Una de las tendencias que me parecieron más preocupantes en 2016 fue la disposición de algunas personas a participar de las siguientes tres actividades: secuestro de sistemas informáticos y archivos de datos (mediante ataques de ransomware); denegación del acceso a datos y sistemas (con ataques de Denegación de Servicio Distribuido o DDoS); y la infección de dispositivos que forman parte de la Internet de las Cosas (IoT, en inglés).
Lamentablemente, creo que estas tendencias seguirán evolucionando en 2017 y es posible que incluso se vayan combinando a medida que lo hagan. Por ejemplo, el uso de dispositivos IoT infectados para extorsionar sitios web comerciales con la amenaza de lanzar un ataque de DDoS, o el bloqueo de los dispositivos IoT para pedir el pago de un rescate, algo que yo llamo “jackware”.
Amenazas pasadas y futuras
El uso indebido de los sistemas informáticos para extorsionar a los usuarios y sacarles dinero es casi tan antiguo como la computación misma. En 1985, un empleado de TI de una empresa de seguros de los Estados Unidos programó una bomba lógica para borrar registros vitales si alguna vez lo despedían. Dos años más tarde efectivamente lo despidieron y borró los registros, lo que condujo a la primera condena por este tipo de delitos informáticos.
inicialmente pensé en el jackware como una evolución del malware orientado a vehículos, pero podría manifestarse en un ámbito mucho más amplio
El malware que usaba cifrado para secuestrar archivos y pedir rescate se identificó en 1989, como cuenta David Harley. En 2011, mi colega Cameron Camp describió la actividad de bloquear computadoras para pedir un rescate como algo que iba tomando nuevas dimensiones.
Entonces, ¿cómo evolucionarán o se fusionarán estos elementos en el transcurso del año? Algunas personas se han estado refiriendo a 2016 como "El año del Ransomware", pero me preocupa que 2017 sea "El año del Jackware".
El jackware es el software malicioso que intenta tomar el control de un dispositivo cuyo objetivo principal no es el procesamiento de datos ni la comunicación digital. Un buen ejemplo es un "automóvil conectado", como se describe a muchos modelos nuevos. Estos vehículos realizan una gran cantidad de procesamiento de datos y de comunicaciones; sin embargo, su función principal es llevarte desde el punto A hasta el punto B.
Imagina lo siguiente: en una helada mañana de invierno abro la aplicación de mi automóvil instalada en el teléfono para arrancarlo y calentar el motor desde la comodidad de mi cocina, pero el coche no enciende. En cambio, aparece un mensaje en mi teléfono diciéndome que tengo que entregar X cantidad de moneda digital para reactivar mi vehículo. Así es como una víctima podría percibir al jackware. Afortunadamente, hasta donde yo sé, todavía se encuentra en su etapa teórica. Todavía no está "in the wild".
No es fácil prevenir que esta amenaza se desarrolle y ejecute, especialmente si consideramos los ejemplos anteriores. Ya hemos visto que una empresa automotriz puede vender más de un millón de vehículos con vulnerabilidades que podrían haber sido aprovechadas por el jackware: por ejemplo, el caso del Jeep Fiat Chrysler que salió en todas las noticias en 2015.
Otro caso igual de serio fue la aparente falta de planificación de Fiat Chrysler Automobiles para corregir vulnerabilidades en el proceso de diseño del vehículo. Una cosa es vender un producto digital en el que más tarde se descubren errores (de hecho, esto es prácticamente inevitable), pero otra muy distinta y mucho más peligrosa es vender productos digitales sin un medio rápido y seguro de corregir las posibles fallas.
La posibilidad de que las funcionalidades y la configuración de un sistema propio de un vehículo se puedan administrar de forma remota a través de un portal que podría ser vulnerado es, como mínimo, inquietante. Y siguen apareciendo nuevas quejas por la inseguridad vehicular, como este Mitsubishi con Wi-Fi, o la posibilidad de atacar radios para robar automóviles BMW, Audi y Toyota.
Aunque inicialmente pensé en el jackware como una evolución del código malicioso orientado específicamente a vehículos, pronto quedó claro que esta tendencia podría manifestarse en un ámbito mucho más amplio: pensemos en el Ransomware de las Cosas (RoT por Ransomware of Things en inglés).
Una historia escalofriante de una ciudad de Finlandia muestra una de las posibles direcciones que puede llegar a tomar esta amenaza, ya que un ataque de DDoS deja fuera de servicio el sistema de calefacción en pleno invierno. Si bien no hay indicios de pedidos de rescate, no requiere mucha imaginación saber que ése será el siguiente paso. “¿Quieres que el sistema de calefacción vuelva a funcionar? ¡Entonces paga!”.
Cómo detener el RoT
Para que los dispositivos de la IoT no se conviertan en víctimas del RoT, deben ocurrir varias cosas en dos ámbitos diferentes de la actividad humana. El primero es el técnico, donde implementar la seguridad en una plataforma vehicular constituye un reto considerable. Las técnicas tradicionales de seguridad, como el filtrado, el cifrado y la autenticación pueden llegar a consumir una enorme capacidad de procesamiento y ancho de banda, lo que puede sobrecargar los sistemas, algunos de los cuales operan con una latencia muy baja. Las técnicas de seguridad tienen la tendencia de incrementar considerablemente el costo de los vehículos. Y sabemos que el control de costos siempre fue un requisito fundamental para los fabricantes de automóviles, hasta el último centavo.
El segundo ámbito en el que es necesario actuar para detener el RoT es en la creación de medidas y en la política. Las perspectivas aquí no son nada buenas, ya que hasta ahora el mundo ha fracasado estrepitosamente cuando se trata de disuadir los delitos cibernéticos. Estamos presenciando un fracaso colectivo internacional para prevenir la evolución de una infraestructura criminal próspera en el ciberespacio, que ahora ya está amenazando todos los tipos de innovaciones en tecnología digital, desde la telemedicina hasta los drones, los grandes grupos de datos y los vehículos que se manejan en forma automática.
Para que quede claro, los términos como el RoT y el jackware no están pensados para provocar alarma. Simbolizan las cosas que pueden llegar a pasar si no hacemos lo suficiente durante 2017 para evitar que se conviertan en una realidad. Así que me gustaría terminar con algunas noticias positivas sobre este tema.
En primer lugar, una variedad de agencias gubernamentales están intensificando sus esfuerzos para hacer que la IoT sea más segura. En 2016, se publicaron los documentos Principios estratégicos para proteger la Internet de las cosas (en PDF) del Departamento de Seguridad Nacional de los Estados Unidos, y Publicación especial 800-160 del NIST (en PDF).
Por otro lado, la evidencia de que podríamos estar progresando, al menos en términos de la mayor toma de conciencia pública sobre el potencial de la IoT para ocasionar problemas (así como sus beneficios y mejoras en la productividad), proviene de un tipo diferente de publicación: los resultados de una encuesta a consumidores de ESET. Titulada "Nuestras vidas digitales cada vez más conectadas" reveló que más del 40 por ciento de los adultos estadounidenses no confiaban en que los dispositivos IoT fueran seguros y estuvieran protegidos. Además, más de la mitad indicó que desistieron de comprar un dispositivo de la IoT porque les preocupa la privacidad y la seguridad.
¿Será esto suficiente para obligar a las empresas a hacer sus productos de la IoT más resistentes a ataques? Lo descubriremos en 2017.
Este artículo es una versión adaptada de la sección completa sobre RoT del reporte Tendencias 2017: La seguridad como rehén. Para saber más sobre el tema, no te pierdas este video: