El internet de las cosas tiene serios problemas de seguridad

En el pasado, la seguridad informática se asociaba principalmente con los computadores y los servidores. Después, con la llegada de los dispositivos móviles inteligentes, empezaron a aparecer ataques contra celulares y tabletas, especialmente en Android.

Lo más llamativo de estas conferencias son las presentaciones de investigadores que demuestran nuevas vulnerabilidades que tienen los sistemas. La principal tendencia de este año fue el ataque a elementos que antes pensábamos que eran ‘inhackeables’. Aquí van:

Vulnerar un avión con el Wi-Fi y el sistema de entretenimiento

Una de las mejoras más importantes que han tenido los aviones recientemente son los sistemas de entretenimiento. Todavía me acuerdo cuando las aeronaves tenían un televisor gordo colgado en la parte superior del fuselaje. Y ni hablar de las pésimas películas que pasaban, o de la distorsión cuando había turbulencia. Ahora, en los vuelos más largos, cada silla tiene su propia pantalla con diferentes opciones de contenido. Además, muchas aerolíneas tienen un conector USB para cargar los dispositivos o redirigir el contenido del móvil a la pantalla del asiento.

Sin embargo, en el desarollo de ese sistema no se tuvo en cuenta la seguridad. De acuerdo a una presentación de Ruben Santamarta (excelente nombre, por cierto), es posible acceder a los sistemas satelitales y de comunicación de un avión por medio del módulo de entretenimiento y el Wi-Fi. Así, el atacante teóricamente podría controlar algunos datos que recibe el piloto.

Esto no quiere decir que puedan estrellar el avión, aseguró el investigador en Mashable. Además, es complicado replicar el ataque en una situación real ya que la prueba se hizo en un laboratorio después de estudiar el sistema y realizar una ingeniería inversa. Sin embargo, es una muestra de los problemas en el desarrollo de este tipo de equipos.

Esto no quiere decir que puedan estrellar el avión

“El hecho es que las vulnerabilidades están ahí”, dijo Santamarta. “Es algo que deberían arreglar”, agregó. Otros expertos consultados por Reuters reiteraron la necesidad de mejorar la seguridad de los sistemas en los aviones. “El punto básico de sus descubrimientos da mucho miedo porque involucra medidas de seguridad muy básicas”, le explicó Vincenzo Iozzo, miembro de la junta de Black Hat, a Reuters.

A su vez, las empresas fabricantes vieron las conclusiones de Santamarta y dijeron que revisarían el tema, reiterando que el riesgo es mínimo. Cobham, una de estas organizaciones, aseguró que el atacante necesitaría acceso físico al equipo para ingresar al sistema. La empresa dijo que es imposible vulnerar los sistemas desde el puesto de un pasajero.

Más allá de la posibilidad real de un ataque como estos, la investigación sí abre la puerta para que los fabricantes de los sistemas tengan en cuenta que las medidas de seguridad son necesarias en cualquier situación.

El carro tampoco está a salvo

Otro de los medios de transporte vulnerados por los investigadores en Black Hat es el automóvil. “El hacking de carros definitivamente va a llegar”, dijo Zoz, uno de los investigadores que habló en la conferencia sobre este tema. Zoz mostró cómo es posible dañar los sistemas que usan los carros autónomos que llegarán al mercado.

El investigador usó dos métodos: una denegación de servicio y ‘spoofing’ (clonar la señal original y reemplazarla por una del atacante). Los carros autónomos dependen de una serie de sensores y radares para reconocer los otros carros en la carretera, los obstáculos y las señales de tránsito. Zoz demostró cómo es posible, con un ‘GPS jammer’, interceptar las señales de los sensores y modificarlas o sobrecargarlas para dañarlas.

“Ahora que hemos publicado los datos, podemos empezar a pensar en como prevenir los ataques”, dijo Charlie Miller, otro de los investigadores que mostró como controló un carro autónomo con un portátil. “Cuando hablo de ataques y medidas, quiero que pienses en las medidas”, complementó Zoz.

Con un simple mensaje de texto, Bailey ingresó al sistema

Ford y Toyota dijeron que están enfocados en prevenir los ataques. De acuerdo con Cnet, las automotrices aseguraron que aunque están trabajando para hacer sus productos más seguros, la tecnología inalámbrica de por sí es insegura.

Más allá de controlar los carros autónomos, también vimos cómo es posible vulnerar el sistema de bloqueo de un automóvil. Don Bailey, consultor de iSec, logró hackear el sistema de alarma de un Subaru Outback. El método es lo más interesante. Con un simple mensaje de texto, Bailey ingresó al sistema y abrió el carro.

Las cámaras de seguridad: de carcelero a prisionero

Las cámaras de seguridad han sido implementadas en muchos negocios y hasta en los hogares. La tecnología ya es lo suficientemente barata y amigable como para que muchas personas hayan instalado este tipo de cámaras en varios sitios. Y todo con el propósito de asegurar los lugares, sus pertenencias y a sus seres queridos.

Pero, como era de esperarse, unos investigadores lograron convertir un elemento de seguridad en un arma para atacar.

De acuerdo con CNN, unos investigadores lograron controlar las cámaras de seguridad y capturar las fuentes de video para verlas en una pantalla diferente a la del propietario. De esta forma, el vigilante se convirtió en el vigilado. En otra presentación se demostró cómo abrir las puertas inteligentes que tienen algunas empresas y que ya están apareciendo en los hogares más nuevos. Estas chapas usan huellas digitales o claves para abrir la puerta, algo que los investigadores pudieron vulnerar y desactivar.

