas.

En el caso de e-health, soporta e implementa en especial el servicio de monitoreo remoto

de pacientes por medio aplicaciones en dispositivos móviles de las personas en varios

países de la unión europea y su finalidad en un futuro, es conseguir que en toda la unión

europea se pueda tener, en principio, acceso a los mismos servicios de monitoreo, sin

importar el país de origen de las personas, es decir que en cualquier país de Europa, será

Página 14 de 66 uno de los objetivos principales de la iniciativa, el cual es mejorar la calidad de vida de los

europeos. Este proyecto se perfila a ser uno de los más grandes en un futuro ya que el

alcance que tiene sobrepasa las barreras de e-health, apoyando servicios importantes para

el buen desarrollo de las Smart Cities, tema el cual ha tomado gran importancia en países

europeos como España y Alemania.

3.4 E-GOVERNMENT

E-Government puede ser descrito como un compromiso permanente de los gobiernos de

los países para mejorar las relaciones entre los ciudadanos y el sector público a través de

una eficiente entrega de servicios, información y conocimiento. Esto incluye el uso de toda

la información y las tecnologías de comunicación, para facilitar la administración diaria del

gobierno, apoyado en actividades orientadas a internet que mejoren el acceso público a la

información del gobierno, a los servicios y a las posibilidades de participar, por parte de los

ciudadanos en decisiones importantes para la vida de éstos.

Básicamente, es la producción de servicios de gobierno públicos a través de aplicaciones

de TI que van a mejorar las transacciones entre gobierno y los ciudadanos, siempre

teniendo en cuanta aspectos económicos, sociales y principalmente tecnológicos que den

lugar a mejorar procesos del diario vivir que los ciudadanos deben realizar para poder hacer

parte de una sociedad organizada.

Uno de los elementos más importante en cuanto a E-Government es la participación activa

de los ciudadanos, ya que esto representa una buena medida para saber si las iniciativas

que se introducen han sido efectivas. Cuando la sociedad civil está activa y hay una

infraestructura tecnológica bien establecida, las estrategias de E-Government siempre van

a estar enfocadas en encontrar y solucionar las necesidades de los ciudadanos con

métodos más sencillos y agiles tanto para ellos como para los gobiernos de los países

Página 15 de 66

3.4.1 Servicios de e-government

 Consulta ágil de información: Brindarle a los ciudadanos acceso público y seguro a

información que ellos necesitan para realizar trámites y procedimientos necesarios

en su vida diaria. Esto involucra tener las bases de datos de las entidades

gubernamentales, totalmente actualizadas y sincronizadas para siempre brindar

información de calidad que tenga como finalidad soportar las actividades de los

ciudadanos de manera correcta.

 Mecanismos de participación basados en TI: Brindar mecanismos de

comunicaciones acordes a los avances tecnológicos de hoy en día para agilizar

varios procesos de participación ciudadana que son base de una sociedad sana. (ej.

Identificación digital para participar en actividades públicas) Para esto, se debe tener

una infraestructura tecnológica y servicios de TI que sean capaces de soportar

accesos múltiples desde diferentes ubicaciones en momentos en que se den

actividades de participación por parte de los ciudadanos.

 Unificación de Trámites: Se basa en la unificación de trámites relacionados con

entidades del gobierno. Esto es, por medio de portales web y de aplicaciones

móviles, tener acceso a plataformas unificadas donde se puedan realizar trámites

necesarios y obligatorios para los ciudadanos, como por ejemplo reportes de

impuesto. La idea es eliminar todo obstáculo para que los ciudadanos tengan

acceso a realizar sus obligaciones de manera efectiva basados en soluciones de TI

en gran variedad de dispositivos tecnológicos.

3.4.2 Implementaciones actuales

En Estonia, se están manejando servicios de e-Government basado en un sistema de

información llamado RIHA que soporta y maneja los servicios ofrecidos por el sector público

como por ejemplo identificación de ciudadanos por medio de mecanismos de autorización

digitales para tener acceso a derechos y tramites que los ciudadanos necesitan. Todo esto,

se trabajan bajo un ambiente de intercambio de información seguro llamado X-ROAD que

Página 16 de 66 gobierno y los ciudadanos. X-ROAD, también coordina el acceso que tienen los individuales

a información que ha sido procesada en las bases de datos del gobierno para su futuro uso

en trámites variados que son necesarios ante las leyes y normas de éste país europeo.

4

TIPOS DE INFORMACIÓN POR ESCENARIO

En esta sección, entraremos a analizar el tipo de información utilizada en cada uno de los

escenarios de aplicación identificados anteriormente, mostrando claramente cómo se

maneja dicha información por parte de los dispositivos y sistemas que igualmente se van a

identificar y que hacen parte central de los servicios que se prestan en cada uno de los

escenarios.

4.1 MOVILIDAD URBANA

Gran cantidad de información es utilizada por sistemas de transportes urbanos para

encontrar soluciones a necesidades básicas de las personas como lo son la búsqueda de

rutas optimas, reportes en tiempo real sobre el comportamiento de las carreteras, etc, que

terminan siendo la base de sistemas inteligentes que hagan más fácil y descomplicada la

forma en que los ciudadanos de una Smart City se mueven de un lugar a otro.

