jueves, 27 de octubre de 2016

El Internet de las Cosas ¿Seguras?

¿Qué es el internet de las cosas? El Internet of Things (IoT) es un término usado para todos aquellos aparatos diferentes a una computadora que tienen conexión a internet. Ejemplos sobran. Un refrigerador, una cámara de vigilancia vía web, una tele de las llamadas “inteligentes”, tal vez una lavadora o un tostador de pan. Son aparatos que tienen internet para diversos propósitos (por cierto, muchos de ellos, en verdad, inútiles). 


Está la cámara que sin necesidad de una computadora envía video a internet para que el usuario lo pueda ver en su teléfono. O el refrigerador que “sabe”: ya no tiene leche y la compra automáticamente en el supermercado. ¿Un tostador? Todavía no entiendo para qué querría un tostador tener internet, pero eso no importa, no hay que quedarse atrás en esta moda de “todo conectado a internet”.

Hasta aquí todo va bien. Suena conveniente tener una cámara directamente conectada a internet. O adquirir la ya conocida tele con “apps” de internet para ver cómodamente y a la hora que uno quiera la serie de The Walking Dead. ¿Qué podría salir mal?

La respuesta es conocida: la seguridad. Los fabricantes de estos aparatos tienen en mente que sus productos funcionen para venderlos lo mejor posible. Pero no tienen a la seguridad informática como una de sus prioridades. O bien carecen de una seguridad aceptable, o de plano no tienen nada que los protejan.

Pero no nos quedemos en la teoría diciendo lo peligroso que podrían ser estos aparatos conectados a internet si Júpiter está alineado con Marte y Saturno. ¿Necesitamos alineación de planetas? No, en el mes de octubre un proveedor de internet sufrió un embate llamado “denegación de servicio”. 

Es como sucede cuando regresamos de Cuernavaca en un puente: miles y miles de autos queriendo pasar por la caseta de cobro para entrar a la Ciudad de México en un corto periodo de tiempo. Las casetas no se dan abasto. 

Los autos crearon una denegación de servicio porque por más que las casetas atiendan rápido e inclusive abran un par más de ellas, los autos siguen llegando. Y el servicio está degradado a tal punto que en cierto sentido, está negado. De ahí el término de denegación de servicio.

Lo que hacen los criminales en línea es de manera artificial enviar miles y miles de autos maliciosos a las casetas de cobro, para que los verdaderos vacacionistas tarden tanto en pasar la caseta que será casi como si la caseta estuviera cerrada. Denegación de servicio. 

El truco radica en cómo crear autos maliciosos de manera artificial en cantidades exorbitantes para enviarlos a la caseta de cobro. Aquí es donde entran nuestros amigos del internet de las cosas.

Imaginen a esa cámara conectada directamente a internet. Supongamos que tiene una contraseña xc3511 para poder administrarla. Pero lo malo es que esa es por default, de esas que el fabricante pone en todos los modelos de un producto. 

Basta que el hacker averigüe la contraseña de una para saber que todas las cámaras de ese modelo de ese fabricante tiene la misma por default xc3511 para poder entrar al dispositivo como administrador y adueñarse de la cámara. 

Ahora creará un programa malicioso: buscará una y otra vez con rapidez este tipo de cámaras conectadas a internet. Y una vez que el programa las halle, de inmediato realiza una conexión con el password por default todopoderoso y ¡kaputt! 

Miles de cámaras son controladas por el hacker. Y así hace con televisiones u otros aparatos conectados a internet que son vulnerables y que pueden ser controlados.

¿Ven a dónde va la historia? Los autos maliciosos son las cámaras y refrigeradores controlados por el hacker. La caseta de cobro es en este caso el proveedor de internet Dyn que presta servicios de conexión a por ejemplo Twitter. 

Este proveedor sufrió en octubre una denegación de servicio de millones de dispositivos haciéndole peticiones de red inútiles con el fin de que los clientes de Dyn no obtuvieran el servicio de conexión. El virus que contagió a cámaras y demás dispositivos en la red tiene nombre: Mirai. Para más información de este suceso, busquen “Dyn DoS mirai”.

Es todo un reto mantener a las computadoras con una seguridad razonable, donde no existan contraseñas por default y tengan sus parches de seguridad. Imagínense ahora el reto de dejar en manos de los usuarios el hecho de cambiar las contraseñas por default de sus tostadores de pan. Y de estarles aplicando parches de software de seguridad a la cámara web o al refrigerador.


Me pregunto si los fabricantes del llamado internet de la cosas aprendieron la lección de hace ya varias décadas donde los sistemas de cómputo surgieron sin una seguridad en mente. Y eso costó y sigue costando caro a todos los que usamos la red. 

El internet de las cosas nos parecerá algo conveniente “¡qué idea tan buena que mi foco tenga conexión a internet!” Pero tras bambalinas es un juguete más conectado con nula o mediocre seguridad informática y donde sin así quererlo, estaremos participando en ataques a gran escala contra internet, cortesía de nuestro tostador y tele “inteligente”.