Si en tu país se celebra Halloween y escuchas a algún niño gritando "¿Dulce o truco?" en la puerta de tu casa, tienes dos opciones: o le das dulces, o puedes asegurarte de que serás el objetivo de alguna broma malvada.
Sin embargo, los millones de routers, cámaras de seguridad y otros dispositivos de la Internet de las cosas (IoT) que una semana antes de Halloween llamaron a la puerta de Dyn, una empresa estadounidense proveedora de servicios de DNS corporativos, no ofrecieron ninguna opción. En cambio, formaron un gigantesco ejército de dispositivos zombis con un único objetivo malicioso: derribar Internet y algunos de sus servicios más populares.
ESET, así como muchos otros fabricantes de productos de seguridad, predijo acertadamente que la seguridad de los dispositivos de la IoT pasaría a ser uno de los problemas principales de este año. Sin embargo, las preocupaciones más frecuentes rondaban en torno a que estos dispositivos se pudieran convertir en una fuente de filtrado de datos de los propietarios, o que se identificaran como un punto débil de entrada a las redes domésticas. Pero las cosas no siempre resultan como uno espera.
Los ataques DDoS masivos de la semana pasada, así como el ataque al sitio Web de Brian Krebs, han demostrado que la información privada no era el foco principal de los ciberdelincuentes, al menos por el momento. El propósito en estos casos era obtener el control de millones de dispositivos de la IoT y dirigir su poder hacia cualquier objetivo que eligieran los atacantes.
El propósito era obtener el control de millones de dispositivos de la IoT para dirigir su poder hacia un objetivo
Lo que prueban estos ataques es que hay decenas de millones de dispositivos que se pueden utilizar indebidamente como consecuencia de la falta de medidas de seguridad por parte de los propietarios, que emplean los nombres de usuario o las contraseñas por defecto, o utilizan firmware desactualizado y vulnerable. Y aunque Dyn fue capaz de mitigar los ataques en cuestión de horas, esto puede ser solo el comienzo de una 'guerra de DDoS' que tendrá lugar en los próximos meses.
Para comprender el posible alcance del ataque, analicemos algunos números. Según Gartner, a finales de 2015 había cerca de cinco mil millones de dispositivos de la IoT en el mercado (incluida la industria automotriz). Si las estimaciones son correctas, en 2020 esta cifra crecerá a más de 25 mil millones.
Si no se hace un cambio radical para tener mayor seguridad en el campo de la IoT en todos los niveles, desde los fabricantes de dispositivos, que deben diseñar su software y hardware teniendo en cuenta la seguridad, hasta las entidades reguladoras, que tienen que implementar las restricciones adecuadas para imponer estándares más altos, este problema podría empeorar mucho.
Y no nos olvidemos de los usuarios finales. Como usuario hogareño, tú también puedes contribuir a la solución de diversas maneras:
- El primer paso sería comprar dispositivos de la IoT de calidad, que estén a la altura de los estándares de seguridad actuales, y evitar los sustitutos más económicos que se están fabricando sin tener en cuenta este aspecto.
- También puedes hacer pruebas para detectar vulnerabilidades en tu hardware, como verificar que no se estén usando las contraseñas predeterminadas de fábrica o que el software esté actualizado (firmware), y si es necesario, cambia las contraseñas o instala los parches correspondientes.
- Configura cuidadosamente los dispositivos de la IoT que ya tengas en tu casa, como el router. Encontrarás varios consejos al respecto en nuestro artículo sobre cómo proteger tu router.