Información de alta calidad es esencial para que dichos sistemas de transporte inteligentes

aumenten su cobertura y mejore el acceso para las personas que hacen uso directo de los

servicios relacionados a una movilidad urbana avanzada e inteligente que es base para el

funcionamiento correcto de un gran catálogo de servicios distintos que pretenden

implementar las Smart Cities. En general, todas las personas deberían recibir en cualquier

lugar de la ciudad en cualquier momento, información útil acerca de las necesidades de

transporte que éstos tienen.

Tal vez la base para que los nuevos sistemas de transporte funcionen correctamente es el

uso de información relacionada a la ubicación de los vehículos en lugares y momentos

determinados a través de sistemas GPS, es por esto que empezaremos nuestro análisis

desde acá, desde el servicio de proporcionar información en tiempo real del tráfico en las

Página 17 de 66 encriptada y particionada asociada a la ubicación actualizada de los vehículos en todo

momento.

Para esto, los dispositivos GPS manejan archivos planos en XML (Figura No 3) que incluyen

información necesaria, principalmente acerca de la posición de los vehículos pero también

pueden llevar datos asociados a otros servicios relacionados con el estado y mantenimiento

en tiempo real de los vehículos. Este tipo de archivos, favorecen el fácil transporte de dicha

información, ya que los archivos planos son ligeros y permiten un análisis ágil siempre y

cuando el XML schema que se usa sea conocido e interpretado fácilmente por los sistemas

encargados de la transformar e interpretar la información que los dispositivos de GPS

envían en todo momento.

Figura No 3. Archivo XML usado para el transporte de información acerca de la ubicación

de Vehículos.

También se tiene información relacionada al envío de alertas por parte de los dispositivos

de GPS que notifiquen acerca de situaciones extraordinarias al funcionamiento normal de

los sistemas de transporte (como por ejemplo accidentes de tránsito, trancones, etc). Dicha

información es igualmente manejada en base a un esquema XML en un archivo plano como

Página 18 de 66 en éste archivo XML, parámetros que informen acerca de una situación determinada que

se esté presentando. Dichos parámetros igualmente están determinados en el XML

Schema usado para que los sistemas que analizan la información sepan cuando se está

presentando una alerta y qué alerta es la que se está notificando.

Ahora para tener información actualizada en tiempo real acerca del tráfico en la ciudad es

necesario tener una gestión correcta de los eleméntenos que inciden en él, esto nos lleva

a analizar la información usada por el segundo servicio identificado el cual habla de gestión

de incidencias y actualización de mapas. Para lo primero, que es todo lo relacionado a la

gestión de los elementos de las carreteras como los semáforos, se tiene lo siguiente:

 Cámaras en las calles que al identificar en una intersección, más congestión en un

lado, envían señales de radio a sensores ubicados en el semáforo de dicho lado,

para que éste dure más tiempo en verde y permita descongestionar dicho lado de

la intersección. Dichas señales son muy básicas y solo envían un impulso en una

frecuencia determinada para que el semáforo cambie su comportamiento. Esto

quiere decir que dicho comportamiento depende de la frecuencia por la cual se envía

la señal.

Para lo segundo, relacionado a la actualización de mapas, los dispositivos de GPS se

conectan a unos servidores que contienen actualizaciones permanentes de los mapas, por

medio de conexiones a través de redes celulares o Wi-Fi y ya al tener una conexión

establecida, solicitan actualización de los mapas, por medio del envío de archivos

separados por comas (Figura No 4), que tienen información acerca de las versiones y los

Id de los mapas que el dispositivo tiene para ya posteriormente recibir por parte de los

servidores, un archivo particionado en un formato especial (ej. .IMG o .MPS) solo

reconocible por el dispositivo para así ya tener actualizados sus mapas en un momento

determinado.

Página 19 de 66 Ya con respecto al tercer servicio, el cual comprende todo lo de conducción verde a favor

del medio ambiente, en principio este servicio se basa tanto en los reportes que hagan

sensores que identifiquen niveles de polución, como en los vehículos que se estén

transportando en una zona determinada. Para el caso de los sensores, como son

dispositivos con un nivel de procesamiento bajo, éstos al identificar niveles por encima de

los estipulados, se limitan a enviar señales por radio en frecuencias determinadas a

dispositivos con conexión a datos (Red Celular o Wi-Fi) que transforman dichas la

información transmitida por dichas señales, en archivos que se basan en XML como los

vistos anteriormente que son enviados a centrales de control que están monitoreando todo

el tiempo el estado del tráfico en la ciudad, para que estas tome acciones correctivas como

identificar vehículos pesados en la zona, por medio de reportes en tiempo real de sus

dispositivos de GPS y así enviarles a estos vehículos notificaciones a sus sistemas de GPS

para que tomen rutas alternativas que tengan menos niveles de contaminación.

Para el caso de los vehículos, cuando se presenten situaciones como trancones, las cuales

implican una mayor contaminación en una zona determinada, éstos al tener conexión de

datos propia, sus dispositivos de GPS envían reportes XML, notificando acerca de un

trancón en el lugar donde se encuentran actualmente, a vehículos en un radio de distancia

cercano al que se encuentran y a las centrales de control que igualmente notificarán a

vehículos que se encuentren en zonas más distantes a la relacionada en los reportes que

se hayan hecho, para que éstos tomen otras rutas menos congestionadas.

