La Internet de las Cosas (IoT) recibió muchos nombres diferentes en el último año: la Internet del terror, la Internet de la basura y otros igual de pegadizos que dan cuenta del sinnúmero de vulnerabilidades de los dispositivos modernos, cuya presencia en los hogares aumenta día a día.
Termostatos inteligentes, cámaras web, heladeras conectadas a Internet, lavarropas inteligentes… Todos estos dispositivos entran en la categoría de la IoT. Si bien resultan utilísimos para controlar tareas rutinarias del día a día, como trabar las puertas o apagar los artefactos del hogar, también les ofrecen a los ciberdelincuentes una nueva puerta de entrada: los electrodomésticos.
Los delincuentes aprovechan estos modernos dispositivos basados en el uso de direcciones IP para implementar algunos de los ataques de denegación de servicio distribuido (DDoS) más masivos de toda la historia. ¿Cuáles son los riesgos inherentes a estos dispositivos? ¿Cuál es la mejor manera de protegerlos de ataques externos? ¿Existe un equilibrio apropiado entre el uso de los dispositivos de la IoT y su seguridad?
Vamos a analizar en detalle estas cuestiones, explicar el surgimiento de las botnets que utilizan dispositivos de la IoT infectados, y proponer los mejores métodos para asegurarnos de que nuestros dispositivos queden protegidos ante ataques externos.
Dispositivos de la IoT
Podemos definir la IoT como “el funcionamiento a través de Internet de dispositivos físicos, vehículos (también denominados ‘dispositivos conectados’ o ‘dispositivos inteligentes’), construcciones y otros elementos que tienen partes electrónicas, software, sensores, actuadores, etc. y la conectividad en red que les permite recabar e intercambiar información”.
En resumen, lo que hace es combinar los dispositivos que tenemos en casa con unos pocos componentes electrónicos controlables, crear una interfaz de red y denominarlos “inteligentes” porque es posible controlarlos con el teléfono, la computadora o la tableta. La idea es automatizar el hogar o la oficina para que funcionen como computadoras o cualquier otro proceso automatizado.
Cuando uno deja de utilizar un proceso, lo apaga, como si fuera una luz. Se pueden programar tareas como lavar la ropa u otras condicionales, como apagar la calefacción si la temperatura excede cierto límite. La teoría es interesante, porque hacer que estos dispositivos trabajen para uno (en lugar de que sea uno quien trabaje para ellos) nos brinda más tiempo libre, y nos permite hacer cosas que ni imaginaríamos poder hacer con los electrodomésticos (como recibir un aviso en el teléfono si alguien se acerca a la puerta o cerrar la puerta de calle desde el otro lado del mundo).
Si analizamos los sectores comercial e industrial, las infraestructuras críticas, las centrifugadoras y muchos otros elementos y estructuras no son controlados manualmente sino por sistemas informáticos, y es cada día más factible controlarlos mediante interfaces de red. Es cierto que las defensas perimetrales de las infraestructuras críticas (como las gubernamentales o las empresariales) deberían, por supuesto, ser sólidas; sin embargo, hubo ocasiones en las que, a partir del código digital, se logró dañar objetos físicos (como en el caso del gusano Stuxnet). Lo que sigue lo resume muy bien la serie de cómics del Hombre Araña: “Todo gran poder conlleva una gran responsabilidad”.
Problemas de seguridad de la IoT
Al mencionarle la IoT a los especialistas en seguridad, este suplicio se convierte en una Torre de Babel de la industria, ya que no hay un criterio único para la teoría, la codificación o los métodos de protección de este tipo de dispositivos. Entonces, la gente recurre a distintas opciones de protección: algunos se inclinan por proteger los dispositivos domésticos o comerciales con algún sistema de seguridad similar a un firewall, que filtra el tráfico y les da acceso a los usuarios autorizados; otros eligen defenderse con certificados digitales, que les permiten controlar los dispositivos solo a quienes tienen el certificado de seguridad indicado, por lo que se previene el acceso sin autorización.
