Internet de la cosas
A finales del año 2011, se supo que un grupo de hackers chinos habían atacado a la Cámara de Comercio estadounidense, penetrando en su red con una devastadora cadena de backdoors. Los empleados admitieron que los cibercriminales habían accedido a sus sistemas, robando correos electrónicos, notas sobre reuniones y documentos mercantiles. La Cámara de Comercio fue, por aquel entonces, víctima de un ataque APT. La anécdota más popular de este caso fue que los investigadores descubrieron un termostato en un edificio del Capitolio que se comunicaba con una dirección IP procedente de algún lugar de China.
Si estás leyendo este post, probablemente estés conectado a Internet a través de un dispositivo que, hace apenas cinco años, no tenía acceso a la Red. Ésta es la esencia del “Internet de las Cosas“. Hubo un tiempo en que Internet solo conectaba ordenadores con servidores. Pero, esto ha cambiado y, actualmente, casi todo tiene una dirección IP y dispone de conexión a Internet: coches, electrodomésticos, teléfonos, consolas, las gafas de Google e, incluso, jarras de cerveza (o eso dicen).
La seguridad de la red se puede considerar un laberinto: cuantas más salidas y entradas tenga, más fácil será escapar. De igual modo, cuantos más dispositivos estén conectados a la Red, más oportunidades tendrá un hacker para atacarla. En resumen: cada dispositivo representa un posible camino hacia la red, y por ende, hacia los equipos.
Ésta es la pesadilla de los administradores de sistemas y los equipos de seguridad informática, especialmente, ahora que cada vez hay más compañías que han adoptado el sistema BYOD (uso de los dispositivos personales para fines profesionales). Además, la idea de permitir a los empleados que conecten diferentes dispositivos a la red corporativa les resulta aterradora.
Las amenazas son más palpables cuando tratamos con el Internet de las Cosas. Las personas que diseñan los sistemas operativos y software en Apple, Google o Microsoft siempre tienen en cuenta la seguridad a pesar de que reciban múltiples críticas sobre las vulnerabilidades y los exploits que aparecen en sus productos.
En cambio, la persona que diseña el sistema de regulación de químicos de la piscina de nuestra vecindad, no creo que haya pensado en la seguridad informática al conectar el dispositivo con la red para que el operador pueda regular, de forma remota, los niveles del agua. Esto mismo sucede con la gran mayoría de dispositivos: desde bombas de insulina hasta aviones comerciales. Todos son vulnerables y nadie está diseñando soluciones de seguridad específicas para ellos; careciendo de una barrera entre el aparato y el malware.
Si creéis que todo esto es un exageración, os invito a que leáis sobre el botnet Carna, conocido, también, como “Internet Census 2012”. Un investigador no identificado pudo subir un código benigno en más de 420.000 dispositivos integrados, a los que se podía acceder con credenciales predeterminadas. De hecho, si hubiera querido, les podría haber introducido un código malicioso.
En EE.UU., la solución para este conflicto sería desarrollar leyes específicas que regulasen la seguridad informática de estos dispositivos. Por ejemplo, la FDA (Food and Drug Administration) y el ISC-CERT han trabajado conjuntamente para conseguir que los fabricantes de aparatos médicos se tomen la seguridad más en serio tras descubrir que se podía acceder mediante credenciales predeterminadas a más de 400 dispositivos; permitiendo, además, cambiar los ajustes de los mismos.
Mientras esta situación evoluciona y se desarrollan soluciones para el problema de inseguridad, solo os puedo dar un único consejo: sed precavidos y actuad con cautela.
Consejos