Cuando hace ya más de 10 años se celebró el primer Día de Internet, se hizo en reconocimiento a la importancia que ya tenía en nuestras vidas. Sin embargo, pocos podían imaginar por aquel entonces que el uso de Internet se iba a extender más allá de los ordenadores y otros sistemas conectados y mucho menos que el boom de los smartphones iba a producir que estos fueran a día de hoy el principal dispositivo con el que nos conectamos a la red.

Hoy celebramos un nuevo Día de Internet pensando en las posibilidades futuras, de qué tendremos que protegernos y qué impacto tendrán las amenazas dentro de unos años.

El boom del IoT

Se ha hecho hincapié en la usabilidad pero no en proteger los dispositivos

No solo los smartphones se han incorporado al uso masivo de Internet en la última década. La “Internet de las cosas”, o aquellos dispositivos de prácticamente cualquier tipo que también acceden a la red, han experimentado un crecimiento apabullante. Gartner pronosticó que en 2016 sobrepasaríamos los 6.400 millones de dispositivos conectados, aunque las previsiones a medio plazo apuntan a que en 2020 esta cantidad se elevará hasta los casi 21 mil millones.

La parte negativa de este brutal crecimiento de dispositivos conectados viene dada por la falta de seguridad, en ocasiones casi inexistente. Se ha hecho mucho hincapié en la usabilidad pero poco en proteger los dispositivos y los datos que manejan.

Esto ha provocado que aparezcan nuevos tipos de ataques, no solo hacia estos dispositivos vulnerables sino también hacia otros a los que estén conectados. En definitiva, se ha incrementado la superficie de ataque y los delincuentes saben eso muy bien, por lo que lo explotan en su beneficio.

Para protegernos ante este nuevo desafío, los profesionales y todo aquel que esté involucrado de alguna u otra forma en la seguridad informática, hemos tenido que adaptarnos y seguiremos haciéndolo. Hace 10 años era relativamente fácil definir el perímetro de seguridad de una empresa y aplicar soluciones para mitigar posibles ataques. Ahora, ese perímetro es muy difícil de definir con empleados conectados remotamente usando todo tipo de dispositivos, y las soluciones de seguridad se han vuelto más complejas para hacer frente a los nuevos desafíos.

dia-de-internet

Mirando hacia el futuro: ¿qué ataques podemos imaginar?

Con este panorama, no es extraño que el futuro y la seguridad del Internet de las Cosas sea un tema recurrente en muchos de los congresos de seguridad que se celebran por todo el mundo. Hay que reconocer que la incorporación de todo tipo de dispositivos ha empezado con mal pie, no por la usabilidad de los mismos sino por la seguridad implementada.

Recordemos las pruebas de concepto de ataques a automóviles o las bombillas que podrían entregar las credenciales de Wi-Fi a un cibercriminal.

Ahora mismo estamos en un punto en el que se demuestra casi a diario que la seguridad en el IoT deja mucho que desear.

Por poner solo unos ejemplos relacionados con los posibles ataques que podríamos ver en un plazo de tiempo relativamente corto, los dispositivos médicos han experimentado una revolución al permitir que los médicos puedan monitorizar y cambiar algún parámetro sin ocasionar molestias innecesarias al paciente.

Dispositivos como los marcapasos o las bombas de insulina son solo dos ejemplos, pero el abaratamiento de las prótesis gracias a la impresión 3D y los avances que permiten a pacientes con miembros amputados utilizar prótesis biónicas abren todo un mundo de posibilidades.

Ya hemos empezado a ver cómo dispositivos del IoT sufren el ransomware

Mirando incluso un poco más hacia el futuro, algunos expertos ya hablan de que en unas décadas sería posible hacer una copia de nuestra consciencia para implantarla después en cuerpos biónicos. Si bien es aventurarse mucho, es algo que lleva tiempo rondando por las mentes de algunas personas e incluso se ha convertido en el tema principal de películas, libros y comics, siendo uno de sus mayores exponentes el manga Ghost in the Shell de Masamune Shirow.

¿Imaginas la incidencia de ciberataques en elementos tan complejos?

Esa posibilidad de almacenar todos los datos que conforman nuestra consciencia puede que nos quede un poco lejos todavía pero, a día de hoy, ya tenemos un problema real y que afecta tanto a usuarios particulares como empresas. Se trata del secuestro de información importante e incluso necesaria para el correcto funcionamiento de una empresa por parte de una amenaza que conocemos como ransomware.

Actualmente, el ransomware se centra en ordenadores y smartphones pero ya hemos empezado a ver cómo dispositivos del IoT también lo han sufrido en alguna ocasión. También supimos de Remaiten, un bot de Linux que apunta a routers y otros dispositivos conectados a IoT.

Puede que la imagen de una nota de secuestro en una Smart TV resulte curiosa, pero este problema podría extenderse y derivar en situaciones comprometidas, como el secuestro remoto de un vehículo, algo que dejaría a su dueño prácticamente tirado sin poder usarlo o, peor aún, provocaría algún accidente.

Pensando en grande

security

Hay que tener en cuenta que cuando hablamos del IoT también estamos pensando en el uso masivo de estos dispositivos para gestionar y monitorizar, por ejemplo, algo tan complejo como una ciudad. Se ha hablado mucho recientemente sobre las smart cities, y es algo que seguirá en boca de muchos conforme se vayan incorporando algunas de las funciones que permiten a sus habitantes hacer una vida más cómoda y fácil.

Pero de nuevo nos encontramos con la problemática de tener que hacer frente a un número cada vez más creciente de dispositivos conectados que no hacen sino aumentar la superficie de ataque. Desde los sistemas de comunicaciones pasando por los sistemas de control de tráfico, depuración de aguas y suministro eléctrico, todos ellos son sistemas críticos que poco a poco han ido permitiendo la interacción de los usuarios, para bien y para mal.

Debemos hacer frente a cada vez más dispositivos conectados que aumentan la superficie de ataque

De esta forma, la imagen del ciberdelincuente que consigue causar el caos en la ciudad interfiriendo en los sistemas de señalización de tráfico o un apagón que afecte a millones de personas es algo que, si bien sigue siendo difícil, ha pasado de ser una posibilidad que solamente se contemplaba en la ficción a ser considerado una amenaza probable y frente a la que debemos estar preparados.

La visibilidad que han conseguido muchos investigadores demostrando lo vulnerables que son los dispositivos conectados a Internet ha hecho que se empiecen a encender algunas alarmas, pero aún son insuficientes. Hace falta una regulación que obligue a las empresas a cumplir unos mínimos estándares para conseguir que, al menos, no sea tan fácil para los ciberdelincuentes acceder a estos dispositivos y ocasionar múltiples problemas a los usuarios.

Conclusión

La celebración del Día de Internet debe servirnos no solo para conocer las posibilidades de la tecnología y sus avances, sino también para concienciar sobre sus puntos débiles y las amenazas que podrían afectarle.

Como usuarios, podemos hacer mucho más de lo que podríamos pensar para colaborar en la seguridad del IoT, empezando por configurar los dispositivos de forma segura, protegiendo nuestros datos privados y, sobretodo, uniéndonos para solicitar a los fabricantes de dispositivos vulnerables que mejoren su seguridad.