Miles de millones de dispositivos ahora están conectados a internet. ¿Los hackers podrán ponerlos en contra nuestra?
En 2009, cuando los consumidores habían empezado a comprar termostatos y cámaras para la puerta de la casa con capacidad de wifi y otros dispositivos que ahora conforman el “internet de las cosas”, el científico en computación Ang Cui tuvo la idea de escanear la red en busca de dispositivos habilitados, pero “trivialmente vulnerables”.
Por triviales él se refería a aquellos dispositivos que todavía usaban los nombres de usuario y contraseñas programados en la fábrica, obviamente eran nombres de usuario como “nombre” y contraseñas como “1234”. Muchos de estos códigos eran publicados en manuales disponibles gratuitamente en internet y escaneados fácil y automáticamente con programas de computadora, así que no era necesario siquiera adivinar.
Cuando hizo su escaneo, Cui halló más de un millón de dispositivos vulnerables y disponibles públicamente en 144 países. A partir de esta muestra, calculó que alrededor de 13 por ciento de todos los dispositivos conectados a internet eran esencialmente puertas sin cerrar, esperando a que un hacker entrara. Todavía más alarmante, cuatro meses después, 96 por ciento de esos dispositivos tenían los mismos agujeros de seguridad.
Lee: Pareja austriaca ordena ropa por internet y recibe pastillas de éxtasis
La advertencia de Cui no fue menos aterradora con su habla inexpresiva: “Ampliamente desplegados y a menudo mal configurados, los dispositivos con red habilitada constituyen objetivos altamente atractivos a la explotación”.
En la década que ha transcurrido desde entonces, la cantidad de dispositivos vulnerables conectados a internet se ha septuplicado. La explosión deriva de la demanda creciente, alimentada por el bombo publicitario, por los dispositivos inteligentes. Los fabricantes ahora se tropiezan solos para habilitar casi cualquier objeto ordinario con computadoras diminutas que se comunican alegre e inalámbricamente con el mundo a su alrededor.
En esta revolución “inteligente”, prácticamente cualquier dispositivo con un interruptor de encendido/apagado o botón de subir/bajar puede ser controlado remotamente con un teléfono celular o sensor de voz. ¿Quieres subir la temperatura, atenuar las luces y encender la secadora sin levantarte del sofá, con solo decirle tu deseo a un Amazon Echo? ¿Quieres que tu tostador le mande un mensaje al televisor cuando la rosca esté lista? ¿Quieres que tu horno te informe que el guisado se ha cocido los 20 minutos prescritos a 350 grados y ahora se enfría en la cocina a 200? El internet de las cosas puede hacer que todo esto suceda.
Hay un lado oscuro en esta revolución inalámbrica de lo conveniente. El peligro va más allá del hackeo. Al contrario del “internet de computadoras” tradicional, el cual está circunscrito a un mundo “virtual” digital, el internet de las cosas tiene una conexión directa con el físico. Esto abre una serie perturbadora de preguntas: ¿qué pasaría si las computadoras dentro de nuestros modernos hornos tostadores, cámaras de seguridad o ciudades inteligentes se pusieran en contra nuestra? ¿En verdad podemos confiar en el internet de las cosas?
La mayoría de los expertos en seguridad cibernética son tajantes en su respuesta a esa última pregunta: “No”, dice Ben Levine, alto director de manejo de producto y criptografía en Rambus, una compañía de tecnología con oficinas en Sunnyvale, especializada en el rendimiento y protección de datos. “Mi respuesta breve, justo ahora, es no”.
Al contrario del “internet de computadoras”, que ha sido creado en gran medida por técnicos con experiencia en tecnología informática o ciencias computacionales, muchos fabricantes que hacen los dispositivos ahora carecen del dominio necesario para construir sistemas herméticos. Algunos no se percatan de la importancia de hacer esto. Como resultado, las posibilidades para una mala conducta parecen interminables, un hecho que Cui y otros expertos en seguridad cibernética han demostrado en múltiples ocasiones.
¿TU VIBRADOR TE ENGAÑA?
