01 Oct Redes zombi y seguridad en riesgo, el lado oscuro de la Internet de las cosas
Por Ariel Torres
Llueve a cántaros. De hecho, ha estado lloviendo durante toda la noche. Pero en varias casas de un balneario de la costa atlántica los aspersores están funcionando a pleno, no solo sin ningún propósito, sino malgastando un insumo tan escaso como crítico. Ahora bien, si los autos hoy pueden percibir que está lloviendo y encender los limpiaparabrisas, ¿por qué no instalar sensores de ese tipo en el sistema de riego? Más aún, ¿por qué no informarle al riego que mañana va a llover, tras consultar el pronóstico por internet, y, por lo tanto, cancelar también el riego de hoy? ¿Y por qué no colocar sensores de humedad en la tierra vinculados al sistema de riego?
Bienvenidos al inconmensurable universo de las cosas conectadas, conocido como IoT, por internet of things, internet de las cosas. Las siglas se quedan cortas hoy para describir las posibilidades de esta tecnología. Dicho de manera simple, cualquier dispositivo que tenga alguna clase de inteligencia, sensores y conexión con internet cae en esta categoría. La lista incluye desde termostatos y televisores inteligentes hasta marcapasos, cámaras de seguridad y monitores para bebés. Con más miniaturización, nuevos sensores y formas más ingeniosas de obtener electricidad, las aplicaciones de la IoT van ahora desde la agricultura hasta el quirófano, desde los semáforos hasta los autos con y sin chofer. Se estima que para 2020 habrá entre 20.000 y 50.000 millones de cosas conectadas, inteligentes, con sensores, eventualmente con alguna clase de mecanismo capaz de operar sobre el mundo real.
El escenario entusiasma y es prometedor. Los visionarios lo anticiparon hace más de 30 años, cuando en la universidad estadounidense Carnegie Mellon conectaron una máquina expendedora de gaseosas a internet; se convertiría así en la primera cosa no informática accesible desde la red.
La tendencia es, asimismo, inevitable. Como la inteligencia artificial, la IoT es uno de los siguientes pasos naturales en la evolución de la revolución digital. Pero, para volver a los aspersores tontos, estos avances se enfrentan hoy a un vasto frente de tormenta que ya ha causado incidentes devastadores y cuyas consecuencias se vuelven cada semana más abrumadoras. Se trata del mismo viejo fantasma de siempre: la seguridad. Como ocurrió con las computadoras personales, las cosas conectadas son, en la mayoría de los casos, muy fáciles de hackear.
Un ejército de zombis
Uno de los principales riesgos de la inseguridad de la IoT, aunque no el único,, es su escala. Con un poco de potencia de computo y conexión con internet, las cosas de la IoT pueden ser reclutadas en redes robóticas (llamadas botnets en la jerga) capaces de lanzar descomunales ataques que dejan fuera de sen-icio sitios web o parte de la infraestructura de internet. (¿Solo la de Internet? No, como se puede ver aparte.) Se los conoce como ataques distribuidos de denegación de sen-icio, o DDoS, por sus siglas en inglés.
El 16 de septiembre de 2016,. el blog del experto estadounidense en seguridad informática Brian Krebs sufrió un ataque de denegación de sen-icio como nunca antes se había visto. Su sitio recibió una andanada de más de 600.000 millones de bits por segundo. Según Akamai -la compañía que le ofrecía el sen-icio de alojamiento-,, fue un bombardeo al menos dos veces más grande que cualquier otro que hubieran visto antes y uno de los mayores en la historia de la red. Llegaron rápidamente a la conclusión de que no se había originado en técnicas convencionales, sino mediante cientos de miles de dispositivos de la IoT comprometidos. Pero lo peor todavía estaba por venir.
Una semana más tarde, el 23 de septiembre,, el proveedor de sen-icios de internet OYH fue derribado por un ataque que rozó el billón (12 ceros) de bits por segundo. Su fundador, Octave Klaba, narró el incidente por Twitter ( @olesovhcom). Esta vez pudieron identificar el origen del asalto: más de 145.000 cámaras y grabadoras de circuito cerrado conectadas a internet que habían sido hackeadas por los piratas. Pero también esta cifra sería superada.
En octubre, Dyn, un proveedor de servicios de nombre de dominio (DXS, por sus siglas en inglés), cayó bajo un brutal DDoS de 1,2 billones de bits por segundo. Puesto que el sistema DXS es uno de los pilares de internet, decenas de sitios y servicios se vieron afectados, desde Airbnb y The Wall Street Journal hasta Twitter y HBO. De nuevo, la lluvia de fuego se había originado en cientos de miles de dispositivos de la IoT controlados por los agresores.
“La seguridad de los dispositivos de la IoT. en general, se encuentra con problemáticas de seguridad que nos remontan al 2000 -obsena Francisco Amato, director ejecutivo de la compañía de seguridad Infobyte-. La posibilidad de desarrollar dispositivos de bajo costo sin seguridad hace que queden conectados millones de aparatos con vulnerabilidades de manual, la mayoría de las veces sin posibilidad de recibir parches de seguridad, porque ni siquiera tienen un mecanismo para eso o porque el proceso es demasiado engorroso. La combinación de dispositivos conectados a nuestras casas con buenas conexiones a internet es un combo muy atractivo para sumar a redes zombi que realizan distintas tareas para el mejor postor que las alquile”. Las redes zombi a las que se refiere Amato son, precisamente, las botnets. conjuntos de dispositivos intervenidos por los vándalos.
Como señala el experto, las tareas no se limitan a los ataques de denegación de senrvicio. Una red zombi puede usarse para propagar virus, publicidad no solicitada y otras delicadezas por el estilo. Sin embargo, los riesgos de la IoT de ninguna manera terminan aquí.
Te estamos mirando
“El mercado se encuentra en una vorágine por conectar dispositivos a internet; desde heladeras hasta foquitos de luz. todo parece necesitar IP -dice Nicolás Waisman, vicepresidente de servicios de Immunity, una empresa que se dedica a verificarla seguridad de compañías y organizaciones; IP son las siglas de internet protocol-. En esta carrera, se dejó de lado un elemento clave de todo desarrollo de producto: la seguridad. Las lecciones que aprendimos a golpes durante décadas en el desarrollo de navegadores y sistemas operativos parecen haber sido olvidadas y nos encontramos con errores de seguridad que se suponía que ya no cometíamos. Como siempre, las víctimas somos los consumidores finales, que vemos expuestas nuestra privacidad y nuestra información personal. Los dispositivos que deberían ser aliados de nuestra cotidianidad terminan convirtiéndose en nuestros enemigos”.
Así es: si interviniera una cámara de seguridad mal diseñada o mal configurada, podría observar la actividad en un comercio o un domicilio de forma subrepticia, sin que las víctimas lo supieran. De hecho, en muchos casos, no hace falta hackear nada. El sitio Insecam.org. por ejemplo, hace años que exhibe las imágenes de varios miles de cámaras de vigilancia conectadas a internet, pero sin contraseña, abiertas para todo el mundo. Como observa Waisman, el dispositivo al que confiamos nuestra seguridad termina cumpliendo el papel opuesto.
Junto con el investigador de Immunity Matías Soler,. Waisman presentó este año, en una de las conferencias sobre seguridad más grandes del mundo, llamada Blackhat ( https://wivw.blackhat.com). un estudio que revela que las fallas de la IoT se esconden incluso en los dispositivos que permiten manejar servidores de forma remota. Se entiende que comprometer servidores es potencialmente mucho más dañino que intervenir una aspiradora robótica o un acondicionador de aire inteligente. “Este tipo de errores de seguridad, que en la jerga llamamos long hanging fruit. la fruta más fácil de recoger, es el tipo de fallas que se encuentran en la IoT. Vulnerabilidades que quizá no requieran meses de investigación, como las de los navegadores o los sistemas operativos, sino que están allí,, fáciles de encontrar para el ojo experto. Recuerda un modelo de seguridad que había en los 90 y que ya hemos superado, que es el del software creado sin concepción de seguridad alguna, con configuración predeterminada de fábrica, contraseñas fáciles de adivinar y cosas así”, resume Waisman.
