A finales de la semana pasada se daba a conocer de la mano de Euractiv (EN) que la Comisión Europea está trabajando en el diseño de una etiqueta de «hardware seguro» dirigida a dispositivos del internet de las cosas.
Es, de facto, uno de los puntos que más he criticado estos últimos años, habida cuenta de que cada vez más dispositivos están conectados y la mayoría ni siquiera bajo protocolos seguros y estandarizados, o con capacidad de actualización en caso de descubrirse una brecha de seguridad.
El ámbito de este proyecto, eso sí, sería aún muy limitado, cubriendo esa parte del Internet de las Cosas considerada marca blanca, así como los electrodomésticos. Pero es un punto de inicio, y eso es lo que importa.
El Internet vulnerable
Tenemos ejemplos para aburrir.
Desde ese interés desmedido que agencias de inteligencia como la NSA han demostrado tener frente a todos esos sensores del IoT que pululan a nuestro alrededor, como herramienta accesible y directa para realizar su espionaje masivo vigilancia.
Pasando por esos cada vez más habituales juguetes conectados para niños que, excusándose en una suerte de interacción y/o inteligencia artificial, permiten a cibercriminales ponerse en contacto directo con los peques para, presumiblemente, extorsionar de las más enrevesadas formas a sus padres.
Sin obviar el papel que juega el IoT en cada vez más escenarios, como es el control de infraestructuras críticas y fábricas, la monitorización de clientes en un centro comercial y como no, la cuantificación personal.
Hablamos, frente a todas luces, de unos dispositivos que 24/7 están recopilando información sensible de nuestras acciones, y que hoy en día siguen operando sin control alguno por parte de la propia industria. Cada fabricante hace y deshace a su antojo, rebajando costes en una suerte de seguridad basada en el oscurantismo (rezar para que nadie sepa cómo funciona, porque si lo saben, encontrarán la forma de explotarlo), e incluso sin capacidad por parte del cliente de mejorar, o al menos parametrizar, su seguridad.
La última nueva viene de la mano de Brian Krebs, un conocido periodista especializado en seguridad que estos días sufría un ataque DDoS a su página, considerado hoy en día uno de los más gordos de su historia (665 Gigabits).
Dejando de lado la salsa rosa del asunto, con la negativa a priori por parte de Akamai de hacerse cargo del ataque, y la entrada en juego del proyecto de protección a activistas frente a la censura Project Shield de Google, el ataque es profundamente interesante.
¿Por qué?
Porque frente a la estrategia habitual de las denegaciones de servicio de utilizar botnets de ordenadores corrompidos, en este caso el software encargado de controlar esa botnet no atacaba a PCs, tablets y smartphones, sino a routers, cámaras IPs, lavadoras, impresoras, reproductores de DVD y en definitiva, cualquier dispositivo IoT que se pusiera a tiro.
Lo analizaba el mismo Krebs en su blog (EN). «Mirai», que es el nombre de esta botnet, tenía entre sus líneas de código la llave para hacerse con el control de hasta 68 tipologías distintas de dispositivos, todos convenientemente documentados, y aprovechándose de que por defecto los usuarios y contraseñas de estos dispositivos son conocidos.
Los creadores de este centro de control tan solo han tenido que automatizar la búsqueda de dispositivos expuestos a la red (lo mismo que hace la API de Shodan) y llamar al puerto adecuado con el par de usuario/contraseña oportuno, para transformar esa batidora, esa cámara, ese DVR o ese router en una fuente más para ataques de denegación de servicio.
No es la primera botnet que se aprovecha de esto, y le aseguro que no será la última.
¿Para qué molestarse en crear una botnet bypaseando la seguridad de un Windows o un iOS, cuando tienes por ahí millones de dispositivos del IoT sin medidas de seguridad?
Hasta este punto llega la «seguridad» de la mayoría de dispositivos del internet de las cosas. Una web o un puerto abierto que espera unos credenciales que pueden obtenerse en una búsqueda rápida en Google.
Y lo peor de todo es que muchos de estos dispositivos carecen de funcionalidades tan básicas como que el propio usuario pueda, accediendo a una web o aplicación, cambiar ese usuario y la contraseña. Ya ni hablemos de recibir automáticamente actualizaciones de seguridad…
Se necesitan urgentemente garantías
Sea con una etiqueta o sea de la forma que sea. Un dispositivo con capacidad de acceso a la red debe estar como mínimo segurizado a la mayoría de ataques automatizados a los que simplemente por estar conectado VA A SUFRIR.
Es tan sencillo (y triste) como contaba Krebs en su artículo:
Regardless of whether your device is listed above, if you own a wired or wireless router, IP camera or other device that has a Web interface and you haven’t yet changed the factory default credentials, your system may already be part of an IoT botnet. Unfortunately, there is no simple way to tell one way or the other whether it has been compromised.
Repito: Si tenemos un dispositivo conectado, y no hemos cambiado los credenciales por defecto, nuestro dispositivo tarde o temprano acabará siendo parte de una botnet. No hay que darle más vueltas.
Botnet que quizás, como en este caso, acabe sirviendo para censurar contenido que una parte de la sociedad (lamentablemente no hablamos solo de la industria del cibercrimen) considera molesto para sus intereses. O una botnet que sirva a X colectivo para extersionarnos, para mantenernos vigilados, para cohibir nuestros derechos y libertades.
Una botnet que ponga en peligro la vida de nuestros seres queridos (esas bombas de insulina o esos marcapasos son un gran ejemplo), o que el día de mañana sirva para perseguir abierta o secretamente a un grupo específico.
No es una tontería lo que estoy hablando. Es un problema muy serio, que ya está siendo aprovechado tanto por los malos como por los supuestamente buenos. Que el grueso de la sociedad desconoce. Y los pocos que son conscientes, no tienen tan siquiera las herramientas para solventarlo.
Sin compromiso por parte de la industria, sin una normativa legal adecuada, hoy en día nos es imposible confiar en el internet de las cosas.
Sencilla y llanamente, es en si mismo el mayor vector de ataque del que deberíamos preocuparnos.
Caray, lo que afirmas es terrible y lo es más ya que muy poca gente se protege. ¿Cómo difundir si muchas personas que conozco ni siquiera tienen antivirus en su celular? Que angustia. Saludos.
Si el problema no es que no tengan antivirus. De hecho, lo suyo es que no sea necesario.
El problema es de la propia industria, que parece no tener (al menos hasta ahora) suficiente presión para hacer las cosas bien.
Será algo, no obstante, que vaya cambiando con el tiempo. Pero esperemos que esa sucesión dure poco…
Cada vez que trato de hablarle a alguien corriente sobre estos riesgos latentes para que tomen conciencia, me miran con los ojos desorbitados. En general creo que prefieren seguir felices en su ignorancia… hasta que la realidad los atropelle. El consumidor tiende a pensar que detrás de cada dispositivo que compra existe una corporación responsable que le ofrece seguridad, estándares y protocolos que lo protegen. La realidad es otra y los estados engolosinados con el espionaje masivo tampoco tendrán mucho interés en que esta situación cambie. Por otra parte Pablo, me parece que crear dispositivos seguros que cuenten con actualizaciones de seguridad tiene un costo que por lo general el consumidor no quisiera pagar.
Ahí está el asunto Fernando. También piensa que el precio ya es de por sí generalmente reducido. Hablaríamos quizás de subirlo un 20 o un 30% a lo sumo. Y con ello tendríamos un ecosistema más seguro.
En fin, que falta por ver qué movimiento hace la industria. Como generalmente la única manera de aprender que tenemos es en base a leyes de obligatorio cumplimiento…