Una experiencia de primera mano en defensa del IdC

27 Mar 2018

¿Te has percatado alguna vez de las veces que aparece la frase “Tengo un mal presentimiento sobre esto” en el universo de Star Wars? Durante todos los episodios, esta frase aporta un toque cómico y nos avisa de que va a tener lugar un acontecimiento negativo; desgraciadamente, esto no suele suceder en la vida normal.

Sin embargo, esto cambió en #TheSAS2018. Este año, el equipo de planificación estableció una serie de talleres para el segundo día. Según Denis Makrushin, supervisor del taller del Internet de las Cosas, el objetivo era cambiar la presentación tradicional por una opción más práctica. Estos talleres estaban dirigidos a toda la audiencia de la conferencia, no solo a los investigadores de seguridad experimentados.

Parece el complemento perfecto para una conferencia, ¿verdad? Pero yo me dedico a las comunicaciones y al marketing, si yo fuera al seminario, mi función sería concienciar sobre las sesiones a los asistentes de la conferencia o a nuestra amplia audiencia en las redes sociales. Entré en la sala, pensando cómo podría convencer a Makrushin de hacer un podcast conmigo y terminé averiguando que él tenía otra cosa en mente: “Vale, Jeff, haré el podcast, pero tú tienes que participar en este taller”.

Tengo un mal presentimiento sobre esto.

Según la agenda de la conferencia, el evento consistía en una sesión práctica sobre el Internet de las Cosas y, en concreto, un análisis de la seguridad de estos dispositivos para averiguar cómo mejorar la seguridad de los dispositivos conectados.

No tiene nada que ver con mi trabajo habitual. Bueno, un día elaboré un sistema Retropi en una Raspberry Pi, pero fue arrastrando y soltando juegos en emuladores.

El desafío

Me temí lo peor cuando David Jacoby me indicó que me sentara detrás de un teclado en el Raspberry Pi que estaba configurando para el taller. Fui el primer asistente en llegar, se acercó y me dijo que durante el taller formaría parte de un equipo, que competiría contra otro en crear un dispositivo de seguridad para el hogar que debe:

  1. Estar construido con una tecnología de código abierta.
  2. Usar segmentación de red.
  3. Ser accesible a través de una VPN.
  4. Evitar contraseñas por defecto.
  5. Ser utilizable por cualquiera.

Parece simple, ¿verdad? Tengo un mal presentimiento sobre esto.

Conforme nos acercamos al inicio de la sesión fue llegando la gente y Jacoby y Marco Preuss nos dividieron en dos equipos. El otro equipo contaba con trabajadores de varias áreas de seguridad. El mío estaba formado por un compañero de PR de Kaspersky Lab, un periodista y yo. Genial.

Justo antes de que arrancara la sesión, se nos unió un tipo que sabía codificar y un desarrollador de software, la cosa mejoraba. Entonces, Jacoby nos comentó que no íbamos bien de tiempo (después teníamos la ceremonia de clausura del evento), por ello debíamos hacerlo de forma teórica, es decir, no tendríamos que desarrollar un dispositivo real. En ese momento todos respiramos aliviados.

Concibiendo un dispositivo conectado perfecto

Empezamos hablando sobre cómo podríamos proteger una casa inteligente a través de una tecnología de fuente abierta. Nuestra primera decisión fue usar Raspberry Pi como un router o firewall. Ambas iniciativas aportaban aspectos positivos, pero optamos por usar OpenDNS junto con tablas de datos para generar una lista blanca. En cuanto a las VPN, planeamos ejecutar OpenVPN y PiVPN. También asignaríamos nuestros propios certificados a dispositivos de la red y tendríamos una red de invitados para los que visiten nuestra casa teórica.

Quedamos muy satisfechos, no parecía tan complicado. Tras una hora debatiendo y compartiendo ideas, llegó la hora de presentar nuestro trabajo a Jacoby y Preuss.

Íbamos ganando confianza mientras que la pareja de expertos hacía pedazos el trabajo del primer equipo, demostrando de diez formas distintas por qué no cumplía con todos los requisitos. Cuando llegó nuestro turno, llevamos a cabo la presentación con la esperanza de que nuestro proyecto se convirtiera en la próxima idea millonaria. Sin embargo, los jueces pensaron todo lo contrario y encontraron lagunas en nuestra solución.

No es tan fácil

Después de todo, este es el propósito del taller. Todas nuestras historias sobre desastres y fallos de seguridad en el IdC terminan con un llamamiento a los desarrolladores de estas tecnologías para que prioricen la seguridad, pero en este taller comprendimos de primera mano que es muy fácil idear un concepto, pero no tanto hacerlo seguro y fácil de usar.

Proteger una casa inteligente es más complicado de lo que te puedes imaginar y es imposible que un grupo de personas que juegan a ser “analistas de seguridad” en un taller den con la clave para protegerlo todo.

Este taller nos obligó a alejarnos de nuestra zona de confort y a plantearnos un problema que sigue creciendo conforme aumentan los dispositivos conectados a Internet. En mi opinión, a pesar de que todos “fracasamos”, esta sesión destacó en #TheSAS2018 por no ser la típica en la que nos sentamos y escuchamos alguna investigación, incluso aunque se trate de una tarea complicada.

Si tienes dispositivos conectados en casa y te preguntas si son seguros, prueba nuestro escáner de IdC*. También deberás hacer todo lo que puedas para incrementar la seguridad de los dispositivos, desde cambiar las contraseñas hasta tener al día las actualizaciones del firmware.

*Actualización: La aplicación que se describe en esta publicación está descatalogada.