“Los hac­kers se en­tre­nan pa­ra el in­ter­net de las co­sas”

La Vanguardia - Dinero - - ENTREVISTA - Nor­ber­to Ga­lle­go

Con fre­cuen­cia en el úl­ti­mo año, en el su­ple­men­to Di­ne­ro, he­mos en­tre­vis­ta­do a di­rec­ti­vos de em­pre­sas de ci­ber­se­gu­ri­dad. Ca­da uno en su pa­pel, to­dos han sub­ra­ya­do que es un te­ma can­den­te y per­ma­nen­te; pe­ro nin­guno ha po­di­do de­cir que su so­lu­ción es con­clu­yen­te.

Es­te do­min­go, el abor­da­je de la cues­tión ten­drá otro án­gu­lo: en vez de ci­ber­se­gu­ri­dad en ge­ne­ral, se ha pre­gun­ta­do por una reali­dad in­quie­tan­te: el fe­nó­meno que lla­man in­ter­net de las co­sas (IoT). Es­ta nue­va reali­dad plan­tea ries­gos de los que lo úni­co que se sa­be es que la in­dus­tria no es­tá pre­pa­ra­da pa­ra afron­tar­los.

Con es­ta gra­ve­dad lo des­cri­be el en­tre­vis­ta­do de es­ta se­ma­na: Ja­mes Ly­ne, di­rec­tor de in­ves­ti­ga­ción de la em­pre­sa Sop­hos, una de las más no­to­rias del pro­lí­fi­co mer­ca­do de la ci­ber­se­gu­ri­dad.

To­dos ha­blan de las pers­pec­ti­vas del in­ter­net de las co­sas, pe­ro ¿qué se sa­be so­bre la se­gu­ri­dad de las co­sas co­nec­ta­das? Po­co. He­mos he­cho un par de pro­yec­tos pa­ra in­ves­ti­gar las im­per­fec­cio­nes que pu­die­ran te­ner los dis­po­si­ti­vos mó­vi­les y las apli­ca­cio­nes que son con­si­de­ra­das par­te del in­ter­net de las co­sas. Us­ted, como yo, ha­brá leí­do ti­tu­la­res alar­mis­tas; lo que pue­do de­cir es que en cier­to sen­ti­do se que­dan cor­tos. Pa­ra co­no­cer el ori­gen de esos ries­gos, de­di­ca­mos 5.000 li­bras a com­prar apa­ra­tos, al­gu­nos de ellos pin­to­res­cos, como un ce­pi­llo de dien­tes co­nec­ta­ble u otros más co­rrien­tes... co­sas en el sen­ti­do más am­plio de la pa­la­bra. ¿Con qué re­sul­ta­dos? Los ins­ta­la­mos en nues­tro la­bo­ra­to­rio, los hi­ci­mos fun­cio­nar du­ran­te un tiem­po y los hac­kea­mos... Pues, la ma­yo­ría de los apa­ra­tos que pro­ba­mos eran ho­rro­ro­sos des­de el pun­to de vis­ta de la se­gu­ri­dad. Sus fa­llos nos per­mi­tie­ron eje­cu­tar có­di­gos ma­li­cio­sos, sal­tar­nos la au­ten­ti­ca­ción [...] un ca­tá­lo­go de pro­ble­mas que, si ocu­rrie­ran en una em­pre­sa, po­drían pro­vo­car un desas­tre. Como los com­pra­mos, quie­re de­cir que es­tán en ven­ta, al al­can­ce de cual­quie­ra que les en­cuen­tre uti­li­dad.

¿So­mos de­ma­sia­do con­fia­dos con los gadgets? Mi im­pre­sión es que, pe­se a esos te­rri­bles ti­tu­la­res, na­die se ha da­do por en­te­ra­do del pe­li­gro que en­tra­ñan es­tos ob­je­tos que son la reali­dad de IoT aho­ra mis­mo a nues­tro al­can­ce; no son fan­ta­sías tec­no­ló­gi­cas: exis­ten y hay gen­te que los usa. A lo me­jor la gen­te tie­ne ra­zón de no preo­cu­par­se: si al­guien se cue­la por in­ter­net en tu fri­go­rí­fi­co, ¿a quién le im­por­ta? ¿qué da­ño po­dría cau­sar? ¿qué in­te­rés ten­dría un ci­ber­de­lin­cuen­te en hac­kear mi fri­go­rí­fi­co? Por ahí se em­pie­za, por qui­tar­le im­por­tan­cia al pro­ble­ma.

Sin em­bar­go, nos preo­cu­pa mu­cho la se­gu­ri­dad de nues­tros PC y de nues­tros mó­vi­les. Por­que con­tie­nen in­for­ma­ción, por­que te­me­mos que quien se apo­de­re de ella pue­da chan­ta­jear­nos, ro­bar­nos o usur­par nues­tra iden­ti­dad. Se­ría un per­jui­cio real, tan­gi­ble, más im­por­tan­te que si des­con­ge­la­ran por In­ter­net mi fri­go­rí­fi­co y se pu­dre la le­chu­ga. La ra­zón por la que no nos preo­cu­pa­mos tan­to como de­be­ría­mos es que no sa­be­mos lo su­fi­cien­te so­bre lo que se nos vie­ne en­ci­ma.