Página 20 de 66

4.2 SMART ENERGY GRID

Gran variedad de información se puede recolectar para soportar los servicios de Smart

Energy Grid que están relacionados con la generación, transmisión y distribución de la

energía en una forma más eficiente que beneficie tanto a los usuarios como a los

productores de éste recurso.

Toda la información recolectada por los sistemas y dispositivos del Smart Grid, está

acompañada por metadata que consiste en información adicional que está relacionada con

elementos como la interpretación, uso y propiedad de la información que los dispositivos y

sistemas producen y manejan. Dentro de esta información recolectada que se hace uso en

cada uno de los servicios de Smart Energy Grid, se puede hacer una división muy clara.

Primero se tiene información de control sobre los servicios y por otro lado se tiene

información acerca del usuario.

Como primer elemento está la información de control que se trata nada más que de

parámetros del estatus de la operación del servicio que ayuden a administrar la calidad del

servicio que se está brindando y así tener la posibilidad de una retroalimentación automática

que elimine procedimientos innecesarios para llevar la energía de la mejor manera a cada

uno de los usuarios finales. Dichos parámetros, usan un modelo de datos muy sencillo

basado en archivos planos que van en mensajes entre dispositivos y entre dispositivo y

sistemas, que indican la actividad de cada uno de éstos en tiempo real, es por esto que en

la red en que se esté, siempre van se van a estar transportando mensajes de control con

este tipo de archivos que permitan verificar en cualquier momento el estado del servicio que

se está presentando en todo momento.

Dicha información de control, incluye datos relacionados a eventos y alertas que se den en

un momento determinado. Estos datos, son típicamente mensajes no planeados que se

envían aleatoriamente cuando una situación extraña o inusual sucede y son enviados

directamente a las personas o aplicaciones que necesitan tener conocimiento oportuno

sobre dichas situaciones.

Pero también, se tiene información adicional de control relacionada a la calidad del servicio,

este es el caso de eventos relacionados a cambios de voltaje que incluyen señales y

mensajes a dispositivos directamente relacionados con la entrega y uso del servicio de

Página 21 de 66 cambios en el aprovisionamiento del servicio y a partir de esto, se producen mensajes de

reporte de la situación, que son enviados a las centrales eléctricas inteligentes, con

parámetros que muestran el estado actual del servicio y con dicha información, la central

tomará los correctivos necesarios para que el servicio vuelva al estado que garantice el

nivel de calidad que se haya establecido.

Como segundo elemento, se tiene la información relacionada a la actividad del usuario que

dé lugar a saber sus necesidades acerca del uso de recursos energéticos. Esta información

requiere principalmente la actividad de los dispositivos medidores que son los directamente

implicados en saber lo que el usuario hace en todo momento. Dentro de esta información

se tiene:

 Datos de Consumo detallado: Son reportes estadísticos que muestran el consumo

que hace un usuario en un momento determinado. Lo importante en este tipo de

información es el detalle preciso que se le da al usuario y a los proveedores sobre

el consumo que se hace. Esto es que se tiene información relacionada al consumo

de cada dispositivo eléctrico de un lugar en especial y a los momentos determinados

en los cuales el uso de energía es crítico para un usuario determinado.

Figura No 6.Ejemplo de Reportes de Consumo de Energía

 Datos de facturación: Información relacionada al monto que el usuario debe pagar

Página 22 de 66 del mercado en un momento determinado para garantizarle al usuario que se le va

a cobrar en base a parámetros correctos indicados por el comportamiento del

servicio en el mercado.

 Perfiles de usuario: Información relacionada a lo que cada usuario necesita del

servicio. Trata de llevar una historia sobre lo que el cliente hace con respecto al uso

de energía en los lugares que frecuenta con los dispositivos electrónicos que usa

en cada uno de esos lugares.

Figura No 7. Ejemplo Interfaz de Perfil de Usuario.

Toda la información presentada anteriormente que está relacionada a la actividad del

usuario, es manejada en archivos conocidos para su ágil acceso y manejo, como archivos

planos separados por comas (ej. .csv, .txt) (donde se guarda el detalle de los datos para su

posterior análisis) y archivos de imagen (ej. .pdf, .png, .jpg) que permiten la fácil

visualización de lo que está pasando con el servicio de Smart Energy Grid que el usuario

dentro de una Smart City, esté utilizando.

4.3 EHEALTH

En el campo de ehealth, podemos caracterizar y ubicar la información utilizada por los

servicios dentro de tres campos principales. (1) En el depósito, manejo y transmisión de

datos, (2) Soporte de las decisiones clínicas tomadas por los profesionales de la salud, y

Página 23 de 66 teniendo en cuenta estos tres campos, lo que se va a hacer es describir el tipo de

información que en cada uno de éstos se encuentran.

Para empezar se tiene el primer campo el cual habla del depósito, manejo y transmisión de

datos. En este campo se maneja todo lo relacionado con los denominados registros

electrónicos de salud, que incluyen información acerca de la historia clínica de cada uno de

los pacientes de una clínica. Estos registros son archivos complejos que digitalizan

actividades sobre el cuidado de la salud del paciente y son principalmente producidos por

los dispositivos que el paciente posee para monitorear su estado de salud (ej. Monitores de

Presión Sanguínea, Monitores de temperatura, etc). También guardan datos acerca de

características demográficas, resultados de laboratorios, estadísticas personales como la

edad y peso de la persona e información relacionada con la facturación que se le hace al

paciente por los servicios de salud que usa. Dichos registros son utilizados para crear y

personalizar los perfiles de usuario que caracterizan a cada paciente de una clínica,

relacionados con uno de los servicios de eHealth presentados anteriormente.

