Ciber-seguridad y por qué en un mundo de objetos inteligentes las personas también lo deben ser.

Por Carolina Adaros Boye | 2018-04-08 | 08:28
<p>Hoy en día vivimos en un mundo donde todos los aparatos se están volviendo inteligentes, desde los electrodomésticos hasta los automóviles. Hoy es posible, apagar y prender luces de nuestra casa desde el teléfono móvil, monitorear los signos vitales de una persona enferma a la distancia o que tu refrigerador administre listas de supermercado e incluso realice las compras de manera automática. Estos son solo ejemplos de cosas que hoy permite hacer la tecnología, algunas bastante sorprendentes. Definitivamente, de todos los avances tecnológicos que han permitido que esto suceda el principal es el desarrollo de distintos tipos de redes de comunicación, entre ellos internet, que ha alcanzado un amplio nivel de cobertura y mucho más velocidad de la que solía tener. Esto nos lleva al nombre con que se conocen todos estos dispositivos que hoy en día están conectados: el internet de las cosas o IoT por sus siglas en inglés (Internet of Things). Puede que hayan escuchado este nombre antes, o puede que no, pero lo que es seguro es que lo volverán a escuchar. Y es que muchos expertos están de acuerdo en que el internet de las cosas nos está trayendo lo que denominan “la cuarta revolución industrial”. Este término fue usado por primera vez en 1999 por Kevin Ashton quien, al parecer, ya estaba visualizando de alguna manera lo que se venía, porque se estima que <a href="https://www.gartner.com/newsroom/id/3598917" style="background-color: initial;">el 2018 habrán más de 11 mil millones de objetos conectados</a> al internet en el mundo, es decir más que personas en el planeta. Además, la consultora Gartner predice que este número aumentará a 20 mil millones el 2020. Las posibilidades que hoy nos ofrecen los niveles de conectividad y la tecnología son amplias y están presentes en todos los ámbitos del desempeño humano como, por ejemplo, salud, transporte, industrias, entretención y variados tipos de servicios como, por ejemplo, los medidores inteligentes. Pero así como el internet de las cosas puede facilitar y mejorar la vida de muchas personas, también puede ponerlas en riesgo. Y con ello, no me refiero a teorías que pueden ser discutibles o dudosas como que los celulares producen cáncer o que los Smartphones volverán a todos antisociales, si no que a algo 100% real y comprobado: los ciber-ataques. Lo cierto, esta nueva realidad también ha provisto de nuevos recursos a criminales y estafadores. Y los están aprovechando.</p><p>La ciber-seguridad ha sido declarada una de las problemáticas claves que enfrenta hoy la humanidad, <a href="http://www3.weforum.org/docs/WEF_GRR18_Report.pdf">según el Foro Económico Mundial</a>. Incluso, el año pasado escuche a un profesional del área decir en una conferencia en Inglaterra que es el segundo problema más grave luego del calentamiento global. Lo cierto es que más allá del lugar que ocupe en un ranking lo que hay que reconocer es que es un problema importante y parte de él tiene que ver con el amplio uso de internet y de sistemas computacionales y del poco conocimiento que se tiene respecto a la seguridad de la información. Incluso muchas empresas hoy en día carecen de las políticas adecuadas y el personal entrenado para proteger sus sistemas donde guardan valiosa información tanto propia como de colaboradores y clientes. Tampoco hay regulaciones suficientes, lo que llevó, por ejemplo a cierta empresa en el extranjero a la que le robaron datos de clientes el 2015 a alegar que no tenían estos datos protegidos con encriptación porque no estaban obligados por ley. Hay distintas iniciativas que esperan cambiar esto como, por ejemplo las reglas generales de protección de datos o <a href="https://ateneu.eu/es/publicacion-oficial-reglamento-europeo-proteccion-datos-c223">GDPR (General Data Protection Rules)</a> que serán obligatorias en la Unión Europea desde Mayo del 2018. En Chile existe el <a href="http://web.uchile.cl/archivos/derecho/CEDI/Normativa/Decreto%2083%20Aprueba%20Norma%20T%E9cnica%20para%20los%20%D3rganos%20de%20la%20Administraci%F3n%20del%20Estado%20Sobre%20Seguridad%20y%20Confidencialidad%20de%20los%20Documentos%20Electr%F3nicos.pdf">decreto 83</a> respecto a la protección de información y también <a