¿Ven­drá pron­to? Tar­da­rá seis me­ses, un año o dos, pe­ro lle­ga­rá el día en que un hac­ker en­cuen­tre un mo­ti­vo y un mo­do de ex­plo­tar los fa­llos de nues­tras co­sas co­nec­ta­das, y no ha­blo só­lo de mi fri­go­rí­fi­co [...] La in­no­va­ción en to­do ti­po de dis­po­si­ti­vos co­rre tan rá­pi­do que las me­jo­ras en la se­gu­ri­dad siem­pre lle­gan tar­de. Hay em­pre­sas, la ma­yo­ría de ellas pe­que­ñas, que es­tán crean­do co­sas co­nec­ta­das; re­co­noz­co que son muy bue­nos en lo su­yo, pe­ro des­cui­dan la se­gu­ri­dad. To­me el ca­so de las apli­ca­cio­nes que co­nec­tan esas ‘co­sas’. En un se­gun­do pro­yec­to, ana­li­za­mos un mi­llar, una por una: ¿es­ta­ban ci­fra­das sus co­ne­xio­nes? y, si lo es­tu­vie­ran, ¿si­gue vi­gen­te el cer­ti­fi­ca­do ori­gi­nal que pro­te­ge el ci­fra­do?, ¿se co­mu­ni­can siem­pre con el ser­vi­cio co­rrec­to o pue­den ser des­via­das in­ten­cio­nal­men­te? Mi­ra­mos có­mo al­ma­ce­nan los da­tos y có­mo ges­tio­nan la iden­ti­dad de quie­nes tie­nen ac­ce­so a ellos [...] Lle­ga­mos a la con­clu­sión de que los desa­rro­lla­do­res, de quie­nes se es­pe­ra que por su ex­pe­rien­cia sean los más cui­da­do­sos, pa­re­cen es­tar –como los fa­bri­can­tes– más in­tere­sa­dos en aca­bar cuan­to an­tes sus apli­ca­cio­nes.

¿Quién tie­ne la cul­pa? No hay un cul­pa­ble: los pro­ble­mas es­tán tan­to en el hard­wa­re como en los sis­te­mas ope­ra­ti­vos y en las apli­ca­cio­nes. No tie­ne sen­ti­do tra­tar de re­sol­ver­los a la ma­ne­ra con­ven­cio­nal, como he­mos he­cho con el malwa­re en los or­de­na­do­res. Es­tos nue­vos dis­po­si­ti­vos de IoT tie­nen ar­qui­tec­tu­ras em­be­bi­das, di­fe­ren­tes sis­te­mas ope­ra­ti­vos, et­cé­te­ra. Una so­lu­ción po­dría ser el re­fuer­zo de la se­gu­ri­dad en las re­des... pe­ro aho­ra mis­mo la in­dus­tria no se ha pues­to de acuer­do so­bre la to­po­lo­gía de las re­des por las que pa­sa­rá el trá­fi­co de IoT. Que se mul­ti­pli­ca­rá, por cier­to.

¿Pa­ra cuán­do se es­pe­ra que apa­rez­ca malwa­re en los dis­po­si­ti­vos de IoT que ya exis­ten? Los ca­sos que se han co­mu­ni­ca­do has­ta aho­ra han si­do de muy pe­que­ña es­ca­la, da la im­pre­sión de que los hac­kers es­tán acu­mu­lan­do co­no­ci­mien­tos sin ha­cer­se no­tar. To­da­vía. He­mos vis­to que cre­ce el nú­me­ro de ata­ques a rou­ters, y cree­mos que es una apro­xi­ma­ción. Los hac­kers se en­tre­nan an­tes de lan­zar­se con­tra el in­ter­net de las co­sas. Qui­zá sus pri­me­ros ob­je­ti­vos sean los dis­po­si­ti­vos usua­les en la in­dus­tria, los instrumentos mé­di­cos co­nec­ta­dos, los fu­tu­ros co­ches... Se­ría in­ge­nuo por nues­tra par­te ha­cer pre­dic­cio­nes so­bre có­mo se com­por­ta­rán.

¿Qué su­po­ne que es­pe­ran ob­te­ner? Lo de siem­pre: di­ne­ro. La di­fe­ren­cia es­tri­ba en las ma­ne­ras más di­rec­tas o más in­ge­nio­sas de con­se­guir­lo. Po­dría ha­ber mo­de­los crea­ti­vos, como la pa­ra­li­za­ción re­mo­ta de dis­po­si­ti­vos pa­ra exi­gir un res­ca­te. Se me ocu­rren mu­chas po­si­bi­li­da­des, pe­ro mi tra­ba­jo es com­ba­tir­los, no dar­les ideas.

La ra­zón por la que no nos preo­cu­pa­mos tan­to como de­be­ría­mos es que no sa­be­mos lo su­fi­cien­te so­bre lo que se nos vie­ne en­ci­ma” Lle­ga­rá el día en que un hac­ker en­cuen­tre un mo­ti­vo y un mo­do de ex­plo­tar los fa­llos de nues­tras ‘co­sas’ co­nec­ta­das”

AR­CHI­VO

Ja­mes Ly­ne, di­rec­tor de in­ves­ti­ga­ción de la em­pre­sa Sop­hos, una de las más no­to­rias del pro­lí­fi­co mer­ca­do de la ci­ber­se­gu­ri­dad

Newspapers in Spanish

Newspapers from Spain

© PressReader. All rights reserved.