SOCIEDAD › LOS OBJETOS CONECTADOS A LA RED EN LA MIRA DE LOS HACKERS

Internet de cosas y baches

Los expertos en seguridad informática europeos alertan sobre la fragilidad que presentan cantidades de objetos conectados a Internet. Muñecos que hablan, automóviles online y lavadoras zombies son los que ofrecen mayores riesgos.

 Por Angel Luis Sucasas *

La “Internet de las cosas”, que pretende hacer “smart” cualquier objeto, promete ser el mayor reto en seguridad digital de la historia. La heladera. El coche. La ropa. Los juguetes... Enumerar la lista de objetos que nos rodea e imaginarlos conectados entre sí y a la red es el sueño de la Internet de las Cosas (IOT). Las posibilidades, infinitas, desde lograr el sueño del coche autotripulado que encuentra estacionamiento por sí solo hasta el juguete parlanchín que ayuda en su aprendizaje al niño mediante análisis lingüístico. Son dos ejemplos de los 26.000 millones de objetos conectados que la consultora Gartner predice para 2020. Pero estos miles de millones de objetos son también miles de millones de ventanas para el cibercrimen. Y los expertos apuntan a una conclusión: el IOT no está preparado para tapiarlas.

“No lo estamos del todo porque la conectividad llega cada vez a más dispositivos. Las personas que diseñan los sistemas operativos y el software en Apple, Google o Microsoft siempre tienen en cuenta la seguridad. No pasa lo mismo con otros aparatos online como bombas de insulina, electrodomésticos, coches, aviones comerciales... Todos ellos son vulnerables ante cualquier tipo de ciberataque”, explica Alfonso Ramírez, director general de la compañía antivirus Kaspersky Lab Iberia.

Informes sobre la IOT apuntan a esta misma tendencia. El pasado verano, HP analizó los diez objetos con funciones online más usados para llegar a una inquietante conclusión. El 70 por ciento de estos dispositivos fueron vulnerables a los ataques. Y la mayoría no usaba ningún tipo de sistema de encriptación para proteger los datos de los usuarios. “Con tantos dispositivos transmitiendo esta información desde la red de los hogares, los usuarios están a sólo un error de configuración de la red de exponer sus datos al mundo a través de las redes inalámbricas”, indica Craig Smith, líder de dicho informe de HP en el análisis.

De hecho, a los expertos no les cuesta imaginar nuevos panoramas para el cibercrimen, como apunta Vicente Díaz, analista de la marca Kaspersky: “No se ha dado el caso aún, pero se puede fabular con un ejemplo especial de ramsonware (el secuestro express de datos) con un coche inteligente. Te bloquean el mecanismo de apertura y te piden un rescate para recuperarlo”. Otros riesgos potenciales estarían en la recopilación de datos sobre rutinas diarias a través del móvil o de cualquier otro dispositivo.

Hasta se da el caso de dispositivos que ofrecerían al cibercriminal la opción de tener orejas dentro del hogar de la víctima. El pasado mes de febrero, estalló la polémica por una aplicación de Samsung de comandos por voz que grababa las conversaciones de los usuarios y las enviaba a terceros. La compañía aseguró a medios como The Guardian que toda esta información se enviaba encriptada y en ningún caso era vendida a otras empresas.

Pero la preocupación por el riesgo de que un pirata pudiera vulnerar ese protocolo o el mero hecho de que el usuario se olvide de que tiene activada esa función y grabe una conversación íntima avivó la polémica. Ni siquiera la industria del juguete se libra. Apenas un mes después de los titulares sobre la función espía del televisor Samsung, una nueva muñeca de Mattel, Hello Barbie, copó los titulares mundiales por usar la misma función de grabado de voz. La ONG norteamericana Campaña por una Infancia Libre de Publicidad inició una recogida de firmas para pedir a Mattel que cese la producción. Casi siete mil personas la han apoyado hasta la fecha.

¿Soluciones? Para empezar, un cambio de mentalidad en el orden de prioridades en las empresas. “Esta industria está comenzando y tiene muchos retos. Y lamentablemente la seguridad no es lo primero que se mira. Las vulnerabilidades de los dispositivos pueden aún ser desconocidas para los agresores y para los defensores y hacen de la IOT un terreno abonado a la ciberdelincuencia”, explica Luis Corrons, director técnico de Panda Labs.

Las campañas de concientización están en marcha. El 16 de septiembre de 2014, las agencias europeas de protección de datos acuñaron un dictamen de 24 páginas exclusivamente dedicado a la IOT. Las conclusiones: que las empresas se tomen muy en serio toda la reglamentación relativa a seguridad online, que informen a sus usuarios qué datos han capturado y que borren la información en bruto que almacenen y se queden sólo con aquella específica del servicio que ofrecen.

Proyectos sin ánimo de lucro como Owasp –apoyado por empresas como HP, Nokia o Adobe– dedican sus esfuerzos a que quede claro que tapiar las ventanas de la IOT sólo será posible con un esfuerzo conjunto de usuarios, gobiernos y empresas.

Tres peligros de la IOT:

n Muñecos parlantes. La Hello Barbie, que graba la conversación de su usuario, acapara la polémica este 2015. Pero no es el único juguete en el punto de mira. En enero de este año, el experto en seguridad Ken Munro hackeó en directo para la BBC a la muñeca Cayla, para demostrar que se le podría hacer decir cualquier barbaridad.

n Coches “hackeables”. Un coche utilizado como arma. O como medidor de cómo conduce un potencial cliente de una aseguradora. Son algunas de las vulnerabilidades detectadas en el informe que el senador Ed Markey, de Massachusetts, hizo públicas en su informe sobre el automóvil online del pasado mes de febrero.

n Lavadoras zombies. Con la IOT, el pirata puede encontrar viejas soluciones para nuevas realidades. Una que ya se ha teorizado es la thing-net, evolución de la bot-net, redes de ordenadores controlados remotamente como zombies sin que su usuario lo sepa. La horda de secuaces serían, en este caso, todos los objetos conectados a la red.

* De El País, de Madrid. Especial para Página/12.

Compartir: 

Twitter

 
SOCIEDAD
 indice

Logo de Página/12

© 2000-2022 www.pagina12.com.ar | República Argentina | Política de privacidad | Todos los Derechos Reservados

Sitio desarrollado con software libre GNU/Linux.