24 de enero de 2014

Erase una vez..La "nevera" que enviaba 'spam'


La fiebre del internet de las cosas estimula el lanzamiento de nuevos productos cuya seguridad no está preparada para cada tipo de amenaza informática
A finales de diciembre, un investigador de la empresa de seguridad empresarial Proofpoint se dio cuenta de algo raro: una puerta de seguridad estaba viendo pasar cientos de miles de correos maliciosos claramente enviados por más de 100.000 dispositivos con sistema operativo Linux, pero no eran PCs. Eran aparatos conectados a internet entre los que se incluían routers, televisiones, centros multimedia e incluso una nevera.
El director general de la unidad de información de seguridad de Proofpoint, David Knight, afirma que los atacantes habían montado un botnet -red de robots, generalmente más habituales en PC- para el internet de las cosas en el que se ataca a los dispositivos, sin su conocimiento, para que hagan cosas como enviar spam y albergar pornografía ilegal. Knight espera que, según se vaya generalizando el uso de dispositivos conectados en el hogar, vayan apareciendo muchos más de lo que él denomina "thingbots", sobre todo dado que la seguridad instalada en muchos de estos dispositivos es una sencilla interfaz web que te pide que establezcas un nombre de usuario y una contraseña.
"Cualquiera que fuera la seguridad, era inapropiada", afirma Knight, quien sospecha que los dispositivos se vieron comprometidos aprovechando, simplemente, vulnerabilidades conocidas de Linux.
Hace mucho que los hackers causan destrozos en los PC a través de internet, lo que lleva a robos de datos y ordenadores colgados. Ahora que todo el mundo está entregado a añadir conectividad a todo tipo de aparatos, desde las ollas hasta las bombillas, las apuestas son aún más fuertes y más personales (ver "Más casas conectadas, más problemas"). El antivirus ayudó a los PC, pero no se puede instalar una suite de programas desarrollados para tu ordenador de sobremesa en una tostadora inteligente. En consecuencia, los dispositivos domésticos conectados suelen depender de que el usuario se conecte a internet y establezca un nombre de usuario y una contraseña para protegerse.
Hay empresas de tecnología y grupos industriales que afirman que los dispositivos inteligentes están llegando a los comercios con muy poca protección. Los expertos en seguridad le echan la culpa a toda una serie de factores: las start-up pueden dejar la seguridad en segundo plano en sus prisas por lanzar los productos, y empresas consolidadas que hasta ahora han operado fuera de línea, como los fabricantes de cadenas de música y televisiones, podrían no darse cuenta de que tienen que proteger sus productos conectados a internet de las posibles amenazas.
"No es que sean estúpidos", afirma el investigador principal de seguridad en la empresa de seguridad móvil Lookout, Marc Rogers. "Es que es algo con lo que no han tenido que lidiar hasta ahora".
Así, mientras las empresas presentan de todo, desde luces inteligentes hasta cerraduras que puedes controlar con un smartphone pasando por retretes conectados y aparatos para tomar la tensión, empieza a surgir un movimiento para hacer que estos productos sean lo más seguros posible.
Para Rogers en Lookout esto equivale a hackear e, incluso, desmontar físicamente dispositivos conectados a internet para averiguar dónde residen sus fallos de seguridad. El verano pasado Rogers y su equipo descubrieron una debilidad en Google Glass, la computadora portable de Google (ver "Unos investigadores de seguridad encuentran grietas en Google Glass"). Más recientemente, Rogers ha estado identificando y comparando las medidas de seguridad en cámaras y sistemas de entretenimiento con conexión a internet.
"Me dedico a desmontar cosas y ver: ¿Qué se está haciendo bien? ¿Qué se está haciendo mal? ¿Cuáles son las lecciones que aprender?", explica.
Igual que muchas otras empresas tecnológicas, Lookout reconoce la influencia creciente de los dispositivos conectables a internet, un campo tan de moda que la semana pasada Google dijo que pagará 3.200 millones de dólares (unos 2.360 millones de euros) para comprar al fabricante de termostatos y alarmas de incendios Nest. El año pasado había más de 10.000 millones de dispositivos conectados y esta cifra seguirá creciendo hasta los 50.000 millones en 2020, según cálculos del fabricante de equipos de red Cisco. 