Al final, hay tantas posibilidades que a veces la gente olvida que la más sencilla es utilizar una contraseña única conocida por todos los usuarios. Además, ya estando en el 2016, un servidor Telnet no debería estar funcionando en un dispositivo abierto al público.
¿Por qué? Y bien, hace algunas semanas, se difundió el código fuente del virus Mirai tanto en Internet como en la darknet. Este código malicioso se utilizó en septiembre para atacar el sitio web de Brian Krebs, un ataque que generó tal cantidad de tráfico que la empresa Akamai debió quitar el sitio de sus servidores porque era muy perjudicial mantenerlo online. Finalmente, Google se hizo cargo mediante el servicio Project Shield, que se creó para proteger a los periodistas u otras figuras públicas de cualquier ataque de DDoS.
En sí, el software de este código malicioso es bastante básico y, por lo que se puede ver en el código fuente, está incompleto. El problema reside en que aun así funciona muy bien. Este código malicioso es multiplataforma y se escribió en lenguaje C y en GO, un lenguaje de programación creado por Google alrededor de 2007. Su paquete también es multiplataforma y puede ejecutarse tanto en la arquitectura de 32 bits como en la de 64 bits, por lo que se puede infectar un mayor número de plataformas. Tiene tres componentes principales: un módulo de comando y control, que establece la comunicación; un escáner de redes, que permite infectar otros dispositivos de la IoT desde un equipo de retransmisión; y un módulo de ataque, que permite hacer uso y abuso del tráfico legítimo de las redes una vez que el primer módulo ya encontró un blanco.
Lo que asusta de la situación es que este código malicioso infectó y continuará infectando otros dispositivos de la IoT al escanear una red y abusar del protocolo Telnet, que se creó en 1969 y del que no se puede esperar mucha protección. Lo que también asusta es que los dispositivos infectados tienen una de las 65 contraseñas más conocidas y más frecuentes que Telnet usa para autenticarlos, lo que los hace muy vulnerables y, finalmente, se los convierte en otro equipo zombi del ejército de bots de la IoT.
El viernes 21, mientras escribía este artículo, ocurrió otra embestida: los servidores de la empresa DynDNS sufrieron uno de los mayores ciberataques de los que haya registro, el cual impidió el acceso a los usuarios de sitios como Amazon, Netflix y ETSY entre muchos otros. Estos ataques son solo los primeros de lo que será una seguidilla veloz de embestidas mediante botnets de la IoT que se expandirán aún más (Stephen Cobb nos da más información). Teniendo en cuenta las vulnerabilidades de los dispositivos y los ataques recientes, ¿cómo protegemos nuestros dispositivos de la IoT personales o empresariales para que no se los invada mientras están conectados?
Protección de la IoT
Si los dispositivos tienen un uso comercial, considerémoslos como si fueran otra computadora más. Si se usan en el hogar, imaginemos que son una puerta que debemos cerrar. Si se siguen algunos de los siguientes pasos, se puede disminuir el riesgo de que los dispositivos de la IoT sufran un ataque o infección:
- Cambiar la contraseña predeterminada: puede llevar un rato pero es un paso sencillo que fortalece la red.
- Utilizar el protocolo HTTPS cuando sea posible: si inicias sesión en una computadora para manejar los dispositivos, conviene utilizar el protocolo HTTPS en la puerta de enlace en forma predeterminada, eliminando el texto sin cifrar e impide que los ataques de intermediarios atenten contra la seguridad de las contraseñas y los dispositivos.
- Es mejor deshabilitarlos si no se están usando: si el dispositivo tiene protocolos de conexión adicionales (SSH, Telnet, etc. ) que no se están utilizando y que pueden deshabilitarse, es mejor hacerlo inmediatamente. Así se evita que alguien pueda aprovecharlos y atacarnos.
Los consejos anteriores nos permitirán fortalecer nuestra defensa contra los posibles atacantes que quieran convertir a nuestros dispositivos de la IoT (y en especial al tráfico de red que generan) en un arma de la guerra informática.