Con mucha frecuencia, este blog se ha ocupado de distintas dimensiones de Internet de las Cosas, tratando siempre de objetivar un fenómeno con (todavía) insuficiente pensamiento crítico. También han pasado por esta sección entrevistas a directivos de empresas de ciberseguridad, la última hace dos semanas, y se han resumido informes de diversas fuentes. De todo ello da cuenta el archivo del blog. Cada una desde su espacio en el mercado, cada uno dentro de su rol, las empresas y sus directivos han subrayado que la seguridad en IoT es un problema candente, pero nadie ha podido decir que su solución es concluyente. Esta vez, el abordaje de la cuestión será otro y el protagonista, también.
Aprovechando la presencia en Barcelona de James Lyne, el autor tuvo una intensa conversación con el director de investigación de Sophos, empresa con 30 años de trayectoria en seguridad y que, con una facturación de 447 millones de dólares en 2015, se inscribe entre los líderes del sector. La entrevista había sido concertada para hablar específicamente de una realidad inquietante: Internet de las Cosas (IoT) plantea problemas de seguridad tales que cabe preguntarse si la industria está preparada para afrontarlos. La delincuencia, se está preparando a conciencia. Con esta gravedad se ha pronunciado James Lyne.
Me gustaría que habláramos no de ciberseguridad en general, sino de los problemas concretos de seguridad que plantea Internet de las Cosas.
Estupendo. Hemos hecho un par de proyectos de investigación para tratar de comprender las imperfecciones que puedan tener los dispositivos móviles y las aplicaciones en relación con Internet de las Cosas. Hemos leído, como usted, muchos titulares alarmistas sobre los riesgos de seguridad que plantea IoT, pero lo que nos proponíamos era ver de cerca y, como usted ha dicho, en concreto, cómo alguien podría aprovechar esos fallos con fines delictivos. Nos gastamos 5.000 libras en comprar aparatos que son descritos como conectables a Internet, algunos de ellos pintorescos, como un cepillo de dientes conectable, u otros más corrientes… ¿cómo los llamaría usted?
…cosas
Cosas en el sentido más amplio. Las compramos. Mi artilugio favorito es uno que sirve para regar las plantas cuando estamos ausentes, y que controla el riego a través de un móvil con cámara; instalamos el cacharro en nuestro laboratorio y dos meses después lo hackeamos… le acortaré la historia: este, como la mayoría de los aparatos que probamos han dado resultados terribles desde el punto de vista de la seguridad. Con fallos más importantes o menos importantes, que permitían ejecutar código, saltarse la autentificación […] problemas que de ocurrir en una empresa cualquiera podrían provocar un desastre. Repito: los compramos, lo que quiere decir que están en el mercado.
¿Me está diciendo que somos demasiado confiados?
Pues parece que, a pesar de esos terribles titulares, nadie se ha dado por enterado del peligro. Estos objetos son la realidad de IoT que tenemos hoy a nuestro alcance, no hablo de fantasías tecnológicas. Bueno, si lo pienso, quizá la gente tiene razón: si alguien se cuela por Internet en un frigorífico, ¿a quién le importa? ¿qué daño podría causar? ¿qué interés tendría un ciberdelincuente en hackear mi frigorífico?
[…] en cambio, nos preocupa mucho la seguridad de nuestros PC o nuestos móviles.
Menos los móviles que los PC, desafortunadamente. Si nos preocupamos tanto por ellos es porque contienen información, porque tememos que quien se apodere de ella pueda chantajearnos, robarnos o usurpar nuestra identidad […] Estos serían perjuicios reales, que no pueden compararse con que se descongele mi frigorífico y se pudra la lechuga [risas]. Mire, en serio: la razón por la que no nos preocupamos es que no imaginamos lo que se nos viene encima.
Pero vendrá pronto…
Mmmm, la verdad es que no sabemos si tardará seis meses, un año o dos, pero va a llegar el día en que un hacker encuentre un motivo y un modo de explotar los fallos de nuestras ´cosas` conectadas. La experiencia nos enseña que la innovación en los dispositivos va mucho más rápido que las mejoras en su seguridad. Hay por ahí muchas compañías creando ´cosas` conectadas, y estoy seguro de que son muy buenas compañías, pero descuidan la seguridad.
Ha dicho que fueron dos experimentos; ¿cómo fue el otro?
