Ir a contenido

LA REVOLUCIÓN INDUSTRIAL 4.0

Alerta por la inseguridad del internet de las cosas

Los expertos avisan de la facilidad de realizar sabotajes mediante aparatos conectados a la red

Cámaras de vigilancia y grabadores de televisión se han usado ya en ataques a webs y servicios

Carmen Jané

Asistemtes añ congreso sobre internet de las cosas IOT World Congress, esta semana en Fira de Barcelona.

Asistemtes añ congreso sobre internet de las cosas IOT World Congress, esta semana en Fira de Barcelona. / RICARD FADRIQUE

"Estado de pánico". Esta es la definición de los expertos informáticos sobre el estado actual de la seguridad en los dispositivos conectados a internet. Y es que los impulsores de la llamada internet de las cosas (IOT, en sus siglas inglesas) se han echado a temblar con los últimos ataques informáticos --en especial el que tumbó a Twitter, Amazon y Spotify, entre otros, el pasado 21 de octubre-- para los que se usaron dispositivos que no eran ordenadores o móviles. 

Para muchas personas supuso también descubrir que el televisor, el router, la cámara de seguridad, el vigilabebés o cualquier electrodoméstico con conexión a internet puede convertirse en un arma en manos de delincuentes. Pero la industria, que ya había recibido avisos por todas partes sobre la falta de seguridad de los dispositivos, tuvo ese viernes 21 una confirmación flagrante. Y la IOT pasó de ser la «gran esperanza» a vivir su mes «horribilis».  

MILLONES DE DISPOSITIVOS

UNA REVOLUCIÓN EN CIERNES
La conexión de todo tipo de dispositivos a internet, la digitalización de los objetos o el internet de las cosas, parece una revolución imparable que se va a extender por el  ámbito personal, el doméstico, el industrial y el ciudadano. Desde los teléfonos móviles que todo el mundo lleva encima (las estadísticas ya hablan de más líneas de móviles que personas en España), a máquinas que comunican su estado a otras máquinas, como sensores o servidores de comunicaciones. Todas ellas tienen puntos en los que pueden sufrir un ataque informático, desde el software del propio dispositivo al de las redes que lo controlan, o al servidor con el que se comunica.

REVOLUCIÓN INDUSTRIAL 4.0
La industria de la energía, con robots y sensores que controlan líneas eléctricas o yacimientos submarinos, o incluso los contadores eléctricos domésticos que envían datos en tiempo real, es una de las más avanzadas en España, según García-Menéndez, donde aún hay sectores muy ajenos a conectar máquinas. A nivel mundial, un reciente informe de Vodafone sobre la adopción de IOT en las empresas asegura que el 60% sabría cómo gestionar la seguridad de sus proyectos aunque otro 30% admite los ha frenado «para evitar riesgos».

ELECTRODOMÉSTICOS
Los fabricantes de electrónica doméstica son más sensibles a la seguridad de sus dispositivos. La última moda es conectar aire acondicionado, caldera o lavadora desde el móvil. Amazon tiene un control doméstico que permite incluso comprar, y Netatmo es un termostato que controla la casa. Las empresas coreanas son líderes. Samsung afirma que todas sus teles tienen ya conexión (Smart TV), que para el 2017 el 90% de sus productos estarán conectados y que en cuatro años estarán todos preparados para integrarse con sensores. Su compatriota LG Electronics, en la misma línea, acaba de lanzar un robot aspiradora con cámara de vigilancia. En España, aún queda grande. Según la patronal de publicidad digital, IAB, en el 2015, solo el 68% los dueños de una Smart TV usaban la conexión a internet de forma habitual. El otro 32% ni la había encendido.

«Hay listas con más de 300.000 dispositivos de los que se conocen las contraseñas y que nadie puede cambiarlas, por lo que son potencialmente vulnerables. Si de 6.000 millones de dispositivos que existen en el mundo conectados a internet solo el 5% no estuvieran bien configurados o fuera atacables, ya sería un desastre», resume Manel Medina, director del máster de la UPC en ciberseguridad y coautor del libro Cibercrimen. 
    
AVISOS DE GURÚS

Un gurú como Phil Zimmermann, inventor del PGP, el protocolo de criptografía más utilizado en internet, una semana antes del fatídico 21 de octubre, no dudaba en calificar días antes la seguridad del IOT de «completo desastre» en una conferencia ante los expertos de la agencia de la UE para la ciberseguridad (ENISA) en León y pidió que al menos se revise el sistema de cifrados. Y el consorcio Securing Smart City, en el que participan compañías de seguridad y antivirus y que lleva años denunciando fallos, volvía a lanzar este pasado septiembre una alerta sobre vulnerabilidades detectadas en sistemas de control del tráfico en las carreteras, en aeropuertos o en la venta de entradas o billetes de transporte.
    
Tras el ataque, ISACA, entidad internacional que audita la calidad de software, ha reclamado que se tengan en cuenta los estándares de seguridad a la hora de permitir comercializar cualquier dispositivo conectado. «Es contradictorio observar cómo los equipos industriales, en general, son diseñados, fabricados e instalados observando altísimas medidas de seguridad (resistencia a presiones, temperaturas, funcionamiento en modo de fallo, apagado seguro…) pero el software de estos mismos equipos no pasa por un proceso equivalente de securización», dice en su blog el capítulo español de ISACA.

Fallos en dispositivos conectados como un coche autónomo, controles domóticos o de vigilancia, un dispositivo médico, una central de energía, o incluso las infraestructuras urbanas conectadas (semáforos, cambios de agujas ferroviarias) podrían implicar riesgos para la vida de las personas, insisten.

PRESTACIONES LIMITADAS 

Pero los expertos en ciberseguridad se encuentran con que los fabricantes crearon máquinas con poca memoria y prestaciones muy limitadas que en principio solo debían ser usadas para sus funciones originales y que tienen muy poco margen para la mejora. «Se descubrió un ataque a unas placas fotovoltaicas porque se bloqueaban al conectarse a internet, y es que alguien las estaba utilizando para otros fines», recuerda Medina.  Para el día 21, se usaron muchas cámaras de videovigilancia y grabadores de televisión de un fabricante concreto, Hangzhou Xiongmai Technology, pero esto no excluye a los demás. 

«El papel de la seguridad en el internet de las cosas es ninguno. Los fabricantes han tenido como criterio reducir costes más que primar la calidad del software, en parte por las prisas de sacar las cosas pronto al mercado», sostiene Miguel García-Menéndez, del Centro de la Ciberseguridad Industrial, 

«El ataque del viernes, sin embargo, no va a servir de acicate para que los fabricantes de dispositivos se pongan las pilas. Son cosas muy lentas. En los foros parece que siempre seamos los mismos autoconvenciéndonos y, además, en la industria, la digitalización de las máquinas todavía va muy lenta. Pasa al revés, hay fallos por obsolescencia», afirma. 

0 Comentarios
cargando