Aunque el concepto de piratería es tan antiguo como la historia de la navegación, no siempre ha tenido la misma forma. En su momento, pirata era todo aquel que comerciaba sin patente de corso, y hubo un tiempo en que los piratas eran aquellos que emitían radio sin consentimiento de la Corona Británica.
Más moderno es el concepto de piratería basada en no pagar determinados servicios a través de la web, o incluso el atacar (a veces para causar daño, a veces por pura diversión) a alguien a través de Internet. Con la llegada del IoT debemos hacer frente a los piratas de neveras inteligentes, entre otros.
¡Alguien ha pirateado mi nevera inteligente!
Imaginémonos en la tesitura. Varios días después de haber comprado, instalado, configurado y pasado nuestra tarjeta bancaria a través del software de nuestra nueva nevera inteligente, un repartidor llama al timbre.
—Debe de ser un error —comentas al ver dos bricks de leche. Pero el repartidor tiene tu dirección, y no sabe qué hacer con el paquete—. Jejeje, ¡leche gratis!
Al día siguiente aparece el mismo repartidor, esta vez con un cartón completo. Se encoge de hombros: él es un mandado, solo reparte. Un día más tarde sube por quinta vez los escalones, después de haberte dejado casi una decena de cartones. ¿Qué está pasando aquí?
Lo consultas con tu banco y te informan de que sí. Anoche, a las cuatro de la mañana (y desde Nanyang, una ciudad de China de la que nunca habías oído hablar) compraste 100 bricks de leche. Y es entonces cuando caes.
—¡Alguien ha pirateado mi nevera inteligente! —Y en voz alta suena exactamente igual de ridículo que se lee.
Si está conectado, en la actualidad es vulnerable
Cierto: el caso de arriba es, de momento, un caso hipotético del futuro. Pero no son pocos los casos en las que las neveras inteligentes han sido pirateadas. O, ya puestos, aviones.
Porque un avión conectado no deja de ser un objeto del IoT, aunque pese varias toneladas. En 2013, Hugo Teso daba una conferencia en Ámsterdam y demostraba (de forma teórica) que un avión puede ser pirateado usando Android sin siquiera viajar en él.
Un año más tarde, en 2014, con las primeras neveras “inteligentes” conectadas, leíamos noticias como que habían cazado in fragainti a un frigorífico que había mandado mensajes electrónicos de spam. Thinkpoint, la empresa de seguridad que lo descubrió, monitorizó en ese año nada menos que 100.000 objetos del IoT que, una vez pirateados, enviaron 750.000 emails.
Los primeros objetos del IoT se fabricaron con una seguridad baja, muy baja, o nula, lo que explica que fuesen fáciles de piratear. Una vez hackeados, se convertían en zombies lanzando spam gratuito. Pero los modernos tampoco es que hayan mejorado mucho.
Varios años después, el estándar sigue bajo. O podríamos hablar del no-estándar, ya que uno de los problemas de este sector es que cada fabricante usa un software diferente, con lo que es muy difícil aunar fuerzas en pro de la seguridad.
El ataque DDoS que tumbó la red en EEUU y otras partes del mundo en 2016 surgió del Internet de las cosas, como un Caballo de Troya a la espera de ser conectado. En el caso del DDoS, el origen se encontraba en una red bot (botnet) con base en el malware Mirai, que se apropiaba de los objetos para ordenarles que demandasen información de determinadas webs, bloqueándolas.
En 2015, un grupo de expertos en ciberseguridad consiguieron hackear una de las neveras inteligentes de Samsung y acceder al calendario Google Calendar, lo que permitiría a los hackers hacerse con las contraseñas de este proveedor de correo (y de todo).
Ese mismo año se dieron dos noticias directamente relacionadas con la seguridad:
- una bomba médica (como las de insulina) de la empresa Hospira podía ser manipulada remotamente para cambiar la dosis gracias a su conexión inalámbrica;
- y algunos vehículos sin conductor que usan LiDAR para ver la carretera gracias a un conjunto de láseres podían ser hackeados gracias a esta forma de visión, pudiendo manipularse el acelerador y los frenos en remoto.