Página 24 de 66 Con respecto al segundo campo relacionado al soporte de decisiones médicas, se tienen

las prescripciones electrónicas o lo que es mejor conocido como ePrescribing. Básicamente

son archivos digitales que guardan indicaciones que el médico le da al paciente acerca de

un diagnostico determinado que se tenga y actividades relacionadas con los tratamientos

que se le asignan a cada paciente.

Estos archivos tienen como característica principal su actualización automática y constante

con respecto a un elemento como la dosis de una droga, basándose en las observaciones

que los médicos inserten en el sistema central de atención de pacientes o en las que los

farmaceutas consideren importantes, lo que garantiza que siempre se tenga información

confiable y acorde a lo que el paciente necesita en un momento determinado y así evitando

al máximo errores que pueden representar un peligro para la salud de los pacientes.

La información utilizada en todo el proceso de registrar y manejar las prescripciones

médicas se divide básicamente en tres tipos que van a ser presentados a continuación.

 Archivos de Texto: Como se dijo anteriormente, son archivos donde se guardan los

detalles acerca de alguna medicación que se tenga que usar para tratar un

diagnóstico médico determinado. No son muy complejos y son de fácil acceso y

visualización por medio de aplicaciones muy conocidas como lo son los editores de

texto en dispositivos móviles o de escritorio.

 Mensajes de confirmación: Son mensajes muy simples de acknowledge, que se

envían entre sistemas (en este caso entre el sistema central de atención de

pacientes de la clínica y el sistema de atención de clientes de las tiendas

farmacéuticas) que verifican el recibo de indicaciones acerca de alguna medicación

determinada y la posterior entrega de dichos medicamentos.

 Mensajes de alerta: Son mensajes enviados entre la clínica, las tiendas

farmacéuticas y las fábricas farmacéuticas que indican la falta de un medicamento

en especial para el tratamiento de los pacientes. Se asocian a mensajes de control

que ayuden a tener en todo momento, los elementos necesarios para cumplir con

las prescripciones dadas por los médicos y que satisfagan el tratamiento del

Página 25 de 66 La combinación en el uso de estos tres tipos de información, da a lugar para que el sistema

central de atención a los pacientes de una clínica, pueda complementar y actualizar de

manera eficiente, el perfil de los usuarios que un centro de salud maneja. También permite

que sea fácil visualizar lo que el paciente necesita en dispositivos que cualquier persona

tiene a la mano.

Figura No 9. Visualización de una prescripción electrónica.

Para terminar con la caracterización de los tipos de información usados por los servicios de

eHealth, tenemos el tercer campo relacionado al monitoreo de las personas a distancia

desde lugares distintos a la propia clínica. En este campo, el cual es llamado Smart Home

o Smart Place el que se refiere a lugares con dispositivos para monitorear el estado de

salud de los paciente de una clínica, los datos usados contribuyen a tener un control real

sobre la condición de las personas en cualquier momento, es por esto que termina siendo

información muy importante de la cual dependerá la calidad del servicio de salud que se le

brinda a los ciudadanos de una Smart City y por consiguiente la calidad de su vida.

Dicha información mencionada anteriormente es la que los dispositivos monitores que los

usuarios usan producen y envían en todo momento en tiempo real para reportar alguna

emergencia con respecto al estado de salud de un paciente. Dicha información va a ser la

base para solucionar de manera eficiente problemas que se presenten y básicamente está

Página 26 de 66  Señales de alerta: Son señales enviadas por los dispositivos de monitoreo (ej.

Señales de radio) a otros dispositivos receptores que poseen las entidades de

atención de emergencias, que simplemente dan aviso sobre la presencia de una

situación irregular con el paciente que está monitoreando.

 Mensajes de Estado: Son mensajes con datos sobre los signos vitales del paciente.

Generalmente llevan archivos planos de texto que cumplen con un formato especial,

que los dispositivos receptores saben leer e interpretar para dar a conocer el estado

actual del paciente, para analizar qué se debe hacer en un momento determinado.

4.4 E-GOVERNMENT

Las estrategias de e-government van dirigidas a la entrega de servicios públicos por medio

de tecnologías de información, que brindan los gobiernos de los países tanto a sus

ciudadanos como a sus empleados y personas que estén relacionados con la actividad que

el gobierno realiza día a día. Es por esto que, esencialmente el manejo correcto de la

información, que es obtenida por gran cantidad de dispositivos electrónicos y de sistemas

de información relacionados con las actividades diarias del gobierno y del ciudadano, es

muy importante para hacer posible que las ideas que implementen los gobiernos a través

de soluciones de e-government sean eficaces y cómodas para el usuario.

Para entender qué tipo de información se usa en soluciones de e-government, es

importante establecer un modelo, al que vamos a llamar un modelo de entrega de servicios

de e-government, el cual clasifica de manera clara lo que los gobiernos pretenden brindar

principalmente a los ciudadanos y a las personas relacionadas con su actividad y a partir

de esto, poder identificar la información que se recolecta en cada uno de los campos de

aquel modelo.