href="https://www.fayerwayer.com/2017/08/ley-de-ciberdelitos-de-chile-sera-actualizada-en-base-al-convenio-de-budapest/">una ley sobre ciber-delitos que está en proceso de ser actualizada</a> ya que data de 1993. Una de las razones por las cuales muchas leyes y reglamentos vigentes en los distintos países no son lo suficientemente efectivos o están desactualizados es que muchos delitos cibernéticos no se reportan y rara vez llegan a una acción legal lo cual no permite poner a prueba las leyes y mejorarlas. Las razones de esto es que a las empresas no les conviene hacer público que sufrieron un ataque dado a que daña su reputación. También muchas veces es difícil identificar con certeza o detener al atacante ya que este puede encontrarse literalmente al otro lado del mundo. A este ya complejo escenario, vienen a sumarse los problemas de seguridad que introduce el internet de las cosas. Pero que es lo que hace que los objetos inteligentes sean particularmente vulnerables? Hay varias razones, para empezar,&nbsp;explicare algunas a continuación.</p><ul> <li>1.Ya lo dijimos: las “cosas” conectadas son muchas y generalmente están siempre encendidas</li></ul><p>El gran número de aparatos conectados a internet es grande lo cual las hace atractivas para un atacante que quiera utilizarlas como parte de su “ejercito de robots” o botnet para poder atacar a otra víctima a través de ellos. Eso se conoce como ataque de denegación de servicio distribuido (DDoS) y es cuando muchos dispositivos hacen intentos de conexión falsos a un sitio haciendo que este colapse y deje de funcionar. Además, a diferencia de los computadores, las cosas conectadas muchas veces se mantienen encendidas las 24 horas, por ejemplo las cámaras de vigilancia, máquinas expendedoras, sistemas de iluminación inteligentes, impresoras y routers.</p><ul> <li>2.Están por todos lados</li></ul><p>Cuando hablamos de IoT hablamos de sistemas que no necesariamente se componen de un dispositivo sino que pueden ser varios, incluso decenas o miles, los cuales se distribuyen en un amplio perímetro. Tal es el caso, por ejemplo, de los controles de transito inteligentes o sistemas con sensores utilizados en industrias. Esto hace mucho más difícil mantener el control sobre todos ellos.</p><ul> <li>3.Son complejos</li></ul><p>Si bien el nivel de complejidad varia de un sistema a otro (no olvidemos que IoT es un concepto muy amplio), en general, IoT tiene la característica de poseer todos los problemas de seguridad de un sistema computacional y más. Esto porque tienen una componente que es similar a cualquier sistema que son los programas que permiten al usuario conectarse con los aparatos desde su computador o celular y por otro lado tienen además la componente física. Esto significa que la denominada “superficie de ataque” es mayor, es decir, un agente malicioso puede acceder a ellos de más formas.</p><ul> <li>4.Muchas formas de comunicación </li></ul><p>Mientras que los sistemas informáticos, en general, tienen formas estándar de comunicarse, lo cual facilita a su vez aplicar medidas de seguridad estándar, el internet de las cosas se comunica de muchas maneras. Existen diversos “protocolos” de comunicación que se usan en IoT, es decir distintas formas en que estos dispositivos envían y reciben la información lo cual se hace en muchos casos de forma inalámbrica. Esta variedad hace más difícil diseñar soluciones y además muchas de estas formas de comunicarse son intrínsecamente inseguras.</p><ul> <li>5.Limitaciones técnicas</li></ul><p>Muchas veces los dispositivos IoT son extremadamente simples y no poseen las capacidades computacionales para aplicar ciertas medidas de seguridad porque estas requieren cierta cantidad de memoria y capacidad de procesar información. Ejemplos de estas medidas son la autenticación segura y la encriptación. Si, bien antes dije que los sistemas IoT son complejos, me refería al sistema completo incluyendo las aplicaciones y programas que los controlan desde un computador o celular, pero el dispositivo inteligente en si generalmente tiene capacidades mucho más limitadas que un computador, por lo tanto también es limitada su capacidad de defensa ante ataques.