Ah. se trataba de aplicaciones, de la relación entre los móviles e IoT. De aplicaciones que crecientemente se conectan con otros productos u otras ´cosas`. Escogimos 1.002 aplicaciones, y las analizamos una por una para establecer si las medidas más básicas de seguridad estaban bien implementadas. ¿Sus conexiones están cifradas? Y si lo están, ¿tiene vigencia el certificado que proteje el cifrado? ¿Se comunican siempre con el servicio correcto o pueden ser desviadas subrepticiamente? Nos fijamos en cómo almacenan los datos y, en todos los casos, como gestionan la identidad de quien puede o no tener acceso a ellos […] Bueno, abreviando: los desarrolladores, de quienes se esperan que por su experiencia sean más cuidadosos, parecen tan interesados como los fabricantes de aparatos en acabar cuanto antes sus aplicaciones: la seguridad no es una verdadera prioridad.
Cuesta creerlo, francamente…
De ninguna manera quisiera sembrar el pánico: simplemente digo que no se presta la misma atención a las aplicaciones móviles que a las desarrolladas para PC, lo que me lleva a pensar que se prestará menos atención todavía a las que se desarrollen para los dispositivos de IoT.
En pocas palabras, ¿no hay mecanismos de defensa o no son adecuados?
Estamos a tiempo de resolver ciertos problemas antes de que se alcancen una gravedad peligrosa. No creo que haya un único culpable: los problemas están en el hardware como en los sistemas operativos y están en las aplicaciones. Carece de sentido práctico tratar de resolverlos a la manera convencional, como se ha hecho hasta ahora en los ordenadores. Porque estos nuevos dispositivos de IoT tienen diferentes arquitecturas embebidas, diferentes sistemas operativos, etc. Lo que incrementa la necesidad de reforzar la seguridad en las redes. Pero, con IoT, que multiplicará las conexiones por redes aún no bien definidas, no podremos estar configurando y reconfigurando los puntos de protección: todo tiene que ser más fácil. Ninguna de las partes implicadas debería inhibirse pensando que corresponde a otra ocuparse del asunto.
Una de esas partes implicadas son las compañías de ciberseguridad, como Sophos […] ¿Qué oportunidad representa IoT? ¿Qué deberían hacer? ¿Qué está haciendo su empresa?
Actualmente, ofrecemos soluciones muy variadas de seguridad, que nos habilitan para asistir a la industria en estas cuestiones, empezando por la definición de unas reglas que hoy no existen. Pero creo que la mayor oportunidad para todos nosotros debería estar en las capacidades de cifrado para que se puedan separar los dispositivos de los datos a los que se accede con ellos […] Por supuesto, no excluyo la necesidad de que se escriban códigos más seguros en los productos. Por nuestra parte, en Sophos no tenemos ninguna duda de que IoT puede ser el área de trabajo más importante en los próximos años para las compañías de seguridad.
¿Para cuándo se espera que aparezca malware en los dispositivos de IoT existentes?
No es fácil responder. Los casos que hemos visto hasta ahora han sido de muy pequeña escala, como si los hackers estuvieran acumulando conocimientos sin hacerse notar todavía. Está creciendo el número de ataques a routers, tanto inalámbricos como de banda ancha, lo que parece indicar que se están acercando gradualmente al mundo de IoT. Antes de atreverse contra objetivos industriales, posiblemente les resulta más sencillo buscar información personal en aparatos domésticos conectados a Internet. En Sophos pensamos que puede ser un patrón de los próximos doce meses.
Supuestamente, IoT se va a desarrollar primero en nichos de mercado verticales. Es posible, por tanto, que los ataques sigan la misma pauta: hackers especializados en coches conectados, especializados en dispositivos médicos […]
Es una buena reflexión. Podemos esperar ataques de alto nivel dirigidos contra categorías específicas, como las que usted ha nombrado, y otras. No creo que sean repeticiones del tipo de ataques que conocemos, porque los requisitos técnicos serán otros.
¿Lo llamaremos malware o habrá que inventar otra palabra?
Me parece apropiado seguir usando la misma, pero no creo que la definición sea la misma […]
¿Sirven de algo las lecciones aprendidas? ¿Han hecho ustedes en Sophos un ejercicio de predicción?
Sería ingenuo por mi parte decir que podemos predecir lo que pasará en relación con IoT. El ritmo de innovación es tan rápido que súbitamente puede surgir un modo completamente nuevo de ataque, que no hayamos detectado en el pasado. Por eso es importante que asimilemos las lecciones antes del inevitable boom de IoT.
En ese mundo de IoT, ¿qué esperarían obtener los atacantes?
Lo de siempre: dinero. La diferencia estará en las maneras más directas o más ingeniosas de obtenerlo. Pero puede haber modelos más «creativos», como la paralización remota de dispositivos para exigir un rescate. Se me ocurren muchas posibilidades, pero no quiero darles ideas.
[publicado parcialmente en La Vanguardia el 17/4]