TechWorld explica cómo Dave Kennedy y Rob Simon usaron la red eléctrica de un hogar para controlar las alarmas de la casa y las cámaras de seguridad. Simplemente conectaron un dispositivo a una toma externa y lograron ver si la alarma estaba habilitada, tras lo cual pudieron ver dentro de la casa con las cámaras. Además, demostraron la forma de bloquear la señal del sistema de alarmas para que no notifique a la central.

Por su parte, Aaron Graffafiori y Josh Yavor mostraron como controlar un televisor Samsung modelo 2012, prender su cámara y ‘vigilar’ al televidente. Samsung aseguró que ya sacó un parche para arreglar la falla.

Lo que te cura te puede lastimar

Parece que nada está a salvo de los ataques informáticos. Por fortuna, todas las vulnerabilidades que hemos publicado acá y que se mostraron en Defcon y Black Hat tienen la misión de educar a la comunidad y arreglar los problemas.

Muchos diabéticos dependen de una bomba de insulina para regular la enfermedad. Jerome Radcliffe, un experto en seguridad que padece de ese mal, demostró cómo es posible interceptar la señal inalámbrica de la bomba para controlar el dispositivo. Una vez explotada la vulnerabilidad, el atacante podría corromper la información y lastimar al paciente.

Como si fuera poco, The Verge también reportó que Barnaby Jack logró vulnerar un marcapasos y potencialmente matar un paciente. Lastimosamente el famoso hacker murió hace unas semanas, pero eso no elimina la posibilidad de que el ataque sea realizado por otros, y menos hace que el hueco de seguridad deje de existir.

Estos nuevos ataques muestran una triste realidad: entre más dispositivos estén conectados a internet, más oportunidades tendrán los hackers de hacer sus fechorías. Estas nuevas revelaciones deben alertar a la comunidad y poner a la seguridad como una prioridad. Los fabricantes de tecnología no pueden desechar este aspecto solo porque no es un computador o un dispositivo móvil.

Estas nuevas revelaciones deben alertar a la comunidad

Ahora, tampoco hay que vivir asustados y dejar de confiar en los nuevos dispositivos o en los sistemas. Pero sí hay que tener en cuenta que es necesario tomar medidas de seguridad básicas; no hacerlo sería como no ponerle seguro al carro o a la casa. Tener conocimiento de las vulnerabilidades y prevenir los ataques con medidas básicas puede ser suficiente para proteger muchos sistemas.

Imagenes: Wikimedia Commons, Wikimedia Commons,

Uno de los pilares de Internet es la neutralidad en la Red, ese principio que dice que los proveedores de Internet (ISP por su sigla en inglés) deben permitirle al usuario usar su conexión a la Red como él quiera. Sin embargo, en la actualidad hay un debate feroz sobre si la neutralidad en la Red debe mantenerse, pues según algunos ISP hay sitios que exigen demasiada banda y por ello deberían costar más acceder a ellos. Incluso hay quienes sospechan que los ISP están disminuyendo sus velocidades cuando los usuarios entran a un sitio en particular, lo que llevó a un ingeniero a desarrollar una herramienta para ver los momentos en que los ISP estarían manipulando la velocidad de sus clientes.

Dan Kaminsky presentó en el encuentro de hackers Black Hat, en Las Vegas, un software llamado N00ter que está diseñado para detectar los momentos en que la velocidad de un cibernauta se cae específicamente a causa de su conexión. Esta es la magia de la herramienta, pues hay varios factores que por lo general usan los ISP para excusar malas velocidades, como el hardware del usuario, la posibilidad de malware, o la clásica excusa de la ‘mala conexión de cables’.

En demasiados países aún no ha pasado a mayores el tema de la neutralidad en la Red, por lo cual muchos sospechan que los ISP ya están manipulando las conexiones de sus clientes para que su velocidad de navegación difiera dependiendo del sitio que visitan. Por otro lado, los ISP niegan estas acusaciones, pero sí se quejan porque algunos servicios –como YouTube y Netflix– están ocupando gran parte de sus recursos  sin que los usuarios paguen más por ellos.

Esta desconfianza fue lo que llevó a Dan a desarrollar su software, pues teme que la neutralidad en la Red no se discuta y que los ISP comienzan a ignorarla sin consecuencias y sin que los usuarios puedan hacer algo al respecto. Parte del problema es que a pesar de las sospechas de algunos, es prácticamente imposible demostrar que un ISP es el único responsable porque un sitio cargue más o menos rápido ya que hay varios factores que inciden en la velocidad. Esa es la magia de N00ter, pues demuestra más allá de la duda razonable cuando un ISP es el único culpable de un rendimiento inferior.

“Todas las demás fuentes de cambio quedan por fuera y quedamos únicamente con el ISP”, explicó Kaminsky a la revista estadounidense Forbes. Aunque los detalles técnicos sobre cómo funciona el software son un poco complicados, “el resultado final acá es que es imposible crear un filtro que N00ter no pueda detectar”, concluyó Kaminsky al referirse a los intentos que pueden hacer los ISP por burlar su herramienta.

Si usted es de los que sospecha juego sucio por parte de su ISP, por desgracia no podrá averiguarlo con certeza hasta dentro de unas semanas, pues el software aún no está disponible al público. Por fortuna su debut no está muy lejos y pronto se sabrá si un ISP miente sin vergüenza cuando dice que YouTube es lento por culpa del usuario y no del servicio.

Notas relacionadas:

• Libertad de expresión e Internet dan un paso gigante.
• “La información es un todo”: otra mirada a la ‘Ley Lleras’.
• Estados Unidos les aprieta el cinturón a los proveedores de Internet.
• Gobierno de Estados Unidos quiere espiarnos oficialmente en Internet.
• Tim Berners-Lee se preocupa por Internet.