“Los hackers se entrenan para el internet de las cosas”
Con frecuencia en el último año, en el suplemento Dinero, hemos entrevistado a directivos de empresas de ciberseguridad. Cada uno en su papel, todos han subrayado que es un tema candente y permanente; pero ninguno ha podido decir que su solución es concluyente.
Este domingo, el abordaje de la cuestión tendrá otro ángulo: en vez de ciberseguridad en general, se ha preguntado por una realidad inquietante: el fenómeno que llaman internet de las cosas (IoT). Esta nueva realidad plantea riesgos de los que lo único que se sabe es que la industria no está preparada para afrontarlos.
Con esta gravedad lo describe el entrevistado de esta semana: James Lyne, director de investigación de la empresa Sophos, una de las más notorias del prolífico mercado de la ciberseguridad.
Todos hablan de las perspectivas del internet de las cosas, pero ¿qué se sabe sobre la seguridad de las cosas conectadas? Poco. Hemos hecho un par de proyectos para investigar las imperfecciones que pudieran tener los dispositivos móviles y las aplicaciones que son consideradas parte del internet de las cosas. Usted, como yo, habrá leído titulares alarmistas; lo que puedo decir es que en cierto sentido se quedan cortos. Para conocer el origen de esos riesgos, dedicamos 5.000 libras a comprar aparatos, algunos de ellos pintorescos, como un cepillo de dientes conectable u otros más corrientes... cosas en el sentido más amplio de la palabra. ¿Con qué resultados? Los instalamos en nuestro laboratorio, los hicimos funcionar durante un tiempo y los hackeamos... Pues, la mayoría de los aparatos que probamos eran horrorosos desde el punto de vista de la seguridad. Sus fallos nos permitieron ejecutar códigos maliciosos, saltarnos la autenticación [...] un catálogo de problemas que, si ocurrieran en una empresa, podrían provocar un desastre. Como los compramos, quiere decir que están en venta, al alcance de cualquiera que les encuentre utilidad.
¿Somos demasiado confiados con los gadgets? Mi impresión es que, pese a esos terribles titulares, nadie se ha dado por enterado del peligro que entrañan estos objetos que son la realidad de IoT ahora mismo a nuestro alcance; no son fantasías tecnológicas: existen y hay gente que los usa. A lo mejor la gente tiene razón de no preocuparse: si alguien se cuela por internet en tu frigorífico, ¿a quién le importa? ¿qué daño podría causar? ¿qué interés tendría un ciberdelincuente en hackear mi frigorífico? Por ahí se empieza, por quitarle importancia al problema.
Sin embargo, nos preocupa mucho la seguridad de nuestros PC y de nuestros móviles. Porque contienen información, porque tememos que quien se apodere de ella pueda chantajearnos, robarnos o usurpar nuestra identidad. Sería un perjuicio real, tangible, más importante que si descongelaran por Internet mi frigorífico y se pudre la lechuga. La razón por la que no nos preocupamos tanto como deberíamos es que no sabemos lo suficiente sobre lo que se nos viene encima.
¿Vendrá pronto? Tardará seis meses, un año o dos, pero llegará el día en que un hacker encuentre un motivo y un modo de explotar los fallos de nuestras cosas conectadas, y no hablo sólo de mi frigorífico [...] La innovación en todo tipo de dispositivos corre tan rápido que las mejoras en la seguridad siempre llegan tarde. Hay empresas, la mayoría de ellas pequeñas, que están creando cosas conectadas; reconozco que son muy buenos en lo suyo, pero descuidan la seguridad. Tome el caso de las aplicaciones que conectan esas ‘cosas’. En un segundo proyecto, analizamos un millar, una por una: ¿estaban cifradas sus conexiones? y, si lo estuvieran, ¿sigue vigente el certificado original que protege el cifrado?, ¿se comunican siempre con el servicio correcto o pueden ser desviadas intencionalmente? Miramos cómo almacenan los datos y cómo gestionan la identidad de quienes tienen acceso a ellos [...] Llegamos a la conclusión de que los desarrolladores, de quienes se espera que por su experiencia sean los más cuidadosos, parecen estar –como los fabricantes– más interesados en acabar cuanto antes sus aplicaciones.
¿Quién tiene la culpa? No hay un culpable: los problemas están tanto en el hardware como en los sistemas operativos y en las aplicaciones. No tiene sentido tratar de resolverlos a la manera convencional, como hemos hecho con el malware en los ordenadores. Estos nuevos dispositivos de IoT tienen arquitecturas embebidas, diferentes sistemas operativos, etcétera. Una solución podría ser el refuerzo de la seguridad en las redes... pero ahora mismo la industria no se ha puesto de acuerdo sobre la topología de las redes por las que pasará el tráfico de IoT. Que se multiplicará, por cierto.
¿Para cuándo se espera que aparezca malware en los dispositivos de IoT que ya existen? Los casos que se han comunicado hasta ahora han sido de muy pequeña escala, da la impresión de que los hackers están acumulando conocimientos sin hacerse notar. Todavía. Hemos visto que crece el número de ataques a routers, y creemos que es una aproximación. Los hackers se entrenan antes de lanzarse contra el internet de las cosas. Quizá sus primeros objetivos sean los dispositivos usuales en la industria, los instrumentos médicos conectados, los futuros coches... Sería ingenuo por nuestra parte hacer predicciones sobre cómo se comportarán.
¿Qué supone que esperan obtener? Lo de siempre: dinero. La diferencia estriba en las maneras más directas o más ingeniosas de conseguirlo. Podría haber modelos creativos, como la paralización remota de dispositivos para exigir un rescate. Se me ocurren muchas posibilidades, pero mi trabajo es combatirlos, no darles ideas.
La razón por la que no nos preocupamos tanto como deberíamos es que no sabemos lo suficiente sobre lo que se nos viene encima” Llegará el día en que un hacker encuentre un motivo y un modo de explotar los fallos de nuestras ‘cosas’ conectadas”