Es muy entendible que con la llegada del internet de las cosas, los fanáticos de la tecnología esperen con ansias que muchas de las promesas futuristas que nos hizo la ciencia ficción en el pasado, se vuelvan al fin realidad. Y la verdad es que los profesionales de la ciber-seguridad no estamos acá para aguarle la fiesta a nadie, sino que para que nos detengamos a pensar en qué podría salir mal y hacer algo al respecto.
Hace algunas semanas compartí un artículo explicando algunos de los riesgos del internet de las cosas o IoT (por sus siglas en inglés), y esta vez quiero contarles el detalle sabroso de casos reales en que las cosas han ido mal. Para que los tips de prevención que enumeramos en la ocasión anterior, ¡cobren real importancia!
Pero primero, ¡recordemos qué es el IoT!
El internet de las cosas llegó para quedarse. El concepto es sumamente amplio y se refiere a objetos que son capaces de intercambiar datos con sistemas computacionales. Esto permite recopilar información sobre sistemas físicos -es decir, sobre el “mundo real”- a través de sensores y también ejecutar acciones de forma remota gracias a lo que se conoce como “actuadores”. ¿Cómo es eso?
Algunos ejemplos de sensores son aquellos que miden temperatura, detectan presencia de alguien, capturan imágenes (cámaras web) e incluso monitorean signos vitales de una persona. Ejemplos de actuadores son motores, válvulas y switches inteligentes, los que son capaces de actuar sobre el mundo real. La cantidad de aplicaciones y usos que esto tiene es muy grande, tanto así que hoy en día IoT está presente en prácticamente todas las industrias y disciplinas del quehacer humano: transporte, salud, gobierno y seguridad pública, retail, agricultura e industria alimenticia, deportes y entretenimiento, energía y servicios (utilities), banca y finanzas, y educación y sistemas industriales (como minería y manufactura, por ejemplo).
En Chile aún estamos debutando en la aplicación de IoT a muchos aspectos de nuestra vida diaria, por ejemplo en cuanto a la incorporación masiva de medidores de electricidad inteligentes. Sin embargo, en otras partes del globo ya se discuten temas como la adopción de vehículos autónomos (que se manejan “solos”) y las implicancias legales, éticas o técnicas que esto pueda tener.
Pero como dijimos, no todo es color de rosa, y los sistemas pueden fallar. Por eso hay que estar preparados. Veamos algunos casos impresionantes de ciberataques en la historia:
El primer ciberataque registrado
La conexión de sistemas computacionales con el mundo físico no es algo tan nuevo, y los ataques a estos sistemas tampoco. El primero registrado sucedió en Siberia, en 1982, y tuvo como objetivo un sistema industrial. El ataque se realizó a través de los sistemas computacionales utilizados para controlar la industria, y llevó a la explosión de un oleoducto (sí, eso mismo) por causa de un software malicioso (malware) del tipo troyano, instalado en los computadores que controlaban la presión.
La venganza de las aguas servidas
El año 2000, una planta de tratamiento de aguas en Queensland fue atacada, provocando diversos daños ecológicos por derramamiento de aguas servidas. El atacante pertenecía a la empresa contratista que instaló algunos de los sistemas de control industrial, por lo que tenía todas las contraseñas de acceso. ¿El motivo? Estaba enojado porque no lo aceptaron como empleado en la planta.
Los ataques provocados por personal interno de las empresas o por contratistas, no son poco frecuentes. Puede ser por venganza, como en este caso, o también a veces se pueden producir incidentes por negligencia o falta de conocimientos de ciber-seguridad.
Ciberataque, ¡en una planta nuclear!
Muchas industrias trabajan con equipos computacionales dedicados a controlar procesos que no son computadores propiamente tales, ya que poseen funciones más sencillas que las que pueden generarse a través de un software. Un tipo muy común, es el controlador lógico programable (PLC por sus siglas en ingles). Este tipo de tecnología precede a la idea de IoT, pero hoy en día se considera parte de lo mismo.
En 2010 se descubrió un malware llamado Stuxnet, que fue creado especialmente para infectar PLC, ¡y se descubrió nada menos que en una planta nuclear en Irán! Por mucho tiempo no se supo qué era lo que provocaba que varias de las centrífugas nucleares se descompusieran. No se sabe por cuántos años estuvo operando el ataque ni tampoco exactamente quién lo inició. Se sospecha que algún infiltrado introdujo un pendrive infectado en un puerto USB, pues las plantas nucleares no se conectan solas a internet por razones de seguridad. Hay quienes dicen también que esto sería una maquinación de EEUU e Israel, pero no está comprobado.
¿No les has cambiado la clave a tu dispositivo? Esto podría sucederte…
En octubre del 2016 se registró el ataque de denegación de servicio distribuido (DDoS) más grande de la historia. ¿Qué es eso?