Con la esperanza de minimizar los riesgos de seguridad que supone todo este crecimiento, Rogers está desarrollando una serie de estándares de seguridad que las empresas pueden seguir a la hora de crear productos conectados. No quiere entrar en detalles sobre qué pueden incluir los estándares para el internet de las cosas, pero afirma que se inclina por depender de "los estándares más maduros para internet", y está usando la lista del “Top 10” de riesgos de seguridad del Proyecto de Seguridad de Aplicaciones para la Web Abierta  como guía, ya que detalla muchos tipos de riesgos que podrían afectar a todo tipo de dispositivos conectados a internet.
"Ahora mismo creo que todo el mundo va por su cuenta, pero cada vez se oyen más voces que dicen 'vamos a reunirnos todos, vamos a intentar sincronizarnos en esto'", afirma.
La Alianza AllSeen, un grupo industrial del internet de las cosas formado en diciembre pasado para fomentar la interoperabilidad entre dispositivos conectados, independientemente de quién sea su fabricante, cree que el software de código abierto que está desarrollando también podría servir de ayuda.
El software del grupo se basará en AllJoyn, que es el software de código abierto para el internet de las cosas del fabricante de chips para smartphone Qualcomm, que también es miembro del grupo. La presidenta de la Alianza AllSeen y directora de la unidad AllJoyn de Qualcomm, Liat Ben-Zur, afirma que AllJoyn permite a los desarrolladores de aplicaciones decidir qué nivel de seguridad incorporan en la misma, por ejemplo, si encriptan los datos trasferidos de un cepillo de dientes inteligente a una aplicación móvil o no. AllJoyn también ofrece ajustes de seguridad más sutiles, afirma, como permitir que un amigo que esté de visita controle tu aire acondicionado conectado, pero sólo dentro de una gama de temperaturas fija y sólo durante los dos días que está en la ciudad.
Ya empiezan a aparecer métodos para permitir el acceso temporalmente en algunas cerraduras inteligentes (éstas son de los pocos dispositivos conectados que hacen gala de su seguridad) que aún no se han lanzado, como Goji, que te permite establecer horas durante las cuales tus amigos pueden entrar en tu casa usando sus teléfonos. Sin embargo, por el momento no es lo habitual.
Una idea parecida a la descrita por Ben-Zur se encuentra en marcha en Mocana, una empresa de seguridad móvil y del internet de las cosas. Mocana está trabajando en una especie de producto digital matriz cuyo nombre en código es AoM (siglas en inglés de "aplicación a máquina") que el director tecnológico de la empresa, James Blaisdell afirma permitirá a distintos usuarios manejar y controlar dispositivos a escala, con seguridad, incorporando distintos grados de autoridad.
Esta empresa espera sacar su producto a finales de año. En un principio irá dirigido a aplicaciones industriales, según Blaisdell, como permitir al fabricante de una turbina eólica vigilar el mantenimiento del equipo al mismo tiempo que deja ver a la central eléctrica ver cuánta energía está generando. Imagina que también se podría usar para otras cosas, como los dispositivos domésticos.
"Son el mismo tipo de problemas: ¿Cómo conectas estos dispositivos de forma segura y para que puedan interactuar unos con otros con seguridad?", afirma.
Incluso si algo como una cadena musical o una cafetera inteligente sufren un ataque, puede ser más difícil darse cuenta que en el caso de un portátil o un smartphone. Estos dispositivos no suelen tener una pantalla, y si están participando en un ataque parecido al observado por Proofpoint, pueden no dar ninguna señal de problemas.
Así pues, en algunos casos, la solución más sencilla podría ser limitar la cantidad de dispositivos que se pueden conectar a internet. Una cosa que hace el software AllJoyn de la Alianza AllSeen es permitir a los dispositivos inteligentes comunicarse sólo con los demás dispositivos de la casa. Un grupo de bombillas, por ejemplo, o una cerradura. Y no conectarse con internet. A algunos yonquis de la conexión les podrá parecer limitador, pero a Ben-Zur le parece una forma de mantener tus dispositivos más seguros y más privados.
"No me interesa necesariamente que un servidor en nube esté enterado de cada vez que entro y salgo por la puerta de mi casa", sostiene Ben-Zur.

Fuente: MIT Technology Review.