La internet de las cosas, presa fácil de los ciberataques
Cámaras, altavoces, routers..., los dispositivos conectados revelan la debilidad de la red
El ciberataque masivo que se produjo el pasado viernes ha puesto una vez más de manifiesto la debilidad de la red. Los dispositivos de la llamada internet de las cosas (cámaras, altavoces, televisores, routers, impresoras...), utilizados en el ataque, son el eslabón más débil del sistema.
El pasado viernes internet sufrió el que ya es el mayor ciberataque de denegación de servicio (DDoS) de su historia. Pero la gran novedad fue el uso a gran escala de dispositivos pertenecientes a lo que se llama la internet de las cosas (IoT). En concreto cámaras con conexión a internet. Según un informe de la consultora Gartner, actualmente hay en todo el mundo unos 6.000 millones de dispositivos del IoT, y se calcula que en el 2020 habrá 20.000 millones. Si estos no son seguros y se pueden usar para ciberataques, el problema puede ser mayúsculo.
Si la semana pasada los hackers usaron cámaras fue, en opinión de Luis Corrons –director técnico de Panda Security– porque “hay muchas, funcionan todo el día, y una vez instaladas y configuradas nadie se acuerda de ellas ni las supervisa”.
Del peligro avisaba hace apenas un mes Bruce Schneier, uno de los gurús de la seguridad en internet, que publicaba un artículo cuyo título no dejaba muchas dudas: Alguien está aprendiendo cómo echar abajo internet. Corrons está convencido de que en un futuro próximo viviremos más ataques usando el IoT. “Es muy fácil escanear internet en busca de aparatos con vulnerabilidades en su software”, dice Corrons, que añade que “con el IoT todo el tema de la seguridad está un poco roto, y es muy fácil comprometer miles de estos aparatos, porque parece que su seguridad no vaya ni con los fabricantes ni con sus usuarios”.
El director técnico de Panda explica que el problema fundamental es que los fabricantes ponen a todos los equipos exactamente el mismo usuario y contraseña por defecto. Los usuarios usan este par para acceder a una web y configurar los equipos, pero no los cambian nunca. El resultado es que si un hacker descubre el par por defecto de un determinado fabricante, ya tiene el control de todos los aparatos iguales de ese fabricante en concreto. De esta manera el pirata consigue un auténtico ejército de zombis para atacar cuando él lo ordene con un sólo clic. Las cámaras implicadas en el ataque a Dyn eran todas de un mismo fabricante chino. Además, la información personal que un pirata puede obtener de este tipo de equipos es de poco valor económico y, por tanto, el único interés que tiene para un hacker es “para usarlo como vector de ataque”, dice Jordi Serra, profesor de la UOC y experto en seguridad informática.
Serra explica que el ataque que colapsó internet el viernes empezó de hecho cuando alguien publicó en la red el código de Mirai, un botnet que escanea la red para encontrar dispositivos del IoT que hackear. Eso fue como liberar a la bestia.
El segundo gran problema es, según Corrons, que las vulnerabilidades en el firmware del IoT se corrigen con actualizaciones, y ni los propietarios lo actualizan ni los fabricantes fuerzan ni obligan a actualizaciones automáticas. Tampoco hay antivirus ni antimalwares para el IoT, ya que los aparatos ni tienen suficiente memoria ni su firmware es suficientemente potente como para soportarlos. En opinión de Serra, hacer que los soportaran haría que estos gadgets fueran más caros. De todas formas, Corrons opina que los fabricantes sí deberían tener en cuenta la seguridad desde la concepción misma de este tipo de dispositivos. Muchas de las cosas que hoy se conectan a internet ya las usábamos antes, y no “pensamos que una vez conectadas, se vuelven inseguras”, dice Corrons.
Para terminar de complicar las cosas y ponérselo aún más fácil a los hackers, el entorno inalámbrico en el que se mueve internet tampoco ayuda. Xavier Vilajosana es el investigador principal del grupo de investigación Wireless Networks Research Group de la UOC, y en su opinión en un internet sin hilos, los DDoS son más fáciles, ya que hay muchos aparatos que comparten la conexión en un mismo canal. La solución sería –dice el investigador–
Los fabricantes ponen el mismo usuario y contraseña por defecto a todos los equipos, y los usuarios no los cambian
que los dispositivos del IoT cambiaran de canal cada vez que se conectan a la red o cada vez que transmitieran datos. En opinión de Vilajosana, que haya tantos equipos compartiendo canales puede –a la larga– conllevar problemas de saturación de la red wifi.
Los más inocentes de todos son los propios usuarios, que casi nunca se dan cuenta de que sus dispositivos han sido pirateados. Albert Agustinoy –socio del bufete Cuatrecasas, Gonçalves Pereira– dice que a los propietarios sólo les obliga un compromiso de diligencia, o sea tener el equipo en condiciones para que funcione para el uso para el que fue diseñado. En ningún caso se les puede imputar nada en caso de que sus equipos sean hackeados. Distinto es el caso de los fabricantes, que si deben someter a sus productos a procesos de homologación técnica. En este sentido, Vilajosana dice que la tecnología del IoT sigue unos protocolos estandarizados, y que los grupos de trabajo que los desarrollan también tienen muy en cuenta la seguridad. “La misma seguridad que se implementa en la red, se implementa en el IoT”, dice Vilasojana.
La Comisión Europea tiene claro que el IoT puede resultar un auténtico dolor de cabeza para la seguridad en la red. Por eso, tiene previsto aprobar una legislación –prevista para el próximo mes de noviembre– que obligará a los fabricantes a informar como mínimo del nivel de seguridad de los equipos que vendan, con un sistema de etiquetas parecido al que ahora se usa para informar de la calificación energética de los electrodomésticos.
El entorno inalámbrico tampoco ayuda, y hace más fácil los ataques del tipo denegación de servicio