Ya nada es ‘inhackeable’: la conclusión de Defcon y Black Hat

Ese pequeño puerto es peligroso.

Agosto podría ser el mes de la seguridad informática. En Las Vegas (EE. UU.) se llevan a cabo las dos conferencias más importantes de la industria: Black Hat y Defcon. Este año, los dos eventos se caracterizaron por desnudar la laxa seguridad que tiene un nuevo segmento en la industria de la tecnología: el internet de las cosas. Hoy, casi todos los productos que tengan una pequeña dosis de tecnología tienen una conexión a internet. Esta nueva tendencia seguramente mejorará la vida de muchos usuarios y creará nuevos empleos y mercados. Sin embargo, tiene un gran problema de seguridad.

El internet de las cosas tiene serios problemas de seguridad

En el pasado, la seguridad informática se asociaba principalmente con los computadores y los servidores. Después, con la llegada de los dispositivos móviles inteligentes, empezaron a aparecer ataques contra celulares y tabletas, especialmente en Android.

Lo más llamativo de estas conferencias son las presentaciones de investigadores que demuestran nuevas vulnerabilidades que tienen los sistemas. La principal tendencia de este año fue el ataque a elementos que antes pensábamos que eran ‘inhackeables’. Aquí van:

Vulnerar un avión con el Wi-Fi y el sistema de entretenimiento

hacks
Ese pequeño puerto puede ser muy peligroso.

Una de las mejoras más importantes que han tenido los aviones recientemente son los sistemas de entretenimiento. Todavía me acuerdo cuando las aeronaves tenían un televisor gordo colgado en la parte superior del fuselaje. Y ni hablar de las pésimas películas que pasaban, o de la distorsión cuando había turbulencia. Ahora, en los vuelos más largos, cada silla tiene su propia pantalla con diferentes opciones de contenido. Además, muchas aerolíneas tienen un conector USB para cargar los dispositivos o redirigir el contenido del móvil a la pantalla del asiento.

Sin embargo, en el desarollo de ese sistema no se tuvo en cuenta la seguridad. De acuerdo a una presentación de Ruben Santamarta (excelente nombre, por cierto), es posible acceder a los sistemas satelitales y de comunicación de un avión por medio del módulo de entretenimiento y el Wi-Fi. Así, el atacante teóricamente podría controlar algunos datos que recibe el piloto.

Esto no quiere decir que puedan estrellar el avión, aseguró el investigador en Mashable. Además, es complicado replicar el ataque en una situación real ya que la prueba se hizo en un laboratorio después de estudiar el sistema y realizar una ingeniería inversa. Sin embargo, es una muestra de los problemas en el desarrollo de este tipo de equipos.

Esto no quiere decir que puedan estrellar el avión

«El hecho es que las vulnerabilidades están ahí», dijo Santamarta. «Es algo que deberían arreglar», agregó. Otros expertos consultados por Reuters reiteraron la necesidad de mejorar la seguridad de los sistemas en los aviones. «El punto básico de sus descubrimientos da mucho miedo porque involucra medidas de seguridad muy básicas», le explicó Vincenzo Iozzo, miembro de la junta de Black Hat, a Reuters.

A su vez, las empresas fabricantes vieron las conclusiones de Santamarta y dijeron que revisarían el tema, reiterando que el riesgo es mínimo. Cobham, una de estas organizaciones, aseguró que el atacante necesitaría acceso físico al equipo para ingresar al sistema. La empresa dijo que es imposible vulnerar los sistemas desde el puesto de un pasajero.

Más allá de la posibilidad real de un ataque como estos, la investigación sí abre la puerta para que los fabricantes de los sistemas tengan en cuenta que las medidas de seguridad son necesarias en cualquier situación.

El carro tampoco está a salvo

Otro de los medios de transporte vulnerados por los investigadores en Black Hat es el automóvil. «El hacking de carros definitivamente va a llegar», dijo Zoz, uno de los investigadores que habló en la conferencia sobre este tema. Zoz mostró cómo es posible dañar los sistemas que usan los carros autónomos que llegarán al mercado.

El investigador usó dos métodos: una denegación de servicio y ‘spoofing’ (clonar la señal original y reemplazarla por una del atacante). Los carros autónomos dependen de una serie de sensores y radares para reconocer los otros carros en la carretera, los obstáculos y las señales de tránsito. Zoz demostró cómo es posible, con un ‘GPS jammer’, interceptar las señales de los sensores y modificarlas o sobrecargarlas para dañarlas.

«Ahora que hemos publicado los datos, podemos empezar a pensar en como prevenir los ataques», dijo Charlie Miller, otro de los investigadores que mostró como controló un carro autónomo con un portátil. «Cuando hablo de ataques y medidas, quiero que pienses en las medidas», complementó Zoz.

