Al acercarse la temporada de regalos de este año, el rápido crecimiento del “Internet de las cosas” o IoT, en inglés —que fue aprovechado para interrumpir el acceso a la Web, el viernes 21 de octubre— está a punto de transformarse en algo mucho más grande, y veloz. Seguramente, las listas de deseos para Navidad estén llenas de relojes inteligentes, trackers para ejercicio, cámaras de vigilancia para la casa y otros dispositivos con wifi que se conectan a Internet para subir fotos, vídeos y datos de rutinas a la nube. Lamentablemente, estos dispositivos también son vulnerables a los virus y a otros programas maliciosos (malware) que pueden usarse para convertirlos en armas virtuales sin el consentimiento ni el conocimiento de sus propietarios.

El 21 de octubre, los ataques distribuidos de denegación de servicio (DDoS) —en los que decenas de millones de dispositivos hackeados fueron aprovechados para bloquear y desconectar servidores de la web— son una mala señal para el Internet de las cosas. Un DDoS es un ataque cibernético en el que gran cantidad de dispositivos son programados para solicitar acceso a la misma página web al mismo tiempo, creando un cuello de botella en el tráfico de datos que corta el acceso al sitio. En este caso, los atacantes, aún desconocidos, utilizaron un malware llamado “Mirai” para introducirse en dispositivos cuyas contraseñas podían adivinar, ya sea porque los propietarios no pudieron o no cambiaron las contraseñas que traen los aparatos por defecto.

El IoT es un universo virtual amplio y creciente que incluye autos, dispositivos médicos, sistemas industriales y una cantidad cada vez mayor de aparatos electrónicos de consumo. Estos incluyen consolas de videojuegos, altavoces inteligentes, como el Amazon Echo y termostatos conectados como Nest, además de los puertos inteligentes para el hogar y routers en red que conectan los dispositivos a Internet y entre sí. En los últimos 15 años, los productos tecnológicos han representado más de 73 por ciento del gasto en regalos para las fiestas en EE.UU. cada año, según la Asociación de Tecnología de Consumo (CTA, en sus siglas en inglés). Este año, el CTA prevé que alrededor de 170 millones de personas compren regalos que contribuyan al IoT, y la empresa de investigación y consultoría Gartner predice que estas redes crecerán hasta sumar 50.000 millones de dispositivos en todo el mundo en 2020. A menos de un mes del Black Friday es poco probable que los fabricantes de estos dispositivos sean capaces de arreglar los fallos de seguridad que abrieron la puerta a los ataques ocurridos la semana pasada.

Antes del ataque del IoT que paralizó temporalmente la web en gran parte del noreste y otras áreas de EE.UU., ha habido indicios de que un gran hecho como este era inminente. En setiembre, una red —o “botnet”— de dispositivos de IoT infectados por Mirai puso en marcha un DDoS que cerró el sitio KrebsOnSecurity.com que dirige el periodista de investigación en ciberseguridad Brian Krebs. Unas semanas más tarde, alguien publicó el código fuente de Mirai abiertamente en Internet para que cualquiera pudiera usarlo. En cuestión de días, Mirai estaba en el centro de los ataques que la semana pasada afectó a la empresa Dyn de EE.UU., un proveedor de servicios de sistema de nombres de dominio (DNS). Los servidores de Dyn actuaron como una central de distribución de Internet traduciendo una dirección web en su protocolo de Internet correspondiente (IP). Un navegador de Internet necesita esa dirección IP para encontrar y conectarse al servidor que aloja el contenido de ese sitio.

Los ataques del viernes 21 de octubre mantuvieron ocupados a los equipos de los sitios de PlayStation Network de Sony, Twitter, GitHub y Spotify la mayor parte del día, pero tuvieron poco impacto en los propietarios de los dispositivos hackeados. La mayoría de las personas cuyas cámaras y otros dispositivos digitales estuvieron involucrados nunca lo sabrán, dijo Matthew Cook, cofundador de Panopticon Laboratories, una compañía que se especializa en el desarrollo de ciberseguridad para juegos en línea. Cook habló en un panel durante una conferencia de seguridad cibernética en Nueva York, a finales de octubre.

Pero es probable que los consumidores empiecen a prestar más atención cuando se den cuenta de que alguien puede espiarlos al piratear las cámaras web de su casa, dijo otro conferencista, Andrew Lee, CEO del fabricante de software de seguridad ESET North America. Un atacante podría utilizar una cámara web para conocer las rutinas diarias de los habitantes de una casa —y así saber cuando no hay nadie— o incluso para registrar las contraseñas a medida que los usuarios las escriben en las computadoras o en los dispositivos móviles, agregó Lee.

El IoT se está expandiendo más rápido que el interés de los fabricantes de dispositivos por la seguridad cibernética. Según un informe publicado el 24 de octubre por la Alianza Nacional de Ciberseguridad y ESET, splo la mitad de los 15.527 consumidores encuestados dijo que las preocupaciones sobre la seguridad cibernética de un dispositivo IoT los han disuadido de comprar uno. Un poco más de la mitad de los encuestados dijo que posee hasta tres dispositivos —además de sus computadoras y teléfonos inteligentes— que se conectan a sus routers domésticos, y 22 por ciento tiene entre cuatro y 10 aparatos conectados. Sin embargo, 43 por ciento de los encuestados informó que no cambió la contraseña que trae el router por defecto o no está seguro de haberlo hecho. Además, las contraseñas de algunos dispositivos son difíciles de cambiar y otros tienen contraseñas permanentes codificadas.

Mientras los fabricantes de dispositivos conectados tienen poco tiempo para solucionar los problemas de seguridad antes de las fiestas, varios investigadores de seguridad cibernética recomiendan a los consumidores que por lo menos se aseguren de que los routers instalados en sus hogares estén protegidos por una contraseña segura.

Fuente: scientificamerican.com