Algunas de las explotaciones más creativas en meses recientes provienen del laboratorio de Alvaro Cardenas, quien retó a sus estudiantes en la Universidad de Texas, campus Dallas, el año pasado, a vulnerar una gama amplia de dispositivos del internet de las cosas. Entre otras cosas, ellos lograron encender y secuestrar un dron y demostrar que podían usarlo para atacar a una víctima inocente, al estilo kamikaze, o transmitir video y audio de un vecino. Hackearon un popular juguete infantil, un pequeño dinosaurio parlante conectado a internet para que pudiera recibir actualizaciones. Luego, demostraron que podían controlar el juguete y usarlo para insultar al niño, instigar conversaciones inapropiadas (usando la voz confiable del juguete) o decirle al niño qué hacer.
Demostraron que podían controlar cámaras conectadas a internet para espiar en las casas. Incluso identificaron la existencia de “dispositivos delicados” —vibradores— que a veces usa el militar personal en el extranjero para tener relaciones sexuales virtuales y remotas con sus parejas. No solo fueron capaces de obtener uso privado de información, advirtieron que era posible imitar a una “pareja confiable” y “cometer abuso sexual remoto”.
Cardenas reportó sus hallazgos a los fabricantes de dispositivos y el centro de Coordinación CERT, un grupo de investigación y desarrollo sin fines de lucro, pero con financiamiento federal que trabaja con las empresas y el gobierno para mejorar la seguridad de internet. Luego, entregó un ensayo a IEEE, una asociación profesional de ingeniería electrónica e ingeniería eléctrica, la cual publicó sus hallazgos en un número especial este otoño.
“Estos ataques demuestran cómo las tecnologías del internet de las cosas están desafiando nuestras presunciones culturales sobre seguridad y privacidad y, con suerte, motivará un mayor énfasis en las prácticas de seguridad y privacidad de los desarrolladores y diseñadores del internet de las cosas”, escribieron. (Después de que se publicó el ensayo, todos los fabricantes respondieron y trataron de arreglar las vulnerabilidades, excepto las compañías de drones.)
MULTIPLICADOR DE FUERZA
A finales de 2018, más de 23,000 millones de dispositivos del internet de las cosas habían sido instalados mundialmente. Muchos consumidores que compran estos dispositivos inteligentes actualmente no se molestan en conectarlos a su wifi, lo cual significa que esencialmente están fuera de línea y fuera del alcance de los hackers. Pero esto podría cambiar conforme los fabricantes siguen promocionando los beneficios de la conectividad. Y se espera que la cantidad de dispositivos se más que triplique, a 75,000 millones, para 2025.
La pura cantidad de dispositivos vulnerables les da a los hackers una ventaja poderosa. El ataque Mirai de 2016, el cual tal vez fue inspirado por el ensayo original de Cui, ilustra cuán peligrosa se ha vuelto la amenaza. Paras Jha, un hombre de Nueva Jersey callado, socialmente inepto que abandonó la universidad, administraba un negocio lucrativo rentando espacio en su propio servidor privado de computadora a otros aficionados al videojuego Minecraft, para que pudieran jugar en privado con sus amigos. Suena placentero, pero el negocio es despiadado. Una táctica común de Jha y sus rivales era hackear las computadoras caseras de gente desprevenida, secuestrarlas con malware e instruirlas para que enviasen torrentes de mensajes y datos indeseados a las máquinas de sus rivales, sobrecargándolas y, con suerte, tirándolas, lo que se conoce como un ataque de denegación de servicio distribuido (DDoS).
Los clientes desprevenidos, frustrados por el servicio “poco confiable”, entonces eran un blanco fácil para la caza furtiva.
Entérate: Ecuador investiga publicación de datos privados de casi toda su población en internet
En 2016, Jha y dos amigos de Minecraft que conoció en línea decidieron hacer algo peor que sus rivales. No solo hackearon computadoras de escritorio, también la miriada de cámaras de seguridad, enrutadores inalámbricos, grabadoras digitales de video, electrodomésticos de hogar y otros dispositivos del internet de las cosas. Como Cui antes que él, Jha y sus amigos escribieron un programa que escaneó internet para ubicar dispositivos vulnerables. Pero al contrario de Cui, ellos en verdad plantaron un malware en la máquina y la controlaron. Con la ventaja de la proliferación de dispositivos inteligentes, el ejército de bots zombis de Jha creció más rápido de lo que habría imaginado: al final del primer día, se había apropiado de 65,000 dispositivos; según algunos cálculos, su ejército zombi llegó a 600,000.
