Poco importa cuántos millones sumen los dispositivos conectados. No hay duda de que van en aumento. El crecimiento de Intenet de las Cosas tiene un lado oscuro, la vulnerabilidad de los dispositivos, especialmente los que van destinados al consumidor. Pesos pesados de la industria, miembros del Broadband Internet Technical Advisory Group (BITAG) advierten con severidad que muchas startups están inundando el mercado IoT sin tomar medidas elementales de seguridad. Cisco y Google, junto con seis operadores de Estados Unidos, todos miembros del BITAG, denuncian el peligro de vender gadgets carentes de autentificación y de cifrado, que caen en manos de usuarios inexpertos o inescrupulosos.
Nadie duda de que el fenómeno de IoT va a más y el genio ha escapado de la botella, fuera de control. Los expertos alertan de la necesidad de hacer frente a su cara más nociva, su falta de seguridad intrínseca. Recientemente, Marc Blackmer, director de soluciones industriales de Cisco, de visita en España con el fin de presentar el estudio anual de la compañía sobre ciberseguridad, se declaraba alarmado por la facilidad con la que dispositivos de consumo se pueden conectar a Internet y servir de vehículos para hackear infraestructuras críticas. Es necesario, insistió, que toda la comunidad tecnológica se involucre y haga frente a este problema antes de que sea demasiado tarde. Esta es, casi con las mismas palabras, la declaración de objetivos del BITAG.
Las inversiones globales en IoT totalizarán 1.400 millones de dólares a finales de este año, según calculaba Gartner en 2015. Aunque hay propensión natural a asociar IoT con su vertiente industrial, el 40% de esas inversiones van a parar a las aplicaciones de consumo. Esta aparente ´democratización` del uso de sensores tiene su correlato en la ´generalización` de los ataques: al menos una cuarta parte de esos dispositivos serán hackeados, anuncian los estudiosos del problema.
Según dijo Blackmer a este blog, diseñar y fabricar un dispositivo que se conecte a Internet no presenta ninguna dificultad. Lo complicado es hacer que sea seguro, y cuantos más sean esos dispositivos más vías de acceso delictivo se abren. Con el bajo precio como principal criterio de diseño, es normal que esos dispositivos lleguen al mercado con software obsoleto o vulnerable, y que a los fabricantes no les preocupe el ciclo de vida ni la gestión de parches. Las comunicaciones son inseguras, y los usuarios no saben cómo aislar un dispositivo inseguro del resto de sus redes domésticas. Es fácil intuir cuál será la consecuencia.
Hasta ahora, que un ataque informático se hiciera a través de una cámara de vídeovigilancia, por ejemplo, se veía factible pero hasta cierto punto era una posibilidad peliculera. Brian Krebs, ex periodista del Washington Post reciclado en especialista en seguridad, ha sido testigo y víctima de un brutal cambio de escala en los ataques: 600 gigabits por segundo es el doble de la velocidad usual en la piratería informática, pero la investigación posterior de Krebs ha revelado que el origen del ataque eran cámaras instaladas desde hace años y que nadie había previsto que pudieran servir para esa finalidad.
Hay en funcionamiento muchos miles, que pronto serán millones, de dispositivos inseguros, susceptibles de ser rastreados. Esto, según Cisco, le puede pasar a cualquiera, pero quienes más expuestos están son los usuarios corrientes. «El instrumento de un ataque está fácilmente al alcance de cualquier oportunista que sepa cómo utilizarlo, pero en el otro extremo hay alguien que ni siquiera imagina esa posibilidad, convencido de que esas historias de ciberseguridad «sólo le pasan a los bancos», según Blackmer.
Los mecanismos colectivos de protección contra ataques de denegación de servicio (DDoS) deberían expandirse más allá de la relación entre proveedores de Internet, redes de distribución de contenidos y empresas, para incluir a los fabricantes de dispositivos IoT en el circuito. ¿Es posible?
Sí, pero no. Pudiera pensarse que los fabricantes incorporan parches a su software cuando detectan vulnerabilidades, pero no siempre lo hacen, y por su lado los usuarios casi nunca los actualizan. Siempre habrá muchos millones de dispositivos sin soporte, por obsoletos o descatalogados, que siguen funcionando sin que nadie se acuerde de ellos. Es un problema de gran escala, porque se habla de decenas de miles de millones de dispositivos IoT antes de finales de la década.
Una forma posible de atacar el problema se conoce como descripción de uso del fabricante (MUD). Sólo si el fabricante lo hace disponible, podrán los especialistas en seguridad y los administradores de redes crear protocolos para protegerlas. No se trata de tener todos los elementos para que una red sea segura – por lo visto, misión imposible – sino de contar con capacidad distribuída para que distintos actores contribuyan a hacerla más segura. Tampoco se puede esperar – suspira Blackmer – de los fabricantes de dispositivos de consumo, normalmente presionados para bajar sus precios, que que inviertan lo necesario en seguridad intrínseca; pero sí que proporcionen los elementos para que el usuario instale correctamente el dispositivo, incluyendo instrucciones de seguridad.
Es importante, subraya el directivo de Cisco, que todos los elementos se basen en estándares abiertos. Insiste: no se trata de incorporar nueva tecnología ni nuevos equipos, sino de compartir información con la comunidad de usuarios. Sólo una estrategia compartida de defensa será susceptible de evitar que un dispositivo infectado contamine a otro, y se inicie una cadena letal.
Autentificación y cifrado son dos medidas fundamentales. La primera daría pie a eliminar por defecto las cuentas inseguras y permitiría actualizar el software en remoto. El cifrado debería incluir una reconfiguración de los protocolos de comunicación entre dispositivo y controlador, además de capacidad de almacenamiento local. Lamentablemente, es probable que consejos y recomendaciones caigan en saco roto. Las medidas de protección que son (o deberían ser) la norma en dispositivos para las empresas, quedan fuera del modelo de negocio de los dispositivos de consumo.
[informe de Lluís Alonso]