211service.com
Una Internet de cosas traicioneras
Muchas historias de ciencia ficción presentan electrodomésticos ordinarios que organizan una revuelta. en un episodio de Futurama , tostadoras y robots domésticos se rebelan contra sus opresores humanos. Dos tendencias ahora están comenzando a hacer que tales escenarios parezcan menos descabellados.
Uno es la ola de dispositivos de Internet de las cosas que se están desarrollando para los hogares, en plena exhibición en la feria comercial CES la semana pasada. El otro es el aumento de la piratería de equipos de redes domésticas, como lo demuestra una horda de zombis de enrutadores de redes domésticas descubiertos recientemente.
Docenas de empresas exhibieron dispositivos y electrodomésticos conectados a Internet en CES, desde bombillas inteligentes hasta lavadoras controladas por teléfonos inteligentes. Samsung llegó incluso a prometer que todos sus productos estarían conectados a Internet para 2020 (ver CES 2015: Internet de casi todo).
Mientras tanto, Brian Krebs, investigador de seguridad y escritor, revelado la semana pasada que los piratas informáticos habían construido una red llamada Lizard Stressor que otras personas pueden usar para desconectar sitios web, ya sea para crear molestias o con fines delictivos. Las redes de computadoras personales o servidores que se convierten en bots no son nada nuevo. Lo que Krebs descubrió, sin embargo, es que Lizard Stressor se basa en los enrutadores que se usan en los hogares y las redes comerciales. Los dispositivos infectados o comprometidos que están conectados a una red doméstica podrían usarse para fines más nefastos. Podrían proporcionar un punto de partida para entrar en computadoras personales o usarse para capturar datos que pasan a través de la red doméstica, incluidas contraseñas o detalles de tarjetas de crédito.
La facilidad con la que estos enrutadores se vieron comprometidos quizás no sea sorprendente. Está bien documentado que la mayoría de los enrutadores domésticos se envían con un software fácil de explotar o con un panel de control administrativo que utiliza un nombre de usuario y una contraseña predeterminados, como admin.
Los dispositivos inteligentes suelen incluir funciones de red similares. Y a medida que más electrodomésticos estén informatizados y conectados a Internet, los piratas informáticos podrían centrar su atención en estos nuevos objetivos.
Varios factores contribuyen a la inseguridad de los equipos de redes domésticas. Los consumidores normalmente no compran equipos en función de los requisitos de seguridad utilizados por los profesionales de TI, como una garantía de actualizaciones del sistema operativo durante un período de tiempo determinado. Más bien, el bajo precio impulsa los hábitos de compra y las funciones se incluyen de manera desigual en el hardware más barato, incluso de los principales proveedores.
También existe una tensión entre reforzar la seguridad y hacer las cosas más convenientes para los usuarios. Establecer un nombre de cuenta y contraseña únicos para cada enrutador sería relativamente trivial, ya que requeriría un paso físico durante la autenticación, como insertar un USB. Pero estos movimientos de seguridad frustran a muchos usuarios. Y esto los lleva a hacer llamadas de atención al cliente y devolver dichos dispositivos a la tienda.
Incluso cuando los dispositivos están diseñados de forma segura, los puertos abiertos diseñados para permitir comunicaciones legítimas con otras computadoras pueden permitir el acceso remoto no deseado y el software puede estar desactualizado. En septiembre, una empresa dijo que 1,2 millones de enrutadores con un protocolo común podría abordarse fácilmente . En diciembre, se descubrió que un error reparado en 2002 aún existen en 12 millones de enrutadores domésticos . Un método común para que los ISP accedan a los enrutadores de los clientes también es un camino probable de explotación para millones de dispositivos.
Los dispositivos, incluso los lanzados por los principales fabricantes, tienden a no actualizarse por tres razones: los fabricantes descontinúan el soporte para mantener bajos los costos; los fabricantes se hunden o salen del negocio; y los clientes pueden estar mal equipados para manejar la operación técnica de actualización del firmware, que puede implicar la descarga de un parche y la carga de uno a través de una interfaz administrativa en un navegador web.
Cientos de millones de enrutadores domésticos y de pequeñas oficinas ya están implementados en todo el mundo. La cantidad de dispositivos de Internet de las cosas se estima en el rango de cuatro a cinco mil millones en la actualidad y se espera que crezca a 25 a 50 mil millones dentro de cinco años. Dichos dispositivos pueden tener debilidades similares a las que se encuentran en los equipos de redes domésticas, especialmente cuando las empresas se apresuran a producir nuevos productos.
Algunos reguladores parecen conscientes de las trampas y parecen dispuestos a prevenir el tipo de vulnerabilidades que afectan a las generaciones anteriores de dispositivos integrados. La presidenta de la Comisión Federal de Comercio de los Estados Unidos, Edith Ramírez, pronunció un discurso de apertura de ocho páginas en CES detallando la preocupación de su agencia sobre la privacidad, la recopilación de datos y la seguridad, poniendo sobre aviso a los fabricantes de dispositivos de Internet de las cosas. Quizás esta vez, escucharán.