El Internet de las Cosas poco a poco se va convirtiendo en una realidad, pero todavía queda camino por recorrer para hacerlo de forma segura, de acuerdo con datos de Check Point, 1 de cada 4 ataques están dirigidos contra dispositivos IoT, ya que son fácilmente hackeables debido a sus bajos niveles de seguridad (sistemas operativos no actualizados, no cuentan con herramientas de protección, etc.). “Las nuevas generaciones de ciberamenazas destacan por ser muy sofisticadas, pero también por utilizar viejos recursos como el ransomware de forma muy novedosa para burlar las medidas de seguridad tradicionales”, explica Antonio Amador, country Manager para la Región Norte de América Latina de Check Point.

También te puede interesar: Colombia, uno de los países más afectados por ransomware.

El Ransomware of Things es un claro ejemplo, ya que aprovechándose de que la conectividad es el motor del mundo, lanzan sus ataques contra dispositivos móviles para sacar partido de su falta de protección. Aunque pueda parecer muy futurista, la tecnología avanza a pasos agigantados, por lo que es fundamental adoptar un enfoque de ciberseguridad centrado en la prevención de riesgos y amenazas antes de que lleguen a producirse.

El desarrollo de este tipo de ataques es idéntico al de uno tradicional, aunque en este caso centrado en bloquear dispositivos en lugar de datos. También se utiliza un virus conocido como “jackware”, un software malicioso que trata de tomar el control de dispositivos conectados a internet cuya función no es la de procesar datos. Esto implica que, por ejemplo, en un entorno doméstico, un cibercriminal podría manejar a su antojo todo tipo de electrodomésticos o incluso, en casos más avanzados de hogares conectados, gestionar suministros como la electricidad o el agua e incluso el control domótico de la vivienda.

Imagen: Checkpoint. 

Todo lo que tenga conexión a internet es vulnerable. Esa es la enseñanza que nos ha dejado el nacimiento de la informática y de internet. Primero fueron virus como los troyanos, luego el hackeo de los sistemas para alterar los protocolos, y en la actualidad evidenciamos la alteración de protocolos, robo, secuestro de información y secuestro de los dispositivos con el ransomware. Pero la responsabilidad no solo es de los usuarios, sino también de las empresas que fabrican los productos para el internet de las cosas (IoT).

¿Qué es el RoT?

A medida que vamos conectando diferentes dispositivos a internet, y generamos aplicaciones con las cuales se puede interactuar, surgen nuevos riesgos. Uno de los más comunes es el ransomware, una tendencia que llegó para quedarse y que vemos cómo se distribuye a nuevas plataformas.

Pero el secuestro de la información es algo más para los ciberdelincuentes. No solo pueden secuestrar los datos de una empresa o persona, sino que ahora pueden llegar a secuestrar dispositivos. Eso es el RoT. Un ejemplo de esos dispositivos son los vehículos, los cuales ya se pueden monitorear y pilotear desde aplicaciones y redes inalámbricas. Y aunque la mayoría son prototipos, esto representa un riesgo para el bienestar de los usuarios.

Esta tendencia de secuestro de dispositivos es mucho más peligrosa porque en este momento no hay medidas de seguridad. Ni siquiera los fabricantes de los productos tienen las herramientas, lo cual se complementa con la falta de una cultura en los usuarios que ni siquiera cuentan con un antivirus en sus teléfonos celulares.

¿El RoT es rentable?

Sí, con solo generar un par de líneas de código y propagarlo se pueden generar ingresos. Todos estos desarrollos apuntan a las vulnerabilidades de dispositivos y plataformas, lo cual es muy sencillo para un ciberdelincuente. Además, los métodos que utilizan para la creación impiden que se sepa quién lo creó o a dónde fue a parar la recompensa, que en los casos más conocidos se paga por medio del Bitcoin.

Por esto, lo primero que se debe hacer es estar alerta con todos estos códigos maliciosos para que puedan blindarse. Y este punto es el más importante, porque en la mayoría de los casos la información no puede recuperarse una vez haya sido cifrada. “Un ataque de este tipo va desde un cepillo de dientes hasta un vehículo. En estos casos, los ciberdelincuentes impiden su correcto funcionamiento, obligando a buscar alternativas o a que los propietarios se deshagan de ellos”, explicó Denise.

De la ficción a la realidad

¿Has oído hablar de los hogares inteligentes? Pues estos son espacios donde todos los dispositivos electrónicos están interconectados por medio de una red. Desde el televisor hasta la cafetera, su funcionamiento depende de órdenes enviadas a través de un sistema electrónico. Por eso, como si no le bastara a los atacantes, estos dispositivos pueden dejar de funcionar. O por ejemplo, en la última película de ‘Rápidos y Furiosos’, un gran número de vehículos fue controlado desde un computador. Esta es una demostración de lo que puede hacer el RoT en un futuro.

“Por eso es importante prestar atención a las empresas que los fabrican. Estas deben tener en cuenta las medidas de seguridad al fabricar esos productos que hacen parte del IoT. Si se utilizan con aplicaciones, deben contar con actualizaciones y explicar cómo instalarlas, fechas de lanzamiento, entre otros aspectos. Esta es una cultura que se debe aplicar en los usuarios al momento de adquirir un producto de estas características”, resaltó.

¿2017 será el año del ‘Jackware’?

El término ‘Jackware’ está muy relacionado al RoT. Los dos están destinados a secuestrar diferentes dispositivos que no procesan archivos. Aquí clasifican, por ejemplo, los vehículos inteligentes. Su operatividad se centra en transportarnos, mas no procesan archivos como un celular o computador.

“Todavía no hemos sido testigos de un tipo de ransomware que secuestre un auto. Regularmente lo que hacen los fabricantes de automóviles es dividir las funciones vitales de estos con respecto a otras funciones. Sí hemos visto otro tipo de ataques como la manipulación del aire acondicionado o de las ventanas eléctricas. Pero hasta el momento, no hemos visto un ataque capaz de controlar el encendido del auto”, explicó.

Decir que no exista no significa que no sea preocupante. De allí que las empresas de seguridad han ido adelantando trabajos encaminados a contar con avances para este tipo de ataques que, hasta el momento, solo existen en Hollywood. “Actualmente hemos visto más investigadores volcados a encontrar las vulnerabilidades en estas interfaces que brindan los fabricantes para conectarse por una aplicación móvil. Por lo pronto, es preocupante porque no tenemos conocimientos previos de cómo reaccionar en caso de un ataque”, aclaró.

Recomendaciones

A nivel de personas naturales, si no tienen conocimientos de informática “lo mejor que pueden hacer es averiguar antes de comprar dispositivos IoT. Esto les permitirá expandir sus conocimientos y mejorar su experiencia de seguridad”, sugirió el experto de Eset. Desde el punto de vista empresarial se están desarrollando nuevas plataformas para manejar datos sensibles de la organización. “Ahí se deben generar las políticas de seguridad para las diferentes plataformas. Conocer los riesgos, tener planes de contingencia y soluciones de seguridad que puedan evitar las infecciones”, enfatizó.

Y finalmente, el conocimiento de las nuevas tendencias en seguridad es vital. Por eso Giusto invitó a que todos accedan a blogs de noticias de seguridad gratuitos. Estos espacios les permitirán conocer cuáles son las nuevas vulnerabilidades y sus características.

Imagen: iStock.