LA INTERNET DE LAS COSAS, UN ACTOR FUNDAMENTAL EN LOS ÚLTIMOS ATAQUES INFORMÁTICOS

Es frecuente que hablemos acerca de las enormes oportunidades que presenta la Internet de las Cosas (o IoT, por sus siglas en inglés). De acuerdo con Gartner, en 2016, existen un total de 6.400 millones de cosas conectadas a la red, y que este número crecerá hasta superar los 20.800 millones hacia 2020. Estos números excluyen a tecnologías como computadoras y teléfonos móviles y, en cambio, se centran en dispositivos como relojes inteligentes, pulseras creadas para fitness y otros wereables, ropa inteligente, automóviles conectados, medidores de servicios públicos, cámaras de seguridad, lavarropas y heladeras inteligentes, robots industriales, y muchos otros equipos que, cada vez en mayor medida, utilizan la conectividad para ampliar su funcionalidad. Y si bien la Internet de las Cosas resulta muy prometedora, tanto desde el punto de vista de negocio, como desde las mejoras en campos tan diversos como la salud, la seguridad, la educación, y hasta la manufactura, también existe un lado preocupante asociado con esta tecnología.

El viernes 21 de octubre, el mundo fue testigo de uno de los más notables ataques informáticos ocurridos durante los últimos años. Ese día la empresa Dyn, la cual ofrece servicios de DNS – es decir, crea el nexo entre distintos sitios web y la dirección que escriben los usuarios en sus navegadores – fue atacada con un Distributed Denial of Service Attack (or DDOS, por sus siglas en inglés), lo que radicó en que muchos de los sitios y aplicaciones web más populares, incluyendo Twitter, Spotify, CNN, Reddit, Github, UrbanDictionary, HBO Now, Netflix, PayPal, The New York Times, Pinterest, Starbucks, Zendesk, y muchos otros, se volvieran inaccesibles, especialmente desde la Costa Este de los Estados Unidos.

Este tipo de ataques consisten en utilizar una gran cantidad de computadoras para ingresar a un mismo sitio web una y otra vez de manera simultánea. Esto lleva a que el sitio en cuestión exceda su capacidad y se sature, volviéndolo inaccesible para el público en general.

Si bien no se trata de una técnica novedosa, el ataque del 21 de octubre contó con una peculiaridad que lo vuelve especialmente preocupante. Y es que los atacantes se aprovecharon de decenas de millones de dispositivos conectados a Internet y que no poseen virtualmente ningún tipo de seguridad. Se trata de dispositivos como webcams, monitores de bebés, DVRs – dispositivos que permiten grabar programas de televisión en un disco rígido –, impresoras, y cámaras de seguridad hogareñas conectadas a la Internet de las Cosas, las cuáles fueron convertidas, a través de un simple software, en un ejército de robots programados para ingresar una y otra vez a los sitios web más populares del mundo para, así, tirarlos abajo.

En esta oportunidad, la mayor parte de los dispositivos contaban con una característica en común: muchos de sus componentes habían sido fabricados por la compañía china Hangzhou Xiongmai Technology. Esto, sin embargo, no significa que otros dispositivos con partes hechas por otros fabricantes no resulten vulnerables. De acuerdo con Brian Krebs, un especialista en seguridad informática que realizó un profundo análisis del ataque y fue citado por el Washington Post y por el Daily Mail, estos dispositivos fueron vulnerados utilizando un malware conocido como Mirai, el cuál escaneá la web en búsqueda de equipos conectados a la Internet de las Cosas y que estén protegidos por una de las 60 contraseñas más frecuentes y, al detectarlos, los infecta dejándolos a merced de los atacantes. Esto es posible gracias a que, en la mayoría de los casos, los usuarios no se molestan en cambiar las contraseñas provistas por los fabricantes, y a que estos dispositivos no cuentan con mecanismos de seguridad demasiado sofisticados.

El malware Mirai fue lanzado hace un mes por un hacker anónimo, quién puso su código a disposición de la comunidad, lo que significa que cualquiera puede haberlo utilizado para conducir este ataque. Pero independientemente de este episodio en particular, el cual está siendo investigado por las autoridades y podría, o no, encontrarse vinculado a otros ataques recientes, como el hackeo de los servidores de correo electrónico del Partido Demócrata en los Estados Unidos, luego difundidos por WikiLeaks, el mismo implica un problema para los fabricantes intentando desarrollar la Internet de las Cosas.

UN DESAFÍO PARA LA INDUSTRIA

Hasta ahora, las principales amenazas advertidas por los expertos en seguridad, tenían que ver con escenarios hipotéticos en los que distintos grupos de hackers pudieran tomar el control de automóviles autónomos, o por lo menos conectados a la red, de plantas industriales y paralizar a los robots que operan en la producción, o producir otros daños en la infraestructura urbana y de los servicios públicos. Sin embargo, este tipo de ataque puede resultar igual de insidioso, y puede ser llevado adelante con mucha menos sofisticación técnica por parte de los agresores.

Es por eso que el potencial de otros ataques similares implica un enorme dolor de cabeza tanto para los OEMs – es decir los fabricantes de hardware –, para otras empresas vinculadas con el desarrollo de la Internet de las Cosas, e incluso para las operadoras, las cuales apuestan por el desarrollo de nuevas redes, e incluso de la tecnología 5G, para potenciar este tipo de conexiones.

Hoy la industria se encuentra en la obligación de desarrollar estándares de seguridad capaces de prevenir este tipo de ataques, que puedan ser adoptados por todos los actores que participan de la misma. En este sentido han surgido proyectos como la IoT Security Foundation, la cual trabaja con todos los involucrados en esta industria para elevar la calidad de los dispositivos y para desarrollar lineamientos mínimos de seguridad que puedan ser adoptados globalmente para impedir que se desarrollen otros episodios como estos. Pero, así como ha surgido esta fundación, existen otros proyectos similares como la Open Connectivity Foundation, y hasta el Industrial Internet Consortium, cada uno de los cuáles ha lanzado sus propios lineamientos, atentando contra la creación de un estándar universal capaz de alinear a toda la industria.

Al mismo tiempo el espacio de la Internet de las Cosas hoy se encuentra repleto de nuevas startups, las cuáles desarrollan sus propias tecnologías con proyectos fondeados a través de sitios de crowdsourcing, y también de otras compañías de todo tipo y tamaño. Así, desarrollar modelos comunes, y procesos de certificación que garanticen la seguridad de todos los dispositivos resulta difícil. De acuerdo con los críticos, esto puede llevar a que, eventualmente, los gobiernos comiencen a regular este nuevo espacio y a imponer procesos de certificaciones propios los cuales, según los críticos, podrían elevar el costo de desarrollar nuevos dispositivos y, a la vez, incrementar el costo de la innovación.

Esto último, sin embargo, ya parece inevitable, y sin lugar a dudas comenzará a ocurrir tras este ataque. De todas formas, hay luz al final del túnel. Por diverso y descentralizado que sea este espacio, los distintos jugadores ya se han puesto de acuerdo a la hora de establecer distintos estándares. Un ejemplo de ello es el lanzamiento de las redes de Banda Angosta que las operadoras que forman parte de GSMA comenzarán a desplegar a lo largo del mundo para atender a las necesidades de estas nuevas tecnologías.

Sin embargo, queda mucho trabajo por hacer si aspiramos a vivir en un mundo repleto de aparatos inteligentes más prácticos y funcionales que los disponibles hoy en día. Y el primer paso es realizar acuerdos que permitan garantizar la seguridad y tranquilidad de los usuarios.