El ataque, apodado “Mirai” (“el futuro”) por una serie japonesa de televisión, fue tan poderoso que Jha no se contentó con derribar a sus rivales insignificantes de Minecraft. También dirigió la nueva arma contra el enorme proveedor francés de telecomunicaciones OVH, el cual albergaba una herramienta poderosa de la que dependían sus rivales para defenderse de sus ataques. Finalmente, los policías se dieron cuenta. Jha fue multado con 8.6 millones de dólares y 2,500 horas de servicio comunitario trabajando para el FBI.
Cui, ahora de 36 años y fundador y director ejecutivo de Red Balloon Security, a menudo da charlas en conferencias de hackers vistiendo una camiseta, un collar de cuentas y un chongo varonil, y gana buen dinero aconsejando a las compañías cómo protegerse en un mundo cibernético hostil. Él continúa maravillándose de cuán poco se ha hecho para parchear no solo la vulnerabilidad que su ensayo identificó, sino muchas otras que, cree, posiblemente podrían provocar aún más daño.
Aun cuando las compañías de seguridad que sirven a las compañías grandes y bien financiadas como aquellas afectadas en los ataques Mirai han ideado nuevas maneras de defender los servidores de sus clientes en contra de ataques DDoS, muchos fabricantes de dispositivos del internet de las cosas están haciendo poco, si es que algo, para proteger al resto de nosotros de una mala conducta cibernética —no solo un reclutamiento de dispositivos zombis, sino también espionaje, sabotaje y explotaciones que los expertos en seguridad argumentan que deberían suscitar profundas preocupaciones de privacidad y seguridad.
La responsable de la negligencia es, según cree Cui, una mentalidad de fiebre del oro para hacerse con porciones del mercado en el negocio pujantes de los dispositivos del internet de las cosas. En los últimos cinco años, el bombo publicitario por el internet de las cosas se ha vuelto tan candente que muchas empresas emergentes financiadas con capital de riesgo en el campo de los dispositivos de consumo general —e incluso algunos fabricantes— están añadiendo conectividad a internet, apresurándose a sacar sus productos al mercado y decidiendo arreglar después cualesquiera fallas de seguridad. Algunos ni siquiera han pensado en la seguridad en absoluto.
“Tienes que dedicarle tiempo y recursos para hacerte cargo de la seguridad”, dice Cui. “Pero hay mucho dinero de capital de riesgo, y ellos quieren sacar con mucha rapidez una cosa que tenga una característica del internet de las cosas que piensan que podría gustarle al mercado”.
El dinero se gasta principalmente en desarrollar dispositivos nuevos. “El problema al momento es que en realidad no hay un incentivo para la seguridad”, dijo Cardenas a Newsweek. “La seguridad usualmente queda en segundo plano en estos productos”. La mayoría de los consumidores no está consciente de los peligros y no exigen protección. Y los fabricantes de dispositivos no tienen la obligación de proveerla.
En un laboratorio del Instituto de Tecnología de Georgia, Manos Antonakakis, un profesor adjunto de la escuela de ingeniería eléctrica y computacional, y el científico investigador Omar Alrawi, también han investigado las grandes vulnerabilidades de seguridad del internet de las cosas emergente. Antonakakis señala que, aun cuando hay una clase de vendedores reconocidos que “por lo menos tratan de hacer bien la seguridad en algunos casos”, incluso grandes fabricantes están bajo la presión de apresurarse a sacar nuevos producto del internet de las cosas al mercado actual. “Se requiere de mucha garantía de calidad y pruebas, y análisis de penetración y análisis de vulnerabilidad para hacerlo correctamente”, dice. Pero la premura de sacar al mercado “origina desacuerdos violentos con las prácticas demostradas de seguridad”.