Básicamente el modelo del que se habla está dividido en cuatro partes:

 Gobierno a ciudadano  Gobierno a Negocio  Gobierno a Gobierno  Gobierno a Empleados

Página 27 de 66 Estas cuatro clasificaciones son las que nos van a brindar la posibilidad identificar en cada

uno de estos escenarios, el tipo de información que cada una maneja.

En primer lugar se tiene la interacción Gobierno a ciudadano, la cual es la más importante

dentro de este contexto por la gran cantidad de información que maneja. Allí es muy claro

lo que se hace y es brindar por parte del gobierno servicios básicos a los ciudadanos que

les permita tener acceso a derechos que cada uno de éstos posee. Dichos servicios entre

los que se encuentran, actividades de participación ciudadana, entrega de documentos de

identificación, acceso a servicios de salud, entre muchos otros, manejan principalmente

información escrita, en su gran mayoría, documentos físicos previamente digitalizados, que

contienen datos de cada uno de los ciudadanos que hacen parte de un país.

En teoría esta información que se reduce a archivos de texto en su mayoría, aunque

también se pueden encontrar otros tipos de información como archivos de imagen (Fotos)

y mensajes de alerta al ciudadano para cumplir con una obligación determinada, suele ser

de fácil manejo aunque el tema de privacidad de ésta es lo critico ya que se maneja

información básica y personal de cada ciudadano, pero esto se tratará más adelante en el

trabajo. Cabe anotar, que dicha información se produce y se maneja y se transforma en

sistemas de información gubernamentales y aplicaciones de dispositivos personales que

los ciudadanos poseen como por ejemplo sus dispositivos móviles inteligentes, lo que

brinda el acceso a los servicios públicos que brinda el gobierno, por medio de soluciones

de TI, que sean eficientes para el ciudadano (Figura No 10).

Página 28 de 66 En segundo lugar se tiene la interacción gobierno a negocio, la cual maneja información

muy específica sobre reglamentaciones que tenga el país acerca de cómo llevar a cabo

negocios dentro de éste. Dicha información generalmente no es de conocimiento público,

pero es de gran importancia para tener claro qué se debe hacer en temas relacionados al

comercio y economía en el país.

En dicha interacción, principalmente se va a manejar información de contabilidad, entre los

negocios y entidades gubernamentales, relacionada a temas de impuestos y contribuciones

que se le hacen al gobierno. Igualmente se maneja información relacionada a normas que

hablen acerca de aquellos temas asociados al fisco. El traspaso y envió de esta información

se hace por medio de los sistemas de información de cada uno de los actores involucrados,

teniendo así una interoperabilidad muy estrecha entre los sistemas de información

gubernamentales y los de los negocios reconocidos legítimamente por el estado del país.

En tercer lugar se tiene la interacción gobierno a gobierno de la cual no hay mucho que

analizar ya que es una interacción que se limita a manejar y enviar información acerca de

acuerdos realizados entre dos países, es por esto que son típicamente archivos de texto

que se comparten y es fácil identificar que la cantidad de información que se tiene en dicha

interacción es limitada y administrada solo por los sistemas de información de las entidades

gubernamentales de los países relacionados.

Ya para terminar con este análisis, en cuarto lugar se tiene la interacción gobierno a

empleado, la cual es una interacción meramente interna por lo que la información manejada

allí se administra de manera diferente, en cuanto al acceso que se tiene a ésta.

Básicamente es información manejada por los sistemas de información gubernamentales y

dispositivos personales de uso exclusivo para los empleados del gobierno (ej. Asistentes

digitales, Móviles inteligentes, Computadores corporativos) en donde se tienen datos sobre

la gestión y actividades que cada uno de éstos realiza y acceso a datos relacionados con

dichas actividades que se deben realizar.

Principalmente se identifican, como en los casos anteriores, archivos de texto, de

contabilidad y como parte muy importante, mensajes de alerta que recuerden por medio de

aquellos dispositivos personales a cada uno de los empleados los plazos establecidos para

realizar una actividad determinada, para generar un trabajo eficiente que se traduce en la

Página 29 de 66

5 LINEAMIENTOS DE PRIVACIDAD DE LA INFORMACIÓN

En esta sección, ya teniendo claro el contexto de los escenarios y su información,

entraremos a analizar los lineamientos y/o procesos de privacidad de ésta en cada uno de

los escenarios de aplicación identificados y expuestos anteriormente, mostrando modelos

y soluciones de privacidad aplicables en cada uno de los casos requeridos y que hacen

parte central de los servicios que se prestan en cada uno de los escenarios.

5.1 MOVILIDAD URBANA

En el caso de los sistemas de transporte inteligentes y teniendo en cuanta los tipos de

información identificados anteriormente, se pueden identificar tres elementos que reflejan

lo más importante con respecto a la privacidad de la información tanto de los usuarios como

de los dispositivos y entidades que hacen parte de los servicios de este escenario y que

deben ser el centro de atención en cualquier investigación sobre cómo asegurar la

privacidad de la información que se maneja. Estos son la identidad, los requerimientos y la

localización, elementos que tratan de resolver un problema central el cual es Quién y cómo

puede tener acceso a la información que los usuarios de los sistemas de transporte y los

dispositivos que hacen parte de éstos, comparten cada momento para satisfacer o hacer

uso de un servicio en particular, como por ejemplo ubicaciones e identidades.

