Artículos

La internet de las cosas inseguras – Enrique Dans

The Internet of Insecure Things

 

 

 

 

 

 

 

 

 

El pasado 23 de septiembre, la página de Brian Krebs, periodista e investigador especializado en seguridad, fue víctima de un ataque distribuido de denegación de servicio (DDoS).

Hasta aquí, todo – relativamente – normal: estos ataques son tristemente habituales en la web tanto con propósitos lícitos como la protesta organizada (el equivalente a una manifestación en la calle), como ilícitos (silenciar una opinión, hacer chantaje, etc.), hasta el punto de que existen servicios de “alquiler” de botnets para llevarlos a cabo. El que Krebs cubra en ocasiones las prácticas habituales de los ciberdelincuentes, lo que reduce su aplicabilidad y les fuerza a buscar nuevas metodologías, lo convierte en una víctima habitual.

En este caso, no obstante, existe una peculiaridad interesante: el ataque fue de una magnitud insospechadamente elevada, más del doble de los que se habían visto hasta el momento, y una gran cantidad de los dispositivos que lanzaban peticiones a la página no eran ordenadores, sino algo diferente: cámaras de vigilancia, grabadores digitales de vídeo, routers domésticos y otros objetos conectados a eso que se ha dado en llamar la internet de las cosas (IoT). Un software en concreto, conocido como Mirai, recopiló 68 pares de usuario y contraseña genéricos utilizados en dispositivos de este tipo que aparecían fácilmente disponibles y que no obligaban al usuario a hacer ningún tipo de cambio, lo que los convertía en muy fácilmente vulnerables. Es la llamada Internet de las Cosas Inseguras, de la que llevamos hablando ya algún tiempo.

No es la primera vez que asisto a un ataque de este tipo originado por delincuentes que quieren evitar que un procedimiento o método para cometer delitos sea revelado: en un primer momento, es habitual que todos los implicados traten de hacer un “sálvese quien pueda”: Akamai, que ofrecía a Krebs su hosting gratuitamente,tuvo primero la intención de dar de baja el sitio ante los problemas – y el dinero – que les estaba causando, hasta que se dieron cuenta de que ese movimiento no iba a ser demasiado inteligente de cara a su imagen, y tuvo que terminar siendo Google con su Project Shield quien ayudase a mitigar el efecto del ataque. En elpost-mortem del ataque se ve como, efectivamente, los protagonistas del mismo fueron mayoritariamente dispositivos conectados en la zona EMEA, y cómo el ataque, visto así, fue relativamente sencillo de organizar, mucho más que lo que es, en nuestros días, tomar control de ordenadores convencionales. Que fuese tan sencillo, de hecho, escala notablemente el problema: como dice el gran Bruce Schneier, resulta fundamental salvar internet de la internet de las cosas, porque silenciar a alguien nunca fue tan sencillo y tan barato como ahora. Vivir en un mundo donde cualquiera puede dedicarse a amenazar, chantajear o callar a quien quiera no es bueno para nadie.

Resulta difícil ser consciente en temas relacionados con la seguridad: tendemos a asociar los riesgos con nosotros mismos, a minimizar su probabilidad, y a pensar que con hacer una buena instalación ya hemos hecho nuestra parte, cuando la realidad es que en muchos casos, esos dispositivos pueden dejar mucho que desear en cuanto a sus estándares y, en ocasiones, cometen barbaridades tales como dejar contraseñas por defecto en lugares fácilmente visibles. La brutal heterogeneidad de fabricantes, protocolos y compañías que hay en este momento detrás del ecosistema IoT parece que va a llevar a que se intente regular desde los organismos públicos, lo cual no siempre estoy seguro de que sea una buena idea y probablemente se convierta en una parte más del problema. Poner un ordenador en cada cerradura, termostato, bombilla, automóvil y todo lo que se nos ocurra puede aportar muchísimo valor, comodidad y conveniencia, pero no debemos olvidarnos de que es precisamente eso, un ordenador conectado, con capacidad no solo para provocarnos problemas a nosotros como usuarios, sino también a muchos otros.

Krebs, como víctima, habrá pasado unos cuántos días muy malos – no es agradable ver cómo el trabajo de una vida profesional, tu página web, es víctima de los ataques de aquellos contra los que intentas luchar y denunciar – pero después de todo, es un periodista especializado en el tema, lo cual le facilitó no solo obtener la visibilidad adecuada, sino también la comprensión de la escala del tema y el apoyo de los socios necesarios para poder resistir. Pero sin duda, no va a ser el único ataque con estas características. No, la seguridad no es una tarea fácil. Pero cada día más, es una tarea de todos.