Muchas de las compañías tecnológicas más grandes han invertido tremendamente para acceder al mercado de los dispositivos de “hogar inteligente”, una de las áreas de más rápido crecimiento de dispositivos del internet de las cosas. Amazon está entre quienes dominan el mercado de los centros de control inteligentes, junto con Google, el cual compró al fabricante de termostatos digitales Nest en 2014 por 3,200 millones de dólares. Desde entonces, Google lo ha expandido para convertirlo en un centro de control digital que también incluye detectores de humo y sistemas de seguridad como timbres y cerraduras inteligentes. Samsung tiene el centro de control SmartThings, el cual adquirió en 2014 por 200 millones de dólares, y ahora se conecta con aires acondicionados, lavadoras y televisores. Apple tiene un equipo casero que puede controlar cualquier cantidad de dispositivos a través de comandos de voz dichos cerca de su HomePod.
VULNERABILIDADES ENORMES
En cuanto estos sistemas son instalados, los dispositivos de una cantidad creciente de compañías se pueden añadir a la red casera, incluidos aquellos hechos por fabricantes reconocidos de electrodomésticos caseros como GE, Bosch y Honeywell. Belkin hace una línea de electrodomésticos conectados que incluyen una Olla Crock-Pot de cocción lenta inteligente WeMo, una cafetera Mr. Coffee inteligente y un humidificador casero inteligente. Hay mucho dinero que ganar. En total, para finales de 2019 se habrán generado más de 490,000 millones de dólares en ganancias con los casi 2,000 millones de dispositivos de consumo general vendidos en los 12 meses anteriores, según la consultora de administración de propiedades iProperty Management.
Para tratar de llamar la atención sobre los peligros —y las cosas que los consumidores deberían preguntar cuando compran productos nuevos del internet de las cosas—, Antonakakis y Alrawi, en colaboración con investigadores de la Universidad de Carolina del Norte, campus Chapel Hill, han desarrollado un sistema de calificación y han empezado a evaluar la seguridad de una gama amplia de dispositivos del internet de las cosas. Y sorprendentemente, hallaron vulnerabilidades enormes en dispositivos y sistemas producidos incluso por algunas de las compañías con más conocimiento tecnológico.
La vulnerabilidad de los dispositivos del internet de las cosas va más allá de agujeros en la protección de contraseñas, la vulnerabilidad expuesta por el ataque Mirai, argumentan ellos. También se puede acceder a los dispositivos del internet de las cosas y controlarlos directamente a través de la red casera a la que están conectados, y esa red casera solo es tan fuerte como su eslabón más débil. Ello significa que incluso si cada dispositivo viene con contraseña y nombre de usuario únicos, no es necesariamente seguro. En cuanto los hackers hallan una manera de entrar en la red casera a través de un dispositivo vulnerable, el camino a menudo está abierto de par en par al resto de la red.
Para asegurar un dispositivo del internet de las cosas, argumentan, los fabricantes necesitan parchear vulnerabilidades en cuatro áreas diferentes: acceso directo al dispositivo, la aplicación móvil usada para administrarlo, la manera en que se comunica con su red casera y, en muchos casos, el servidor alojado en la nube que los fabricantes usan para sacar actualizaciones, recopilar datos del usuario o proveer servicios nuevos.
Hacer bien todo eso no es fácil. Para que un vendedor asegure las cuatro partes, señala Alrawi, necesita un buen equipo de desarrollo de aplicaciones móviles “que sepa de desarrollo seguro”, un “equipo de sistema que haga un muy buen desarrollo del sistema habilitado y desarrollo seguro” y expertos en la nube que puedan diseñar un “soporte” seguro en la nube que le permita al dispositivo ser administrado sin exponerlo a un riesgo adicional. Finalmente, los fabricantes de dispositivos necesitan alguien que tenga conocimiento de redes sobre cómo construir protocolos de internet eficientes y seguros y qué protocolos evitar.
“Tienen que equilibrar todo esto con la usabilidad”, dice. “Así, puedes ver que esto ya se está volviendo en verdad de manejar solo mentalmente. Cuando un equipo emergente al que se le ocurre una buena idea quiere introducir un producto al mercado, por lo general es un equipo pequeño que no tiene toda la pericia. Pero incluso con los grandes vendedores, algunos de estos problemas son en verdad difíciles de precisar y manejar”.
