Alerta por la inseguridad del internet de las cosas

"Estado de pánico". Esta es la definición de los expertos informáticos sobre el estado actual de la seguridad en los dispositivos conectados a internet. Y es que los impulsores de la llamada internet de las cosas (IOT, en sus siglas inglesas) se han echado a temblar con los últimos ataques informáticos --en especial el que tumbó a Twitter, Amazon y Spotify, entre otros, el pasado 21 de octubre-- para los que se usaron dispositivos que no eran ordenadores o móviles. 

Para muchas personas supuso también descubrir que el televisor, el router, la cámara de seguridad, el vigilabebés o cualquier electrodoméstico con conexión a internet puede convertirse en un arma en manos de delincuentes. Pero la industria, que ya había recibido avisos por todas partes sobre la falta de seguridad de los dispositivos, tuvo ese viernes 21 una confirmación flagrante. Y la IOT pasó de ser la «gran esperanza» a vivir su mes «horribilis».  

{"zeta-legacy-despiece-vertical":{"title":"MILLONES DE DISPOSITIVOS","text":"ELECTRODOM\u00c9STICOS \t\tLos fabricantes de electr\u00f3nica dom\u00e9stica son m\u00e1s sensibles a la seguridad de sus dispositivos. La \u00faltima moda es conectar aire acondicionado, caldera o lavadora desde el m\u00f3vil. Amazon tiene un control dom\u00e9stico que permite incluso comprar, y Netatmo es un termostato que controla la casa. Las empresas coreanas son l\u00edderes. Samsung afirma que todas sus teles tienen ya conexi\u00f3n (Smart TV), que para el 2017 el 90% de sus productos estar\u00e1n conectados y que en cuatro a\u00f1os estar\u00e1n todos preparados para integrarse con\u00a0sensores. Su compatriota LG Electronics, en la misma l\u00ednea, acaba de lanzar un robot aspiradora con c\u00e1mara de vigilancia. En Espa\u00f1a, a\u00fan queda grande. Seg\u00fan la patronal de publicidad digital, IAB, en el 2015, solo el 68% los due\u00f1os de una Smart TV usaban la conexi\u00f3n a internet de forma habitual. El otro 32% ni la hab\u00eda encendido."}}

«Hay listas con más de 300.000 dispositivos de los que se conocen las contraseñas y que nadie puede cambiarlas, por lo que son potencialmente vulnerables. Si de 6.000 millones de dispositivos que existen en el mundo conectados a internet solo el 5% no estuvieran bien configurados o fuera atacables, ya sería un desastre», resume Manel Medina, director del máster de la UPC en ciberseguridad y coautor del libro Cibercrimen. 

AVISOS DE GURÚS

Un gurú como Phil Zimmermann, inventor del PGP, el protocolo de criptografía más utilizado en internet, una semana antes del fatídico 21 de octubre, no dudaba en calificar días antes la seguridad del IOT de «completo desastre» en una conferencia ante los expertos de la agencia de la UE para la ciberseguridad (ENISA) en León y pidió que al menos se revise el sistema de cifrados. Y el consorcio Securing Smart City, en el que participan compañías de seguridad y antivirus y que lleva años denunciando fallos, volvía a lanzar este pasado septiembre una alerta sobre vulnerabilidades detectadas en sistemas de control del tráfico en las carreteras, en aeropuertos o en la venta de entradas o billetes de transporte.

Tras el ataque, ISACA, entidad internacional que audita la calidad de software, ha reclamado que se tengan en cuenta los estándares de seguridad a la hora de permitir comercializar cualquier dispositivo conectado. «Es contradictorio observar cómo los equipos industriales, en general, son diseñados, fabricados e instalados observando altísimas medidas de seguridad (resistencia a presiones, temperaturas, funcionamiento en modo de fallo, apagado seguro…) pero el software de estos mismos equipos no pasa por un proceso equivalente de securización», dice en su blog el capítulo español de ISACA.

Fallos en dispositivos conectados como un coche autónomo, controles domóticos o de vigilancia, un dispositivo médico, una central de energía, o incluso las infraestructuras urbanas conectadas (semáforos, cambios de agujas ferroviarias) podrían implicar riesgos para la vida de las personas, insisten.

PRESTACIONES LIMITADAS

Pero los expertos en ciberseguridad se encuentran con que los fabricantes crearon máquinas con poca memoria y prestaciones muy limitadas que en principio solo debían ser usadas para sus funciones originales y que tienen muy poco margen para la mejora. «Se descubrió un ataque a unas placas fotovoltaicas porque se bloqueaban al conectarse a internet, y es que alguien las estaba utilizando para otros fines», recuerda Medina.  Para el día 21, se usaron muchas cámaras de videovigilancia y grabadores de televisión de un fabricante concreto, Hangzhou Xiongmai Technology, pero esto no excluye a los demás. 

«El papel de la seguridad en el internet de las cosas es ninguno. Los fabricantes han tenido como criterio reducir costes más que primar la calidad del software, en parte por las prisas de sacar las cosas pronto al mercado», sostiene Miguel García-Menéndez, del Centro de la Ciberseguridad Industrial, 

«El ataque del viernes, sin embargo, no va a servir de acicate para que los fabricantes de dispositivos se pongan las pilas. Son cosas muy lentas. En los foros parece que siempre seamos los mismos autoconvenciéndonos y, además, en la industria, la digitalización de las máquinas todavía va muy lenta. Pasa al revés, hay fallos por obsolescencia», afirma.