¿Qué es el internet de las cosas? El
Internet of Things (IoT) es un término usado para todos aquellos aparatos
diferentes a una computadora que tienen conexión a internet. Ejemplos sobran.
Un refrigerador, una cámara de vigilancia vía web, una tele de las llamadas “inteligentes”,
tal vez una lavadora o un tostador de pan. Son aparatos que tienen internet para
diversos propósitos (por cierto, muchos de ellos, en verdad, inútiles).
Está la
cámara que sin necesidad de una computadora envía video a internet para que el usuario
lo pueda ver en su teléfono. O el refrigerador que “sabe”: ya no tiene leche y
la compra automáticamente en el supermercado. ¿Un tostador? Todavía no entiendo
para qué querría un tostador tener internet, pero eso no importa, no hay que
quedarse atrás en esta moda de “todo conectado a internet”.
Hasta aquí todo va bien. Suena conveniente tener una cámara directamente
conectada a internet. O adquirir la ya conocida tele con “apps” de internet
para ver cómodamente y a la hora que uno quiera la serie de The Walking Dead. ¿Qué podría salir mal?
La respuesta es conocida: la seguridad. Los fabricantes de estos aparatos
tienen en mente que sus productos funcionen para venderlos lo mejor posible.
Pero no tienen a la seguridad informática como una de sus prioridades. O bien
carecen de una seguridad aceptable, o de plano no tienen nada que los protejan.
Pero no nos quedemos en la teoría diciendo lo peligroso que podrían ser
estos aparatos conectados a internet si Júpiter está alineado con Marte y
Saturno. ¿Necesitamos alineación de planetas? No, en el mes de octubre un proveedor
de internet sufrió un embate llamado “denegación de servicio”.
Es como sucede
cuando regresamos de Cuernavaca en un puente: miles y miles de autos queriendo
pasar por la caseta de cobro para entrar a la Ciudad de México en un corto
periodo de tiempo. Las casetas no se dan abasto.
Los autos crearon una
denegación de servicio porque por más que las casetas atiendan rápido e inclusive
abran un par más de ellas, los autos siguen llegando. Y el servicio está
degradado a tal punto que en cierto sentido, está negado. De ahí el término de
denegación de servicio.
Lo que hacen los criminales en línea es de manera artificial enviar miles y
miles de autos maliciosos a las casetas de cobro, para que los verdaderos vacacionistas
tarden tanto en pasar la caseta que será casi como si la caseta estuviera
cerrada. Denegación de servicio.
El truco radica en cómo crear autos maliciosos
de manera artificial en cantidades exorbitantes para enviarlos a la caseta de
cobro. Aquí es donde entran nuestros amigos del internet de las cosas.
Imaginen a esa cámara conectada directamente a internet. Supongamos que
tiene una contraseña xc3511 para poder administrarla. Pero lo malo es que esa es
por default, de esas que el fabricante pone en todos los modelos de un
producto.
Basta que el hacker averigüe la contraseña de una para saber que
todas las cámaras de ese modelo de ese fabricante tiene la misma por default
xc3511 para poder entrar al dispositivo como administrador y adueñarse de la
cámara.
Ahora creará un programa malicioso: buscará una y otra vez con rapidez
este tipo de cámaras conectadas a internet. Y una vez que el programa las
halle, de inmediato realiza una conexión con el password por default
todopoderoso y ¡kaputt!
Miles de cámaras son controladas por el hacker. Y así
hace con televisiones u otros aparatos conectados a internet que son
vulnerables y que pueden ser controlados.
¿Ven a dónde va la historia? Los autos maliciosos son las cámaras y
refrigeradores controlados por el hacker. La caseta de cobro es en este caso el
proveedor de internet Dyn que presta servicios de conexión a por ejemplo Twitter.
Este proveedor sufrió en octubre una denegación de servicio de millones de
dispositivos haciéndole peticiones de red inútiles con el fin de que los
clientes de Dyn no obtuvieran el servicio de conexión. El virus que contagió a
cámaras y demás dispositivos en la red tiene nombre: Mirai. Para más
información de este suceso, busquen “Dyn DoS mirai”.
Es todo un reto mantener a las computadoras con una seguridad razonable,
donde no existan contraseñas por default y tengan sus parches de seguridad.
Imagínense ahora el reto de dejar en manos de los usuarios el hecho de cambiar
las contraseñas por default de sus tostadores de pan. Y de estarles aplicando
parches de software de seguridad a la cámara web o al refrigerador.
Me pregunto si los fabricantes del llamado internet de la cosas aprendieron
la lección de hace ya varias décadas donde los sistemas de cómputo surgieron
sin una seguridad en mente. Y eso costó y sigue costando caro a todos los que
usamos la red.
El internet de las cosas nos parecerá algo conveniente “¡qué
idea tan buena que mi foco tenga conexión a internet!” Pero tras bambalinas es
un juguete más conectado con nula o mediocre seguridad informática y donde sin
así quererlo, estaremos participando en ataques a gran escala contra internet,
cortesía de nuestro tostador y tele “inteligente”.