La
fiebre del internet de las cosas estimula el lanzamiento de nuevos productos
cuya seguridad no está preparada para cada tipo de amenaza informática
A
finales de diciembre, un investigador de la empresa de seguridad empresarial
Proofpoint se dio cuenta de algo raro: una puerta de seguridad estaba viendo
pasar cientos de miles de correos maliciosos claramente enviados por más de
100.000 dispositivos con sistema operativo Linux, pero no eran PCs. Eran
aparatos conectados a internet entre los que se incluían routers, televisiones,
centros multimedia e incluso una nevera.
El
director general de la unidad de información de seguridad de Proofpoint, David
Knight, afirma que los atacantes habían montado un botnet -red de robots,
generalmente más habituales en PC- para el internet de las cosas en el que se
ataca a los dispositivos, sin su conocimiento, para que hagan cosas como enviar
spam y albergar pornografía ilegal. Knight espera que, según se vaya
generalizando el uso de dispositivos conectados en el hogar, vayan apareciendo
muchos más de lo que él denomina "thingbots", sobre todo dado que la
seguridad instalada en muchos de estos dispositivos es una sencilla interfaz
web que te pide que establezcas un nombre de usuario y una contraseña.
"Cualquiera
que fuera la seguridad, era inapropiada", afirma Knight, quien sospecha
que los dispositivos se vieron comprometidos aprovechando, simplemente, vulnerabilidades
conocidas de Linux.
Hace
mucho que los hackers causan destrozos en los PC a través de internet, lo que
lleva a robos de datos y ordenadores colgados. Ahora que todo el mundo está
entregado a añadir conectividad a todo tipo de aparatos, desde las ollas hasta
las bombillas, las apuestas son aún más fuertes y más personales (ver "Más
casas conectadas, más problemas"). El antivirus ayudó a los PC, pero no se
puede instalar una suite de programas desarrollados para tu ordenador de
sobremesa en una tostadora inteligente. En consecuencia, los dispositivos
domésticos conectados suelen depender de que el usuario se conecte a internet y
establezca un nombre de usuario y una contraseña para protegerse.
Hay
empresas de tecnología y grupos industriales que afirman que los dispositivos
inteligentes están llegando a los comercios con muy poca protección. Los
expertos en seguridad le echan la culpa a toda una serie de factores: las
start-up pueden dejar la seguridad en segundo plano en sus prisas por lanzar
los productos, y empresas consolidadas que hasta ahora han operado fuera de
línea, como los fabricantes de cadenas de música y televisiones, podrían no
darse cuenta de que tienen que proteger sus productos conectados a internet de
las posibles amenazas.
"No
es que sean estúpidos", afirma el investigador principal de seguridad en
la empresa de seguridad móvil Lookout, Marc Rogers. "Es que es algo con lo
que no han tenido que lidiar hasta ahora".
Así,
mientras las empresas presentan de todo, desde luces inteligentes hasta
cerraduras que puedes controlar con un smartphone pasando por retretes
conectados y aparatos para tomar la tensión, empieza a surgir un movimiento
para hacer que estos productos sean lo más seguros posible.
Para
Rogers en Lookout esto equivale a hackear e, incluso, desmontar físicamente
dispositivos conectados a internet para averiguar dónde residen sus fallos de
seguridad. El verano pasado Rogers y su equipo descubrieron una debilidad en
Google Glass, la computadora portable de Google (ver "Unos investigadores
de seguridad encuentran grietas en Google Glass"). Más recientemente,
Rogers ha estado identificando y comparando las medidas de seguridad en cámaras
y sistemas de entretenimiento con conexión a internet.
"Me
dedico a desmontar cosas y ver: ¿Qué se está haciendo bien? ¿Qué se está
haciendo mal? ¿Cuáles son las lecciones que aprender?", explica.
Igual
que muchas otras empresas tecnológicas, Lookout reconoce la influencia
creciente de los dispositivos conectables a internet, un campo tan de moda que
la semana pasada Google dijo que pagará 3.200 millones de dólares (unos 2.360
millones de euros) para comprar al fabricante de termostatos y alarmas de
incendios Nest. El año pasado había más de 10.000 millones de dispositivos
conectados y esta cifra seguirá creciendo hasta los 50.000 millones en 2020,
según cálculos del fabricante de equipos de red Cisco.