Dichos elementos, hacen parte de un modelo de tres dimensiones, en donde cada

dimensión expone lo relacionado a cada elemento. Dicho modelo trata básicamente las

siguientes cuestiones: La privacidad de la identidad, la privacidad de los requerimientos y

la privacidad de la ubicación (Figura 11). En general, cuando se trabajan los sistemas de

transporte inteligentes, principalmente se trabaja alrededor de estas tres dimensiones que

tiene el modelo propuesto y como se va a evidenciar más adelante, se propondrán

soluciones que tienen como objetivo asegurar que dichas privacidades no se vean

amenazadas por algún uso indebido de la información o por intenciones dirigidas a alterar

Página 30 de 66

Figura No 11. Modelo Privacidad Movilidad Urbana en Smart Cities

A continuación se plantean la descripción de cada dimensión con sus respectivas

soluciones que pretenden asegurar la privacidad de la información de los servicios que se

tienen en el escenario actual

.

5.1.1 Privacidad de la Identidad

Esta dimensión está relacionada con la revelación de la identidad (ID de los dispositivos y

usuarios), cada vez que estos acceden a realizar alguna acción dentro de un servicio

determinado. En este sentido, esta dimensión trata el problema de la denominada

privacidad del Quien. Si los dispositivos especifican sus ID, los proveedores de servicio y

dispositivos terceros deben tener lineamientos claros de en qué casos revelar o no estas

identificaciones.

En general, la identidad es un problema común en distintos servicios de movilidad urbana.

Por ejemplo, un dispositivo móvil perteneciente a un usuario X revela la identidad de éste

cuando el usuario quiera acceder a un servicio de taxi, pero ¿hasta qué punto dicho usuario

Página 31 de 66 información de identificación suya? Esa es la pregunta central en este problema y es lo que

ésta dimensión pretende trabajar.

Para atacar dicho problema se plantea el uso de lo que el modelo llama seudónimos. Básicamente son identidades “inventadas” relacionadas a un dispositivo o usuario en

específico que tiene como función ser la identidad pública de alguna entidad para que la

identidad verdadera de ésta, permanezca oculta. Dichas identidades “inventadas” son

manejadas por un servicio de seudónimos, que trabajaría de similar manera que el servicio

DNS que conocemos actualmente, en el cual se hace la traducción de identidades de

manera segura sea en los terminales finales o en una central geográficamente ubicada que

realice esta acción cuando el dispositivo final no sea capaz de tenga la información

necesaria para hacer dicha traducción.

De todas maneras, si el servicio es atacado o sus administradores presentan una falla, la

relación entre identidades y seudónimos se puede ver comprometida. Para solucionar esta

posible situación, el servicio debería ser proveído por un conjunto de seudonimizadores

(Encargados de establecer los seudónimos) distribuidos geográficamente en distintas

locaciones.

Cabe aclarar que el uso de dichos seudónimos no sería de carácter obligatorio, ya que

deberían existir permisos configurados por los usuarios o administradores de los

dispositivos que establecieran en qué casos éstos pueden o tiene el permiso de revelar su

identidad. Esto sería basado en lo que se llama una lista de actores de confianza que los

dispositivos manejan para identificar con quienes pueden compartir dicha información.

Página 32 de 66 Ahora, hay dispositivos que manejan su identidad basados en radio frecuencia, por ejemplo

los sensores de tráfico. Estos dispositivos trabajan un sistema de identificación llamado

RFID (Figura No 13). Principalmente en este sistema se manejan los denominados tags que son dispositivos que envían archivos planos a unos lectores, previamente solicitados

por éste, que llevan consigo el ID del dispositivo.

Figura No 13. Estructura Básica de un sistema RFID

Generalmente estos sistemas pueden tener violaciones a su privacidad con respecto a la

identidad por medio de los denominados adversarios que pueden obtener el ID de varios

dispositivos por medio de la intercepción de las comunicaciones entre los lectores y los

tags y esto puede conllevar a problemas como suplantaciones que afecten el estado y los

reportes del servicio. A este problema se le llama privacidad de lo adquirido. Para evitar

que situaciones como la planteada anteriormente se presenten, se pueden implementar

varias medidas.

Figura No 14. Ejemplo de una posible violación de privacidad en sistemas RFID

La primera es prevenir que los tags emitan respuestas y señales a ID-queries, algo así

como la lista de confianza en el caso de los seudónimos, esto sería solo responderle a los

tags previamente autorizados con los que se pueda establecer una comunicación. Dentro

Página 33 de 66  Generar Kill Commands: Esto es implementar comandos específicos en un tag, que

prevengan a éste de emitir respuestas. El tag no responde ninguna solicitud

después de que el comando se ejecute.

 Acceder a esquemas de Passwords: Esto es, emitir una respuesta cuando el tag

reciba una contraseña correcta del reader específico que quiere acceder a su

identificación.

 Implementar esquemas hash de sellamiento: Este punto es muy parecido al punto

anterior, en cuanto se trata de autenticar al lector antes de emitir una respuesta,

solo que en este caso se hace por medio de valores hash que identifican

únicamente a cada tag con su reader determinado.

