• Sindicato de Trabajadores Informáticos de la República Argentina
    Sindicato de Trabajadores Informáticos de la República Argentina
  • Categorías

Las fallas de seguridad de los objetos conectados a la Red son una grieta para los ciberataques ¿Podrán, ahora sí, apagarla?

¿Se puede apagar internet? Hasta hace algunos años, responder “sí” a esta pregunta requería pensarlo no una, sino varias veces. También, considerar una fuerza poderosa ejecutando un ciberataque tan coordinado que pudiera sortear todas las barreras de seguridad de todas las capas de la Red. Sin embargo, en nuestro afán consumista y tecnófilo, hemos conectado tantos millones de objetos a la señal de wifi que son ellos mismos los que, en forma de ejércitos de robots zombis controlados al mismo tiempo, pueden ser utilizados como armas. La imagen -televisores, heladeras, cámaras y módems con sus lucecitas azules como ojos caminando en bloque- de internet de las cosas derrumbando la Red misma ya no es ciencia ficción. Está ocurriendo. Por ahora, a modo de advertencia. Quizás como amenaza real.

La historia (en su forma real) comenzó el 23 de septiembre de este año. El periodista Brian Krebs, quien habitualmente cubre temas de seguridad informática, recibió un ataque que hizo “caer” su página web. La metodología que usaron sus ciberagresores fue habitual: un ataque distribuido de denegación de servicio, más conocido como DDoS. Explicado de manera sencilla, se trata de realizar muchos requerimientos, al mismo tiempo, a una misma dirección web, con lo cual esa página colapsa y se cae. Como reportero dedicado a ocuparse de todo tipo de hackers, la arremetida no parecía extraña. Sin embargo, su magnitud sí lo fue, y puso a la comunidad informática en alerta.

El ataque tenía el doble de peticiones de las habituales y había utilizado cámaras digitales, routers domésticos y otros objetos conectados a internet como vehículos de un software de ataque conocido como Mirai.

“En nuestro afán consumista y tecnófilo, hemos conectado tantos millones de objetos a la señal de wifi que son ellos mismos los que, en forma de ejércitos de robots zombis controlados al mismo tiempo, pueden ser utilizados como armas. La imagen -televisores, heladeras, cámaras y módems con sus lucecitas azules como ojos caminando en bloque- de internet de las cosas derrumbando la Red misma ya no es ciencia ficción. Está ocurriendo.”

Los DDoS, hasta hace algún tiempo, se valían de muchas computadoras conectadas en red atacando. Pero ahora esas computadoras, además, usaban todo un ecosistema de objetos “bobos” que interceptaban a su favor y que estaban (están) en cualquier lado, a nuestro alrededor.

Ante el ataque hacia Krebs, el veterano académico y periodista Bruce Schneier escribió un artículo que rápidamente circuló en la comunidad informática internacional, y trascendió también sus fronteras. “Necesitamos salvar a internet de internet de las cosas”, reclamaba Schneier el 6 de octubre, y hacía un llamado concreto: “Esto va a permanecer inseguro a menos que los gobiernos se involucren para solucionar el problema”. Ese problema no es más que uno. Algunos lo advertimos desde hace tiempo, aunque los tecnooptimistas lo soslayen y sepulten bajo millones de dólares en publicidad y marketing: los objetos que utilizamos cada día de nuestra vida son fabricados por un sinfín de empresas que quieren, en primer lugar, vender, y mucho. Mientras compremos sus objetos, nos ofrecerán un poco de seguridad para que confiemos en ellas, pero no tanta como para no correr riesgos al utilizar sus aparatos. Y no solo eso, nos dirán bastante poco de las implicancias de seguridad (o más bien de inseguridad) a las que nos sometemos cuando elegimos primero la comodidad de solucionarnos un problema y luego pensar si en esa solución no compramos otro conflicto.

Las cámaras de videovigilancia son un caso elocuente: el 100% presenta vulnerabilidades de seguridad. Y estamos rodeados de ellas. Schneier sostiene un buen argumento para que esto no se solucione: “Los dueños de esas cámaras no se preocupan por ello. Además, son baratas. Es lo que los economistas llaman una externalidad: el efecto de una decisión de compra que afecta a otra persona”. Por eso, dice este profesor de Harvard, el siguiente paso es transformar el conflicto en un problema político y hacer que los gobiernos impongan regulaciones de seguridad a los fabricantes de internet de las cosas. Será un problema internacional, advierte, porque tanto los productores de tecnología como la internet misma son industrias planetarias. No bastará con que un país tome la decisión, sino que todos tendrán que involucrarse en esta solución de cara al futuro.

Mientras eso ocurre, el problema crece. El viernes 21 de octubre de 2016 será recordado como el día en que 10 millones de direcciones IP se unieron en un ataque masivo que tiró abajo sitios masivos como Twitter, Spotify, Ebay, PlayStation, PayPal, Netflix, y webs de noticias como The New York Times. Un nuevo ataque masivo de botnets (redes de robots) utilizando dispositivos de internet de las cosas se producía en la mañana de un viernes, se repetía esa misma tarde, y todos sabían que se trataba de un mensaje: estamos rodeados de objetos que pueden ser infectados y controlar internet. Fue el ataque más grave de la década y estuvo minuciosamente planificado, ya que embistió sobre grandes proveedores de la infraestructura de internet como Level 3 (que maneja el 72% de las conexiones del planeta) y los DNS, algo así como la libreta de direcciones central de toda la Red. La agresión inutilizó servidores clave de la Red en el mundo: si se toca el sistema nervioso de las direcciones, se genera un caos de tráfico similar a cortar todas las autopistas de entrada a una ciudad.

Ese viernes a la noche, cuando el temblor pasó, comenzaron las hipótesis. Y las preocupaciones por el futuro. El software utilizado también había sido Mirai. Pero solamente se había aprovechado en un 10% de su capacidad. ¿Qué hubiese ocurrido si se recurría a todo su potencial? Los responsables de los ciberejércitos más poderosos del mundo estaban en alerta. El departamento de Seguridad Nacional de Estados Unidos asumió el problema y afirmó: “Los ataques DDoS son muy poderosos para el cibercrimen”. Un título destinado a darle real dimensión al asunto y calmar una preocupación. Sin embargo, todavía queda resolver el centro del asunto: ¿Los países seguirán acrecentando sus filas de defensores informáticos como única solución al problema? ¿O habrá llegado la hora de que también se preocupen por regular la industria privada desde el Estado, para que los productos que se venden en un supermercado no se transformen en armas masivas? La respuesta, como casi todas las de la tecnopolítica, es ideológica. La opción uno es dejar que el mercado tome nuestras vidas. La opción dos es interceder antes de que sea tarde.

Tags:

También te puede interesar

“La apuesta del Estado por la tecnología es fundamental”

El ejecutivo de NeuralSoft Germán Viceconti sostuvo que “la apuesta que realiza el Estado ...

IBM: PESE A LAS PRESIONES, HOY PARAN

La medida de fuerza la encabeza el gremio Unión Informática y se desarrollará en ...