</p><ul> <li>6.No son diseñados teniendo en cuenta la seguridad</li></ul><p>Este último punto es uno de los más relevantes dado a que para buscar soluciones respecto a los otros problemas primero hay que querer hacerlo. Muchos fabricantes tienen como prioridad sacar los productos rápido al mercado y lo más barato posible por lo cual no invierten en hacerlos más seguros y, por ahora, nadie los obliga. Además de esto, hay mucha menos experiencia en seguridad en el rubro de los dispositivos electrónicos de la que hay en el mundo informático por lo cual aún se está aprendiendo al respecto.</p><p>Como dije en un comienzo, los ciber-ataques a objetos inteligentes no son especulación ni ciencia ficción sino que una realidad que está aconteciendo. Existen cientos de casos conocidos en la última década y se cree que la cifra es mucho mayor dado a que muchas veces estos casos no llegan a ser reportados. Algunos consejos al respecto son comprar productos de marcas conocidas y revisar en internet si existen casos de vulnerabilidades reportadas de esa marca. Es frecuente que los fabricantes menos conocidos cambien el nombre de su marca luego de un incidente y sigan fabricando los mismos dispositivos inseguros por lo cual que una marca “chancho” no tenga antecedentes negativos puede deberse simplemente a un cambio de nombre, no&nbsp; que no haya sufrido ataques. También es importante SIEMPRE cambiar el nombre de usuario y la clave que vienen de fábrica. Si esto no se puede hacer es mejor no comprar el producto dado a que es casi seguro que ese usuario y clave estarán en más de alguna de las listas que utilizan los hackers para acceder a ellos. Otra cosa importante es asegurarse que la información no esté siendo enviada a ningún servidor del fabricante o empresa que les preste servicios. Esto es más difícil de descubrir si no se poseen conocimientos técnicos adecuados, pero en algunos casos el fabricante lo declara. Este es el caso de Samsung que tuvo una <a href="https://www.youtube.com/watch?v=goZRntQQzkQ">polémica el año 2015</a> porque en su letra chica decía que enviaba los comandos de voz de sus televisores inteligentes a los servidores de otra empresa para que los analizara. Se dijo en aquel entonces que dichos televisores podrían potencialmente usarse para espiar personas. Esta polémica volvió a salir a la luz el año 2017 cuando <a href="https://wikileaks.org/ciav7p1/">Wikileaks público un reporte</a> acerca de diversas armas cibernéticas desarrolladas por la CIA donde una de ellas involucraba a estos mismos televisores. Por último, otra recomendación importante es que antes de comprar un dispositivo inteligente pensemos si realmente lo necesitamos. El 2015 se descubrió que en Londres ciertos <a href="https://www.theregister.co.uk/2015/10/19/bods_brew_ikettle_20_hack_plot_vulnerable_london_pots/">hervidores de agua inteligentes conectados en domicilios podían ser utilizados para obtener claves de wifi</a> y otros datos. Puede sonar genial despertar en la mañana y que el agua esté lista para prepararse un café. Pero hay que pensar bien si dormir 5 minutos más en la mañana es tan importante como para que valga la pena el riesgo. En algunos casos, los impulsos consumistas hacen que algunas personas se sientan gratificadas en ser de los primeros en tener algo. Pero los primeros también son los conejillos de indias. A veces es más sabio esperar un poco y ver qué pasa. Con suerte, en unos años aparecerá una nueva generación de IoT con dispositivos más seguros. Por ahora el llamado es a que si bien es fantastico que las cosas se vuelvan inteligentes, las personas nunca debemos dejar de serlo.</p><p>Carolina Adaros Boye</p><p>Ingeniero, MSc y candidata a doctorado en ciber-seguridad</p><p>Nota: Si les interesa el tema puedo escribir dos columnas mas. Una sobre casos reales de ciber-ataques al internet de las cosas y como se podrian haber prevenido y otra sobre conceptos basicos de ciberseguridad que todos deberian saber. Tambien les comparto una nota que escribi sobre el caso Antorcha (operacion Huracan) la cual no les envie en principio porque no se si v con la linea editorial de ustedes, pero se las dejo por si es de interes:</p><p>&nbsp;<a href="https://www.linkedin.com/pulse/el-caso-antorcha-y-por-qu%C3%A9-es-importante-educar-adaros-boye/">https://www.linkedin.com/pulse/el-caso-antorcha-y-...</a></p>
¿CÓMO TE DEJÓ ESTE ARTÍCULO?
Feliz
Sorprendido
Meh...
Mal
Molesto
Comentarios
* Debes estar inscrito y loggeado para participar.
© 2013 El Definido: Se prohíbe expresamente la reproducción o copia de los contenidos de este sitio sin el expreso consentimiento de nuestro representante legal.