Un DDoS consiste en que distintos dispositivos mandan solicitudes de conexión a un servicio (por ejemplo a una página web) al mismo tiempo, provocando que colapse o se cuelgue. La víctima en este caso fue Dyn, una empresa que presta servicios a Twitter, Netflix, Redit, Spotify y CNN, provocando que todos estos sitios tuvieran problemas de disponibilidad por varias horas en EEUU y Europa.
Esto fue provocado gracias a un arma cibernética conocida como Mirai, programado para infectar diversos dispositivos IoT como impresoras, cámaras, routers y monitores de bebé. Una vez infectados los dispositivos, son controlados remotamente para ser utilizados como bots (robots o “zombies”) en un ataque contra un tercero, que es lo que pasó en este caso.
El malware funciona con una lista de usuarios y claves de fabricantes conocidos, buscando a través de internet dispositivos IoT, y realizando intentos de conexión con esta lista. Se cree que la mayoría de los dispositivos IoT a los que el usuario no les ha cambiado la clave nunca, tienen instalada alguna versión de Mirai o malware similar, sin que sus dueños se den por enterados.
Para eliminar el malware, solo hay que reiniciar el aparato y cambiar la clave para que no se vuelva a infectar. Es simple, pero la gente no lo hace por desconocimiento o porque en realidad no les afecta directamente (por ahora).
Un Jeep Cherokee conducido por dos hackers
De todos los ciber-ataques que he estudiado, este es mi favorito. Por suerte no fue un ataque malicioso, sino realizado con la autorización de la víctima, lo que se denomina “hacking ético”. ¿De qué se trata?
Fueron dos los hackers que lograron con éxito enviar distintos comandos remotos a un Jeep Cherokee el 2015, mientras su dueño lo conducía. En el siguiente video se muestra lo que sucedió (y si te interesa la parte técnica, en este otro se explica cómo lo hicieron). Lamentablemente, no tiene subtítulos en español.
¿Para qué creen que alguien necesita una pecera inteligente?
Este caso se lo cuento a mis alumnos de un taller que hago en colegios. Les pregunto primero: “¿para qué creen que alguien necesita una pecera inteligente?”. En seguida responden que podría ser útil para controlar la temperatura y calidad del agua o alimentar automáticamente a los peces. Bueno sí, pero también les fue de mucha utilidad a unos hackers para robar un montón de información valiosa a un casino en las Vegas el 2017.
¿Cómo cuidarnos?
Historias como estas hay muchas, aunque la verdad es difícil estimar la cantidad exacta de casos de ataques o vulnerabilidades conocidas en IoT, debido a que la información no sale siempre a la luz. En base a la recopilación de noticias y artículos, reportes de empresas de seguridad e información compartida por otros investigadores, me atrevería decir que son al menos del orden de los cientos sino miles de incidentes cada año en el mundo relacionados con IoT donde se han visto involucrados cientos de miles de dispositivos.
No es mi intención que nadie entre en pánico, sino crear conciencia de que estos riesgos existen y son reales. De momento hay algunas acciones preventivas que se pueden tomar, como el uso de contraseñas seguras, lo cual se considera una medida de “higiene” básica en ciber-seguridad. Recuerda que en esta nota encontrarás otros vitales consejos, a los que en esta ocasión sumaremos:
- Debemos tomar conciencia que, como consumidores, tenemos poder de generar cambios en el mercado con nuestras conductas. Está comprobado que la seguridad no es un factor influyente en las decisiones de compra. Esto hace que para muchos fabricantes de IoT, la seguridad no sea una prioridad. La pregunta es si estamos dispuestos a exigir seguridad y tal vez pagar más por aparatos seguros.
- Otro factor de riesgo es cómo resguardamos la seguridad en nuestros computadores, celulares y tablets, que son en muchos casos puntos de acceso a nuestras cosas inteligentes. Tener un anti-virus actualizado, firewall, evitar compartir demasiados datos en redes sociales y solo bajar contenidos y permitir acceso a datos si las aplicaciones involucradas son de confianza, es clave.
- Respecto a las empresas, hay muchos estándares y guías de buenas prácticas emergentes que se hacen cargo de este tipo de sistemas. Instituciones como IoT Security Foundation, ENISA, la OWASP y Microsoft, así como diversas empresas de seguridad, tienen información disponible de manera gratuita y listas de recomendaciones que pueden ser útiles.
Sin embargo, todo esto recién está empezando, por lo mismo tampoco se cuenta con regulaciones que exijan el uso de estas prácticas. La buena noticia, es que ya somos muchos los profesionales en Chile y el mundo que estamos preparándonos en el tema y trabajando para que esto cambie.
¿Usas IoT en tu casa o empresa? ¿Tomas los resguardos?
Carolina Adaros Boye
Ingeniero, MSc y candidata a doctorado en ciber-seguridad
leído