Dice el refrán que la cadena se rompe por el eslabón más débil, y en estos casos la seguridad era muy deficiente. Los objetos domésticos no lo son menos. Y es que el IoT no está tan maduro como debería.
Andrew McGill, editor en The Atlantic, creó en 2016 un servidor en Amazon que fingía ser una tostadora. En 40 minutos recibió el primer ataque, y a lo largo de un día la tostadora virtual había sido pirateada más de 300 veces.
En el mismo ataque DDoS mencionado previamente, el objeto del IoT doméstico más pirateado fue una pequeña cámara de vigilancia doméstica. De esas que compramos para mantener segura nuestra vivienda pero que, una vez hackeadas, dan a los piratas acceso total a nuestra vivienda.
En mayo de 2017 salió a la luz Reuben Paul, un niño de 11 años que era capaz de piratear objetos del IoT, entre lo que se incluía un Teddy Bear, esos osos tan frecuentes en Estados Unidos y que ahora llevan conexión WiFi y Bluetooth.
El IoT conectado al WiFi o con SIMs
Resulta evidente que algo hay que hacer, y que hay que hacerlo pronto por la tendencia exponencial que está tomando el asunto. Desde hace años estamos conectando nuestros dispositivos personales a Internet a través de nuestro teléfono. Brazaletes, lectores de ritmo cardíaco, auriculares bluetooth, lámparas e incluso vibradores y otros objetos.
Hasta ahora, nuestro teléfono móvil ha servido de barrera para la mayoría de los objetos conectados por Bluetooth. Por ejemplo, si alguien nos hackea vía bluetooth nuestros cascos inalámbricos, no podrá hacer mucho con ellos si no piratea también el móvil con el que los conectamos a Internet.
El problema aparece cuando el IoT usa tarjetas SIM o se conecta directamente al WiFi. No tenemos en cuenta que cualquier objeto directamente conectado a Internet es vulnerable al control externo. Sea una pinza amperimétrica para medir nuestro consumo eléctrico como las que anuncian para ahorrar luz, la aspiradora robótica que pulula cuando salimos de casa y, sí, también la nevera o el tostador mencionados antes.
Cuando conectemos todo a Internet
De momento, nuestra vivienda casi no tiene objetos del Internet de las Cosas. Como mucho la aspiradora de arriba y los teléfonos móviles. Pero estos últimos cuentan con un software capaz de hacer frente a las amenazas si no hacemos locuras con ellos.
En el caso de las aspiradoras, por ejemplo, casi todos los fabricantes piden al usuario que cambie la clave por defecto del WiFi, que elija una clave para la aspiradora y que, además, elija una clave de acceso a la App. De esta forma protegen mediante passwords el objeto desde todos los frentes (a menos que alguien nos ataque con un pincho USB).
Pero a medida que vayamos conectando todo a Internet (nuestros muebles y paredes incluidos, como pretende IKEA) no vamos a poder recordar todas las claves. Cada objeto será una pequeña grieta en nuestra vivienda que deberíamos tener controlada. De ahí que algunos expertos hablen de usar el cifrado de TOR para enmascarar nuestros objetos del IoT.
Algunos fabricantes se toman en serio la seguridad de cada uno de sus dispositivos. Después de tres años de investigación, Chain Security LLC afirmó que los programas y procesos de Lenovo en materia de seguridad no solo cumplían con los mínimos, sino que superaban a sus competidores.
La seguridad del IoT no solo afectará a que alguien nos trollee con la nevera. El control del vehículo conectado o el acceso a nuestro servidor médico son factores de vital importancia para nosotros. Y por lo tanto también para la industria de la seguridad.
En Lenovo | ¿Te pueden hackear tu cerebro y tus pensamientos?
Imágenes | iStock/scyther5, iStock/Chesky_W, Aksa2011, iStock/Chesky_W