La segunda medida sería emitir datos extra o ruido a las señales. Para realizar esto se

pueden hacer las siguientes acciones

 Emitir interferencia: Un dispositivo extra, puede emitir interferencia para prevenir al

lector de obtener el ID del tag. Esto es recomendable implementarlo solo si hay

seguridad absoluta de la presencia de una amenaza ya que la emisión de

interferencia puede alterar todo el sistema de radio frecuencia.

 Bloqueadores de Tags: En general los readers usan unos protocolos, especialmente

uno llamado Binary Tree Protocol que les permite obtener varios tags de manera

secuencial. En este caso, un dispositivo extra llamado Bloqueador de Tags emite

ID’s dummies para obstruir la ejecución del protocolo y así impedir que algún adversario pueda tener acceso a los id’s que está recibiendo el reader.

5.1.2 Privacidad de los requerimientos (solicitudes)

Esta segunda dimensión, está relacionada a la preservación de la privacidad de las

solicitudes que se hacen en cada uno de los servicios de Movilidad Urbana. Todas las

solicitudes están relacionadas a lo que se ofrece en los servicios y su función es de gran

Página 34 de 66 información acerca de los gustos y los hábitos de los usuarios que hacen uso de los

servicios de los sistemas de transporte inteligentes.

En general, el uso y análisis de solicitudes hechas tanto por usuarios como por dispositivos

conllevan a que el tratamiento de este tipo de elementos sea crítico y tenga un rol muy

importante dentro de las Smart Cities para garantizar el buen manejo de la información que

manejan cada uno de los servicios.

Ante los posibles flujos de solicitudes no controladas que pueden llevar a violaciones en la

privacidad de la información que se maneja, existe una arquitectura que busca controlar

dichos flujos para que minimizar al máximo posibles amenazas contra la privacidad. Esta

arquitectura se llama PeRA.

PeRA es una arquitectura basada en políticas de privacidad que soporta múltiples

aplicaciones en sistemas de transporte inteligentes. La mayoría de soluciones para

garantizar la privacidad de las solicitudes solo soporta aplicaciones individuales, es esto lo

que hace de PeRa una solución viable que puede ser aplicable para varios servicios de

movilidad urbana inteligente.

Esta arquitectura pretende controlar el procesamiento de solicitudes y datos para todo el

flujo de información, esto significa que se incluyen eventos como las comunicaciones y

procesamientos en aplicaciones y nodos remotos, no se limita al ámbito local. Para

desarrollar lo anteriormente expuesto, PeRA provee un aseguramiento de políticas que

propone una centralización de los datos para garantizar su protección. Básicamente, los

dispositivos toman control de sus datos por medio de la declaración y configuración de

políticas de privacidad que restringen cómo las aplicaciones deben procesar la información

que reciben.

Todos los datos son combinados por un conjunto de políticas de privacidad desde su

creación o modificación, por ejemplo se combinan todos los datos de GPS que un vehículo

envía a los centros de control de tráfico y son almacenados en una base de datos con una

Página 35 de 66

Figura No 15. Ejemplo de Política de privacidad en PeRA

Dentro de PeRA existe una entidad llamada MPC (Mandatory privacy control) cuyos

componentes aseguran que las aplicaciones solo desarrollan operaciones de acuerdo a las

políticas de privacidad establecidas sobre los datos. Para evitar que los procesadores de

datos de los dispositivos eludan la MPC, PeRA incluye una capa llamada MIP (MPC Integrity

Protection), la cual almacena los datos de forma segura bajo protocolos seguros y los

encripta para permitir el intercambio de información entre las instancias de PeRA

asegurando en todo momento la privacidad de ésta. Igualmente monitorea la integridad de

los componentes de la MPC y solo garantiza el acceso a los datos si todos los componentes

de MPC se encuentran en un estado llamado “Confiable” en el cual no hay posibles

amenazas a las políticas de privacidad previamente definidas.

En general, una aplicación de un dispositivo realiza varias solicitudes las cuales son

recibidas por el PCM (Privacy control Monitor). El PCM posteriormente evalúa las políticas

de privacidad que estén relacionadas con los datos que se estas enviando en las

solicitudes. Basado en dicha evaluación, algunas solicitudes serán aceptadas o

rechazadas, igualmente el MPC podría realizar transformaciones adicionales a los datos

para que éstos cumplan con los requerimientos de privacidad especificados en las políticas.

Página 36 de 66 A través del proceso descrito anteriormente, PeRA garantiza que todos los datos que salen

del PCM cumplen con todas las políticas de privacidad aunque aplicaciones en dispositivos

externos que no implementen PeRA tal vez no tengan total acceso a los datos en el nivel

de detalle requerido para garantizar la privacidad de éstos. Por lo tanto para garantizar una

integración completa entre todos los dispositivos que hacen parte de un servicio de

movilidad urbana, PeRA implementa un ambiente de integración CAE (Controlled

application Environment) que tiene como objetivo permitir a dispositivos y aplicaciones que

no implementan PeRA integrarse a este ambiente para garantizar, aunque en un nivel de

seguridad menor, la privacidad de los datos que dichos dispositivos y aplicaciones manejan.

5.1.3 Privacidad de la Ubicación

La mayoría de soluciones propuestas para garantizar la privacidad de la ubicación están

basadas en soluciones TTP (Trusted third Parties). Estas soluciones simplemente mueven

la confianza de la ubicación, de los servicios basados en localización (LBS) a entidades

intermedias. Por medio de esto, proveedores LBS no se preocupan más por la ubicación

real de los dispositivos y usuarios y se confía fuertemente en entidades intermedias como

los llamados “anonimizadores”.

Página 37 de 66 Dichos anonimizadores, son las entidades más sofisticadas en soluciones basadas en TTP

acerca de la privacidad de la ubicación. En vez de estar preocupados por políticas de

privacidad acerca de la ubicación, los anonimizadores asumen que las comunicaciones son

anónimas, esto es por ejemplo que, no se requiere saber la identidad de algún dispositivo

que envía su localización para enviar alguna respuesta.

Una manera muy común de “esconder” la posición real de los usuarios es por medio del

uso de lo que se llama la propiedad k-anonimato. En este contexto, podemos decir que la

ubicación de un usuario es k-anónimo si ésta no es distinguible desde la ubicación de otros

k-1 usuarios. Entonces, la idea fundamental de los k-anonimizadores es reemplazar la

ubicación real del usuario por medio del encubrimiento de las áreas en las que por lo menos

un número k de usuarios se encuentran. Anonimizadores transforman las ubicaciones (x,y)

en un tiempo t a ( (x1,x2), (y1,y2) , (t1,t2) ) donde ( (x1,x2), (y1,y2) ) es un área rectangular

que contiene (x,y) entre tiempos t1 y t2.

En general, cierto grado de anonimidad de la ubicación puede ser sostenida, por medio de

bajar la precisión de la ubicación a través de alargar el área espacial de modo que hay otros

k.1 usuarios presentes en la misma área. Esta idea es llamada el encubrimiento espacial.

Por otro lado también se puede garantizar la anonimidad de la ubicación, demorando el

mensaje hasta que k usuarios visiten la misma área en donde se encuentra el que envía el

mensaje, este método es llamado encubrimiento temporal.

Figura No 18. Modelo de Encubrimiento Espacial

Haciendo esto, proveedores de servicios que requieran la ubicación de los usuarios en

algún momento, no les queda fácil determinar cuál de los k usuarios en el área de

Página 38 de 66 entidades intermedias llamadas anonimizadores, le permite al usuario definir sus propias

preferencias de privacidad de su ubicación, por ejemplo el numero k de usuarios con el cual

el usuario quiere ser anonimizado.

Figura No 19. Ejemplo de Preferencias de privacidad de Ubicación

5.2 SMART GRID ENERGY

La privacidad de la información es considerada como un elemento de prioridad primaria en

las Smart Grids dado lo fácil que las grandes redes, como lo es internet, pueden ser

hackeadas. Ante esta posibilidad, surgen problemas asociados a las vulnerabilidades que

pueden llegar a afectar el estado tanto de las redes como de los sistemas y dispositivos y

que generarían inestabilidad en la prestación de servicios relacionados con el consumo y

medición de energía. Por esto, en esta sección de este documento se va a proponer una

solución basada en el anonimato de los datos de medición de energía enviados por los

medidores inteligentes (los cuales son los datos más críticos cuando de privacidad se

habla), usando identidades seudónimas que permitan que las operaciones y distribución de

la red de energía no se vea comprometida en ningún momento, ya que a partir de dichas

Página 39 de 66 De los medidores inteligentes se espera que provean lecturas precisas automáticamente

cuando éstas sean requeridas, que permitan saber cuánto un usuario consume y basado

en esto generar perfiles de consumo que le dejen saber a la red de energía la cantidad de

energía requerida por el usuario. El dilema central es que los datos de alta frecuencia (datos

que se recogen en intervalos de tiempo cortos), como es el caso de las lecturas

anteriormente presentadas, que son necesarios para la eficiencia de las operaciones de la

red de energía, pueden exponer información considerada privada. Entonces la pregunta

que se debe hacer es: ¿Cómo los datos de alta frecuencia pueden ser anonimizados, sin

afectar negativamente la red de operaciones o la disponibilidad de los datos de alta

frecuencia?

Antes que nada se deben hacer algunos supuestos para así posteriormente desarrollar toda

la solución. Dichas presunciones son las siguientes:

1. Los datos de medición relacionados a cobro y manejo de cuentas, necesita ser

atribuible, esto es que deben ser asociados seguramente con un consumidor en

particular o una cuenta en particular.

2. Dichos datos atribuibles, son recolectados típicamente en baja frecuencia, por

ejemplo semanalmente.

3. Los datos de medición necesarios para la generación de energía y la distribución de

la red no necesitan ser atribuibles. Datos anónimos pueden ser suficientes si estos

pueden ser atados de manera segura a una entidad que controle un conjunto

específico de consumidores de energía.

4. Los datos anónimos deben ser recolectados en alta frecuencia, por ejemplo cada

cinco minutos para responder en tiempo real a las necesidades de energía o a la

demanda que se tenga en un rango de tiempo determinado

En esta solución, la principal diferencia estructural con respecto a los medidores inteligentes

es que éstos tienen dos ID separados en vez de un ID único como sería el caso de un

medidor inteligente estándar. El ID de alta frecuencia (HFID) y el ID de baja frecuencia

(LFID). Estos dos ID están relacionados con los mensajes de medición que son transmitidos

por los medidores inteligentes, lo importante es que en la practica la mayoría de los

mensajes son enviados en alta frecuencia, es por esto que el concepto clave es el método