Con
la esperanza de minimizar los riesgos de seguridad que supone todo este
crecimiento, Rogers está desarrollando una serie de estándares de seguridad que
las empresas pueden seguir a la hora de crear productos conectados. No quiere
entrar en detalles sobre qué pueden incluir los estándares para el internet de
las cosas, pero afirma que se inclina por depender de "los estándares más
maduros para internet", y está usando la lista del “Top 10” de riesgos de
seguridad del Proyecto de Seguridad de Aplicaciones para la Web Abierta como guía, ya que detalla muchos tipos de
riesgos que podrían afectar a todo tipo de dispositivos conectados a internet.
"Ahora
mismo creo que todo el mundo va por su cuenta, pero cada vez se oyen más voces
que dicen 'vamos a reunirnos todos, vamos a intentar sincronizarnos en
esto'", afirma.
La
Alianza AllSeen, un grupo industrial del internet de las cosas formado en
diciembre pasado para fomentar la interoperabilidad entre dispositivos
conectados, independientemente de quién sea su fabricante, cree que el software
de código abierto que está desarrollando también podría servir de ayuda.
El
software del grupo se basará en AllJoyn, que es el software de código abierto
para el internet de las cosas del fabricante de chips para smartphone Qualcomm,
que también es miembro del grupo. La presidenta de la Alianza AllSeen y
directora de la unidad AllJoyn de Qualcomm, Liat Ben-Zur, afirma que AllJoyn
permite a los desarrolladores de aplicaciones decidir qué nivel de seguridad
incorporan en la misma, por ejemplo, si encriptan los datos trasferidos de un
cepillo de dientes inteligente a una aplicación móvil o no. AllJoyn también
ofrece ajustes de seguridad más sutiles, afirma, como permitir que un amigo que
esté de visita controle tu aire acondicionado conectado, pero sólo dentro de
una gama de temperaturas fija y sólo durante los dos días que está en la
ciudad.
Ya
empiezan a aparecer métodos para permitir el acceso temporalmente en algunas
cerraduras inteligentes (éstas son de los pocos dispositivos conectados que
hacen gala de su seguridad) que aún no se han lanzado, como Goji, que te
permite establecer horas durante las cuales tus amigos pueden entrar en tu casa
usando sus teléfonos. Sin embargo, por el momento no es lo habitual.
Una
idea parecida a la descrita por Ben-Zur se encuentra en marcha en Mocana, una
empresa de seguridad móvil y del internet de las cosas. Mocana está trabajando
en una especie de producto digital matriz cuyo nombre en código es AoM (siglas
en inglés de "aplicación a máquina") que el director tecnológico de
la empresa, James Blaisdell afirma permitirá a distintos usuarios manejar y
controlar dispositivos a escala, con seguridad, incorporando distintos grados
de autoridad.
Esta
empresa espera sacar su producto a finales de año. En un principio irá dirigido
a aplicaciones industriales, según Blaisdell, como permitir al fabricante de
una turbina eólica vigilar el mantenimiento del equipo al mismo tiempo que deja
ver a la central eléctrica ver cuánta energía está generando. Imagina que
también se podría usar para otras cosas, como los dispositivos domésticos.
"Son
el mismo tipo de problemas: ¿Cómo conectas estos dispositivos de forma segura y
para que puedan interactuar unos con otros con seguridad?", afirma.
Incluso
si algo como una cadena musical o una cafetera inteligente sufren un ataque,
puede ser más difícil darse cuenta que en el caso de un portátil o un
smartphone. Estos dispositivos no suelen tener una pantalla, y si están
participando en un ataque parecido al observado por Proofpoint, pueden no dar
ninguna señal de problemas.
Así
pues, en algunos casos, la solución más sencilla podría ser limitar la cantidad
de dispositivos que se pueden conectar a internet. Una cosa que hace el
software AllJoyn de la Alianza AllSeen es permitir a los dispositivos
inteligentes comunicarse sólo con los demás dispositivos de la casa. Un grupo
de bombillas, por ejemplo, o una cerradura. Y no conectarse con internet. A
algunos yonquis de la conexión les podrá parecer limitador, pero a Ben-Zur le
parece una forma de mantener tus dispositivos más seguros y más privados.
"No
me interesa necesariamente que un servidor en nube esté enterado de cada vez
que entro y salgo por la puerta de mi casa", sostiene Ben-Zur.
Fuente:
MIT Technology Review.