Con un simple mensaje de texto, Bailey ingresó al sistema

Ford y Toyota dijeron que están enfocados en prevenir los ataques. De acuerdo con Cnet, las automotrices aseguraron que aunque están trabajando para hacer sus productos más seguros, la tecnología inalámbrica de por sí es insegura.

Defcon
Este fue el carro vulnerado.

Más allá de controlar los carros autónomos, también vimos cómo es posible vulnerar el sistema de bloqueo de un automóvil. Don Bailey, consultor de iSec, logró hackear el sistema de alarma de un Subaru Outback. El método es lo más interesante. Con un simple mensaje de texto, Bailey ingresó al sistema y abrió el carro.

Las cámaras de seguridad: de carcelero a prisionero

Las cámaras de seguridad han sido implementadas en muchos negocios y hasta en los hogares. La tecnología ya es lo suficientemente barata y amigable como para que muchas personas hayan instalado este tipo de cámaras en varios sitios. Y todo con el propósito de asegurar los lugares, sus pertenencias y a sus seres queridos.

Pero, como era de esperarse, unos investigadores lograron convertir un elemento de seguridad en un arma para atacar.

De acuerdo con CNN, unos investigadores lograron controlar las cámaras de seguridad y capturar las fuentes de video para verlas en una pantalla diferente a la del propietario. De esta forma, el vigilante se convirtió en el vigilado. En otra presentación se demostró cómo abrir las puertas inteligentes que tienen algunas empresas y que ya están apareciendo en los hogares más nuevos. Estas chapas usan huellas digitales o claves para abrir la puerta, algo que los investigadores pudieron vulnerar y desactivar.

TechWorld explica cómo Dave Kennedy y Rob Simon usaron la red eléctrica de un hogar para controlar las alarmas de la casa y las cámaras de seguridad. Simplemente conectaron un dispositivo a una toma externa y lograron ver si la alarma estaba habilitada, tras lo cual pudieron ver dentro de la casa con las cámaras. Además, demostraron la forma de bloquear la señal del sistema de alarmas para que no notifique a la central.

Por su parte, Aaron Graffafiori y Josh Yavor mostraron como controlar un televisor Samsung modelo 2012, prender su cámara y ‘vigilar’ al televidente. Samsung aseguró que ya sacó un parche para arreglar la falla.

Lo que te cura te puede lastimar

Parece que nada está a salvo de los ataques informáticos. Por fortuna, todas las vulnerabilidades que hemos publicado acá y que se mostraron en Defcon y Black Hat tienen la misión de educar a la comunidad y arreglar los problemas.

Muchos diabéticos dependen de una bomba de insulina para regular la enfermedad. Jerome Radcliffe, un experto en seguridad que padece de ese mal, demostró cómo es posible interceptar la señal inalámbrica de la bomba para controlar el dispositivo. Una vez explotada la vulnerabilidad, el atacante podría corromper la información y lastimar al paciente.

Como si fuera poco, The Verge también reportó que Barnaby Jack logró vulnerar un marcapasos y potencialmente matar un paciente. Lastimosamente el famoso hacker murió hace unas semanas, pero eso no elimina la posibilidad de que el ataque sea realizado por otros, y menos hace que el hueco de seguridad deje de existir.

Estos nuevos ataques muestran una triste realidad: entre más dispositivos estén conectados a internet, más oportunidades tendrán los hackers de hacer sus fechorías. Estas nuevas revelaciones deben alertar a la comunidad y poner a la seguridad como una prioridad. Los fabricantes de tecnología no pueden desechar este aspecto solo porque no es un computador o un dispositivo móvil.

Estas nuevas revelaciones deben alertar a la comunidad

Ahora, tampoco hay que vivir asustados y dejar de confiar en los nuevos dispositivos o en los sistemas. Pero sí hay que tener en cuenta que es necesario tomar medidas de seguridad básicas; no hacerlo sería como no ponerle seguro al carro o a la casa. Tener conocimiento de las vulnerabilidades y prevenir los ataques con medidas básicas puede ser suficiente para proteger muchos sistemas.

Imagenes: Wikimedia Commons, Wikimedia Commons,

Mateo Santos

Mateo Santos

En vez de un tetero, nací con un Mac Classic en mi cuarto. Esa caja con pantalla en blanco y negro fue mi primera niñera. Por ahí, también rondaba un balón de fútbol y una camiseta de Millonarios. Desde ese día, sabía que la tecnología y el fútbol iban a ser mi estrella de Belén. El primer juego que tuve en mis manos fue Dark Castle, también en un Macintosh. No me gusta la música. Soy un amante escéptico de la tecnología. Hago parte del proyecto de ENTER.CO para llenar el vacío en información de tecnología que hay en América Latina, o como dirían los enterados, en LATAM. Me gradué de Administración de Empresas en los Andes y después hice una maestría en periodismo en la Universidad Europea de Madrid.

Ver todos los posts

14 comentarios

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Archivos