En los últimos meses de 2017, las empresas de seguridad han hecho sus propios pronósticos sobre los ciberataques entrantes y las medidas que necesitaban ser tomadas para asegurar un mejor y más seguro 2018, generalmente alentando el uso de las herramientas de los software de seguridad hechas por ese proveedor. Pero para sorpresa de todos, 2018 trajo un escenario que pocos pueden haber previsto. Dos grandes vulnerabilidades que fueron expuestas en la arquitectura de procesadores hicieron posible, aunque no tan fácil, el robo de información sensible y privada, como pueden ser contraseñas, fotos, e incluso, quizá, criptografía basada en certificados.
Mucho se ha escrito a cerca de estas vulnerabilidades: Si eres nuevo en el tema, te recomendamos leer el artículo de Aryeh Goretsky “Vulnerabilidades Meltdown y Spectre: Todo lo que necesitas saber”.
Sin embargo, existe un conflicto mucho más grande por debajo. Por supuesto, los errores de software existen, y los errores de hardware suceden. Los primeros suelen solucionarse aplicando parches y los últimos, en la mayoría de los casos, con una actualización del firmware. Sin embargo, eso no es posible con estas dos vulnerabilidades, dado que son causadas por una falla de diseño en la arquitectura del hardware, y sólo podría solucionarse reemplazando el hardware actual.
Afortunadamente, con la cooperación entre los proveedores de sistemas operativos modernos y los vendors responsables por los procesadores afectados, los sistemas operativos pueden ser emparchados, y complementados, en caso de ser necesario, con actualizaciones adicionales de firmware para el hardware. Una manera “fácil” de hacer que tu computadora de escritorio, laptop y Smartphone sean (más) seguros, es aplicando capas de defensa adicionales que prevengan a los códigos maliciosos de explotar los agujeros de seguridad – o que al menos lo hagan una tarea más difícil. A veces, esto podría afectar la velocidad del desempeño del dispositivo, pero siendo mucho más lo que hace a la seguridad que esto, a veces sólo queda aceptarlo y vivir con este castigo. Para estar seguros, la otra opción disponible incluye ya sea un reemplazo del hardware defectuoso (en este caso, aún no existe un reemplazo), o la desconexión del dispositivo de la red, para no volver a conectarlo jamás (algo que hoy en día no es ni deseado ni práctico).
Y es allí donde comienzan los problemas. Los procesadores fabricados por AMD, ARM, Intel, y probablemente otros, se ven afectados por estas vulnerabilidades: particularmente, los procesadores de ARM son utilizados en muchos de los dispositivos IoT, y son estos dispositivos aquellos que todos tienen pero olvidan que existen una vez que están operando, lo que deja una enorme brecha para explotar por los cibercriminales. De acuerdo con ARM, ya se están “asegurando” un trillón (1.000.000.000.000) de dispositivos. Es claro que no todos los procesadores de ARM se vieron afectados, pero si tan solo un 0,1% de ellos lo está, significa que aún un billón (1.000.000.000) de dispositivos están afectados.
IoT de conflictos
Ya puedo oir a alguien decir “¿Qué clase de información sensible puede ser robada de mi luz controlada por Wi-Fi? ¿O de mi refrigerador, mi portarretratos digital o mi Smart TV?" La respuesta es simple: Mucha. Piensa en tu contraseña de Wi-Fi (que podría permitir a cualquiera el acceso a tu red local), tus fotos (con suerte sólo pones las fotos decentes en el portarretratos digital de tu salón, ¿verdad? ¿O lo configuraste para que se conecte automáticamente con Instagram o DropBox para que incluya tus fotos más actualizadas?), ¿tus credenciales de Netflix? Tu… Bueno… es mucha la información que hoy en día se guarda en los dispositivos IoT.
Pues bien, para ser realistas, el acceso a estos dispositivos IoT sólo puede lograrse si el atacante ya ha comprometido tu red, o comprometido la cadena de suministros, o las aplicaciones o widgets que ejecutas en tus dispositivos, o… como puedes ver, hay muchas maneras de acceder a estos dispositivos.
Reemplazar todos los procesadores en cada uno de los dispositivos no es algo factible, de hecho, no es siquiera posible. No solo sería demasiado costoso, además el índice de éxito para desoldar y soldar nuevamente circuitos integrados en placas multicapa jamás será del 100%. En el mundo real, la gente mantendrá sus dispositivos existentes hasta que aquellos lleguen al fin de su ciclo de vida. Por lo que hasta dentro de algunos años, muchos tendrán en sus hogares dispositivos vulnerables.
¿Sabes cuántos dispositivos IoT tienes conectados a tu red local? Probablemente no. Existen diversos productos, incluyendo los de ESET, que identificarán todos los dispositivos compatibles con tu red. Si utilizas alguno de estos, podrías sorprenderte al descubrir algunos dispositivos que no sabías siquiera que estaban en tu hogar.
Como mencionamos, sería muy costoso reemplazar todos los procesadores afectados, especialmente en los dispositivos IoT más baratos. En ellos, incluso actualizar el firmware o (emparchar) el sistema operativo podría no ser posible. Como advertencia, cuando estas adquiriendo un nuevo dispositivo IoT, tendría sentido asegurarse en que procesador se está ejecutando, y si dicho procesador se vio afectado por estas vulnerabilidades. Es esperable que algunos fabricantes ofrezcan sus dispositivos a precios más bajos, en su intento por deshacerse del inventario de procesadores viejos e infectados, mientras fabrican nuevos dispositivos con procesadores actualizados, cuando éstos estén disponibles. Por lo tanto: caveat emptor. Una oferta puede convertirse en pesadilla una vez que la conectas a tu red.
El balance: los dispositivos IoT o “Smart” han llegado para quedarse, infectados o no, por lo que es importante ser cuidadosos con la información que guardemos en ellos.