Uno de los bordes más filosos de la inseguridad de la IoT es también el menos conocido. En el imaginario popular,, los grupos de piratas hachean dispositivos manualmente,, como en las películas. Lamentablemente, es mucho peor. “Los grupos que operan estas redes zombi -explica Amato- tienen procesos de búsqueda automatizados para encontrar nuevos dispositivos vulnerables, con problemas conocidos,, y ese inventario está todo el tiempo actualizándose. Simplemente, buscan, infectan y siguen buscando. 24 horas por día. los siete días de la semana. Un ejemplo simple es buscar un router de uno de los proveedores de internet en Shodan. que es como un Google. pero para dispositivos en internet. Solo en la Argentina devuelve 22.776 dispositivos. Si compartieran una cierta vulnerabilidad, se los podría infectar todos”.
Un problema psicológico
No solo ocurre, como señalan los expertos,, que la industria parece no haber aprendido la lección de los primeros años de la computación personal, sino que los dispositivos de la IoT no parecen computadoras. De hecho, la inaudita potencia de los ataques de denegación de servicio mencionados antes y los gravísimos riesgos para la privacidad y la seguridad personal se esconden en aparatos que hasta hace poco eran por completo inofensivos. O. cuando menos,, neutros. Televisores, acondicionadores de aire, controles de acceso, amplificadores y parlantes wifi, relojes, heladeras, tachos de basura y hasta inodoros pueden hoy funcionar como una puerta de entrada a la red hogareña o como parte de una red zombi.
Una parte del problema es. simplemente, psicológica. Si,, por las malas, aprendimos el abecé de la seguridad en nuestras computadoras y smartphones. nos cuesta entender que un televisor inteligente no es en realidad un televisor, sino una computadora conectada con internet que sirve para ver TV.
Sin embargo, no está todo perdido. Hace una década, la mayoría de los routers wifi – hicimos oportunamente un video para LA NACION- aparecían sin contraseña. Hoy. es raro encontrar uno que esté abierto. Esto no significa que esos routers estén blindados; en octubre de 2017 se descubrió una vulnerabilidad, llamada Krack. que dejaba expuesta gran parte de estos dispositivos, aun si se encontraban con clave.
¿Eso quiere decir que daba lo mismo no ponerle ninguna? Ciertamente, no. Los ataques requieren de cierto conocimiento que la mayoría de los usuarios no tienen. En cambio, un router sin clave permite que cualquiera se conecte y, como mínimo, que use nuestra conexión con internet. Esto significa dos cosas: que va a usufructuar parte de nuestro plan de internet y, más grave, que si comete un ilícito,, la investigación recaerá sobre nosotros.
Pero hay un aspecto más de la solución que concierne a los usuarios. “Personalmente, creo que el mercado eventualmente va a empezar a pedir seguridad en estos dispositivos, como lo hizo con Windows o Linux -sostiene Waisman-, pero eso todavía no ha ocurrido y estamos pagando las consecuencias”.
Por último, el protagonista clave: la industria. Voceros de Intel y Qualcomm, entre otros, hicieron llegar a LA NACION sus planes y objetivos para mejorar sustancialmente la IoT. Incluso la organización Mozilla, que hace el navegador Firefox, tiene su propia iniciativa para mejorar la seguridad de la IoT. llamada Mozilla Things ( https://iot.mozilla.org/about/).
No es solo buena voluntad. En 2017, el Senado estadounidense se propuso legislar la seguridad de la IoT. Y el 4 del actual, el estado de California fue el primero en enviar para su firma una ley sobre IoT al gobernador. Pero la internet de las cosas es otro fenómeno informático aluvial en el que es posible corregir de ahora en más. pero resulta muy engorroso, y en ocasiones imposible, emparchar los miles de millones de dispositivos de esta red de cosas que no parecen computadoras, pero que lo son lo son.
LA NACION