El sector de la ciberseguridad llevaba tiempo advirtiendo
de la necesidad de usar mejores medidas con el Internet de las Cosas.
Este viernes, cuando varios ciberataques masivos inutilizaron durante
horas las web de grandes compañías, se constataron sus preocupaciones.
Una red formada por routers, webcams, televisiones inteligentes e
incluso cámaras de vigilancia, parecen estar detrás de los ataques
contra DYN, un servidor de nombres de dominio, que afecto a algunos de
sus clientes, como Twitter, Paypal, Netflix, Amazon y Spotify
y a algunas que ni siquiera están dentro de DYN. Los atacantes buscaban
el colapso de la infraestructura de la red. Tanto el FBI como el
Departamento de Seguridad Nacional de Estados Unidos tratan de dar ahora
con el origen del ataque. Mientras, los expertos alertan de la falta de
seguridad de estos dispositivos cotidianos conectados a Internet y
advierten de la liberación del código que se usó en los ciberataques;
algo que permitiría replicarlos.
Mirai, una red de botnets, un conjunto de aparatos infectados cuyo acceso remoto es vulnerable, es la clave que los expertos manejan en este caso. Salvador Mendoza,
un reconocido experto en seguridad de origen mexicano y radicado en
California, explica la técnica usada: “Mirai es un malware. Un código
dañino diseñado para infectar dispositivos IoT (Internet de las Cosas).
Una amalgama de routers, webcams, televisiones inteligentes, cámaras de
vigilancia e incluso cafeteras con conexión a Internet. Este tipo de
dispositivos son los más vulnerables porque generalmente nunca se
actualizan, tienen puertos abiertos y su firmware se vuelve obsoleto y también vulnerable. Lo que hace Mirai es crear una botnet
o red de zombies que se controlan remotamente para hacer peticiones a
un servicio en específico en Internet; son tantas las peticiones
simultáneamente que puede hacer el botnet que el servidor no tiene
manera de atender a todas estas y comienza a tener retraso de respuesta y
después puede colapsar. Existen tantos dispositivos IoT infectados que
incluso el mismo dueño del dispositivo puede que no se haya dado cuenta
de que ha sido infectado y está siendo utilizado para realizar un ataque
masivo. Es por ello que es muy difícil rastrear al verdadero atacante”.
Pablo Barrera Guzmán, guatemalteco fundador y consejero delegado de Pakal,
considera que el mayor problema está en la facilidad para replicar
estas acciones maliciosas: “El código fuente del malware fue liberado y
está a la vista de cualquier persona para ser utilizado o modificado”.
Este experto acusa a las empresas fabricantes de abandonar su software:
“El sistema operativo de esos dispositivos no dispone de actualizaciones
tan frecuentes como sucede con nuestros portátiles o PC de escritorio. Y
las empresas que los fabrican generalmente se dedican a sanar errores
de funcionamiento dejando a un lado los de seguridad”. Barrera incluso denuncia que se hayan publicado y puesto a disposición de cualquiera las herramientas para replicar el ataque.
Falta de control sobre el Internet de las cosas
La entidad e impacto de la ciberagresión abre el debate
sobre la ausencia de control del Internet de las Cosas. Tanto Jaime
Blasco, director de los laboratorios de Alienvault, como Marc Goodman,
autor y asesor de fuerzas de seguridad, han alertado sobre las
debilidades de este nuevo entorno de objetos controlados. Goodman dejó claro que cuantos más objetos, más puntos de acceso: “Un termostato, una alarma, un frigorífico se convierten en ordenadores, en puntos vulnerables”. Blasco, en cambio, considera que en los últimos años se han empezado a tomar medidas para que los nuevos cacharros integrados en sistemas online tengan nuevos protocolos y no se hackeen
con facilidad. Apple, cuya costumbre es crear sus propios protocolos,
no está dentro del estándar que ha hecho posible el ataque.
Barrera apunta a que la medida más inmediata será
actualizar en remoto los aparatos infectados. Algo complicado en
principio, dada la dispersión de los mismos. También la renovación de
los mismos, es decir, inversión que recae en los bolsillos del
consumidor. De fondo, queda el debate de promover un hacking ético, cómo se denomina a las buenas prácticas cuando se encuentran errores.
Uno de los retos en esta comunidad es conseguir que se
reporten las brechas a afectados. Muchas empresas son conocidas, como
Google y Facebook y últimamente Apple, por pagar recompensas a los que
avisan de fallos. El problema es que suelen ser cantidades inferiores a
lo que se paga en el mercado negro del Internet profundo (deep web) y,
en muchos casos, lo que se busca es reconocimiento y prestigio dentro de
los pares.