De hecho, aun cuando Antonakakis, Alrawi y su equipo le dan calificaciones relativamente altas en seguridad de dispositivo a los productos principales como el Amazon Echo y la Belkin Netcam, les dieron sietes, seises y cincos en seguridad de red, una medición de cuán protegidos están estos dispositivos de los intrusos que logran acceder a la red casera inalámbrica a través de otros dispositivos vulnerables. Y aun cuando cierta cantidad de dispositivos asociados con los productos caseros inteligentes Nest de Google (como termostatos, detectores de humo, cerraduras y timbres inteligentes) reciben dieces y nueves en seguridad del dispositivo y la red, obtuvieron sietes y seises en protecciones móviles y de la nube, lo cual significa que un hacker ingenioso con la intención de, digamos, abrir la puerta del frente, todavía podría acceder al hogar.
La categoría de la nube es la más preocupante. Ya que muchos de estos servicios están alojados en la nube y conectados con los servidores centrales de la compañía, si un hacker con determinación y bien financiado —digamos, China, Corea del Norte o Rusia— fuera a usar el mismo tipo de explotaciones sofisticadas que se han usado para evadir la seguridad en el internet de computadoras tradicional, quién sabe qué podría hacer.
“Estamos hablando de obtener acceso a potencialmente millones de hogares, y cuando eso suceda, piensa en todos los micrófonos y cámaras y activadores que tienes por toda tu casa, y multiplica eso por toda la gente que usa estas cosas”, dice Cui.
“Muchos consumidores no entienden del todo los riesgos asociados con instalar algunos de estos dispositivos en sus hogares”, añade Alrawi.
Hasta que lo hagan, hay pocas probabilidades de que cambie la situación. Muchos expertos se preguntan qué precio tan grande tendremos que pagar antes de que eso suceda. “Es un desorden”, dice David Kennedy, un experto en seguridad cibernética que diseña seguridad para una gama amplia de fabricantes y ha dado testimonio ante el Congreso de Estados Unidos sobre el internet de las cosas. “Un desorden absoluto. Entramos en esto muy ciegos, sin muchas discusiones de seguridad sobre cuáles serán los impactos en nuestras vidas y en nuestra seguridad”.
Kennedy, cuyo título actual es director ejecutivo de la compañía TrustedSec, ha hackeado una buena cantidad de dispositivos al paso de los años para demostrar su punto, incluidos televisores inteligentes, termostatos, refrigeradores inteligentes, limpiadores robóticos de casas y controladores que están conectados a la red eléctrica. Pero la preocupación más grande de Kennedy al momento está en el área de la seguridad automotriz.
Ya ha habido algunas historias admonitorias. En 2015, Fiat Chrysler tuvo que emitir una retirada de seguridad que afectó a 1.4 millones de vehículos en Estados Unidos para que pudiera parchear vulnerabilidades de software, después de que dos investigadores de seguridad hackearon el sistema de entretenimiento conectado a internet de una Jeep Cherokee que llevaba a un reportero de revista, tomaron el control del vehículo, subieron el radio y el aire acondicionado, luego pararon el tránsito en medio de una autopista.
El problema, dice Kennedy, es que la mayoría de los autos tiene decenas de piezas diferentes de tecnología, muchas de las cuales están conectadas directamente a internet para permitirles transmitir información necesaria de mantenimiento preventivo. Pero la fabricación de estos dispositivos diferentes del internet de las cosas a menudo es subcontratada a decenas de contratistas diferentes, lo cual dificulta logísticamente el proveer actualizaciones de seguridad y parches cuando se descubren nuevas vulnerabilidades de seguridad. (Él señaló a Tesla como la gran excepción porque, argumenta, es “primero un fabricante de software y luego un fabricante de autos”, y por lo tanto sabe cómo construir sistemas seguros.)
La idea de producir con regularidad actualizaciones preventivas de seguridad para parchear vulnerabilidades descubiertas recientemente en autos conectados al internet de las cosas —una práctica estándar en productos como Microsoft Windows y el Apple iPhone— es nueva y todavía no se ha incorporado en la industria automotriz.
“No puedo decir para cuáles fabricantes de autos he hecho trabajo de valoración, pero puedo decirte que he trabajado para una buena cantidad de ellos, y las prácticas de seguridad necesitan mucho trabajo”, dice. “No están produciendo parches para los autos, lo cual los hace extremadamente vulnerables a ataques específicos, desde escuchar furtivamente en tu auto hasta sacarte del camino”.
El escenario de pesadilla es controlar una flotilla completa, en el que una persona mala hackea autos diferentes en todo el mundo para provocar un caos masivo. “Eso es definitivamente algo posible ahora con estos autos interconectados, no hay duda de ello”, dice Kennedy. “Alguien perderá la vida y luego, finalmente, más o menos por reflejo arreglarán toda la industria. Pienso que eso es lo que se requerirá para cambiar la mentalidad de los fabricantes de autos”.
Los legisladores en algunas jurisdicciones empiezan a meterse en las aguas turbias de la regulación del internet de las cosas. En enero, California será el primer estado que implemente una ley de seguridad del internet de las cosas. El proyecto de ley, aprobado en 2018 con una fecha límite de 2020, exigirá a las compañías que hacen dispositivos conectados que los equipen con “características de seguridad razonables”, requiriendo explícitamente que cada dispositivo contenga una contraseña única o requiera que el usuario genere una antes de usar el dispositivo del internet de las cosas por primera vez, apuntando a parchear la vulnerabilidad explotada tan exitosamente en la explotación Mirai y los ataques imitadores que lo siguieron.
Sin embargo, más allá de esto, la ley parece haber sido escrita para ser vaga a propósito, dando espacio para mayor guía estatal en el futuro.
Los expertos en seguridad cibernética le han pedido al gobierno federal de Estados Unidos que tome acciones para regular la industria. La Cámara de Representantes de Estados Unidos en mayo pasado presentó un proyecto de ley, por la tercera sesión consecutiva, que exigiría al Instituto Nacional de Estándares y Tecnología (NIST) del Departamento de Comercio de Estados Unidos el desarrollar los estándares recomendados para dispositivos del internet de las cosas, y le asignaría a la Oficina de Administración y Presupuesto (OMB) la tarea de emitir guías para las agencias que se alineen con los requerimientos del NIST. La ley también exigiría al NIST que ofrezca guías sobre revelación de vulnerabilidades y reportes sobre amenazas de seguridad cibernética del internet de las cosas.
Hace dos años y medio, el NIST comenzó un programa para analizar el problema, y el verano pasado solicitó comentarios públicos sobre una serie voluntaria de “referencias” mínimas de funciones de seguridad que cualquier dispositivo con capacidad de internet debería ofrecer, ya sea pensada para los consumidores, las empresas o las agencias federales, dice Katerina “Kat” Megas, gerente del programa Seguridad Cibernética para el Internet de las Cosas del NIST.
Entre ellas, cada dispositivo debe tener un número único o identificador asociado con él que se muestre en la red, lo cual facilitaría el ubicar con rapidez y desconectar la fuente de cualquier problema que surja, una característica que muchos dispositivos del internet de las cosas actualmente no ofrecen. Otras características manejarían el acceso a cada dispositivo a través de métodos seguros de autentificación del usuario; protegerían la información mediante encriptarla, y proveerían actualizaciones de seguridad y eventos cibernéticos con registro para que los investigadores puedan rastrear cómo se desarrollan los problemas.
Pocos expertos tienen ilusiones de que estas medidas resuelvan el problema pronto. Los estándares serían voluntarios. E incluso si el Congreso de Estados Unidos promulgase leyes haciendo obligatorios los estándares de seguridad, una vulnerabilidad enorme de la seguridad permanecería: los mismísimos usuarios.
“No importa cuán fuerte sea tu sistema, solo es tan fuerte como tu eslabón más débil, y el eslabón más débil siempre es el humano”, dice Jason Glassberg, cofundador de Casaba Security, una de las principales compañías de seguridad cibernética.
“Las grietas más grandes, los ataques más grandes en mayor medida, no se han debido a algún ataque técnico supersignificativo. Han sido porque alguien fue engañado para ceder sus credenciales. Han sido engañados para hacer clic en una liga que instaló malware o les pidió que dieran su contraseña. Y ciertamente esto no cambia en el mundo del internet de las cosas”.
—
Publicado en cooperación con Newsweek / Published in cooperation with Newsweek
