Eran las doce de la noche en Dallas cuando empezaron a sonar las 156 sirenas de emergencia despertando a los vecinos y saturando las líneas telefónicas de emergencia. Más de 4.400 llamadas. Son sirenas que se emplean para alertar de condiciones climáticas de riesgo. Pero los alertados vecinos creyeron estar ante ser un aviso de bomba u otra emergencia similar.
Afortunadamente no pasó nada: las sirenas fueron "hackeadas". Los operarios tuvieron que comprobar antes de qué se trataba y luego, ante la imposibilidad de detenerlas, apagar todo el sistema dos horas más tarde.
“Estamos hablando con todos los expertos de sirenas disponibles”, dijo Rocky Vaz, el director de la Oficina de Gestión de Emergencias de la ciudad, según recoge el New York Times. “Es un caso muy extraño”.
Esta vez han sido sirenas las que han vuelto a poner en entredicho la seguridad del Internet de las Cosas. En las ciudades “inteligentes” podría ser algo más peligroso. Y se accedería de la misma forma: un sistema local que dirige todos los dispositivos conectados o tomando el control de cada uno de ellos debido a que son aparatos que poseen los mismos credenciales de acceso.
El año pasado fueron las cámaras del fabricante chino Xiongmai Technology, que contaban con un sistema operativo sin actualizar (y por lo tanto vulnerable) y unos credenciales de acceso establecidos desde fabrica, ya que no se obligó al usuario a cambiarlo tras la primera instalación y uso. El resultado fue un ataque masivo de denegación de servicio usando a las cámaras como ejercito. Compañías como Netflix, Amazon o Twitter se quedaron sin servicio.
Así es como actúa BrickerBot, un programa que emplea diccionarios de credenciales para ganar el acceso, mediante fuerza bruta, de numerosos dispositivos que son empleados como “soldados” en ataques masivos. Si el consumidor no cambia el usuario y contraseña, su dispositivo podrá ser comprometido con facilidad. Un nombre de usuario y contraseña fáciles de acertar y el puerto Telnet abierto son una puerta abierta a cualquiera. Y lo están aprovechando
Comprar una cámara IP, un termostato o cualquier otro producto del estilo es comprar, a su vez, un potencial agujero de seguridad mucho más difícil de explotar que un smartphone o un ordenador. No hay actualizaciones y el usuario no percibe amenazas. Nunca está alerta, ya que no es un dispositivo que usa constantemente.
Y no solo estamos en peligro a través de dispositivos conectados de bajo costo procedentes de china. Ya existen ataques sobre televisores inteligentes que usan las señales de radio para insertar código malicioso y tomar el control del dispositivo, que cuenta a veces con micrófono, sin tener acceso directo a ellos.
“En cuanto el hacker toma el control de la TV, él puede atacar al usuario de muchas formas diferentes”, dijo Rafael Scheel, el consultor de seguridad que demostró el concepto de ataque a ArsTechnica. “El televisor puede ser usado para acceder a otros dispositivos de la red local o espiar a través de la cámara y micrófono que tiene incorporado”.
Según una de las últimas filtraciones de documentos clasificados por WikiLeaks, la CIA estuvo trabajando en los televisores inteligentes de Samsung, logrando al menos, capturar audio con el micrófono y guardar la escucha en un fichero dentro de su memoria. Esto con dispositivos de gama alta que son actualizados frecuentemente y que proceden del mayor fabricante de electrónica de consumo del mundo. ¿Qué pasará entonces con el sinfín de dispositivos que nos ofrece el Internet de las cosas?
Responsabilidad compartida
El Internet de las Cosas no necesita de la interacción humana. Los sensores recopilan, envían, analizan y responden a los datos, lo que ofrece a las compañías de tecnología y telecomunicaciones nuevas formas de ofrecer valor. Con estas oportunidades llega también las posibilidad de que esa información sea comprometida. Además, no es que la toma y comunicación de datos se multiplique, sino que suele ser información todavía más importante y privada. El riego es mayor.
Esta nueva red que abarca a todos los sensores es un ecosistema compartido entre el sector privado y lo público. Aun así, no existe una clara estrategia en cuanto a seguridad o un estándar dentro de la industria. Esta responsabilidad compartida puede suponer un peligro enorme, ya que cualquier punto infectado puede obtener datos o el control de una parte de la red de sensores. Los estándares llegarán. Pero no se sabe cuándo y el mercado del Internet de las Cosas sigue creciendo. Las grandes compañías y agentes de la regulación de los diferentes países han de trabajar en el desarrollo e implementación de protocolos de seguridad más estrictos. Será de suma importancia cuando se implanten las redes 5G y la trata de datos se multiplique en volumen, velocidad y responsabilidad para con las personas.
De momento los fabricantes están todavía más centrados en cómo vender el Internet de las Cosas y demostrar su utilidad al usuario final que de crear una red segura formada por dispositivos que se actualicen frecuentemente y que obliguen al usuario a establecer contraseñas seguras diferentes de las de fabrica. Es difícil proteger los dispositivos. Imposible si no existe una regulación severa y una estrategia de seguridad clara. Antes de ciudades inteligentes, dispositivos conectados seguros.
Ver 5 comentarios