En el mes de octubre ocurrió un hecho importante: los ciberdelincuentes aprovecharon las vulnerabilidades de los dispositivos de la Internet de las Cosas (IoT) y los convirtieron en un malvado ejército fraudulento. Una serie de ataques distribuidos de denegación de servicio (DDoS) afectó los sitios web conectados a Dyn, una empresa de gestión del rendimiento de Internet basada en la nube; entre esos sitios estaban los de Amazon, Twitter, Reddit, Spotify y PayPal y posiblemente se trate de un punto decisivo en la historia de los ataques.
"Se nos ha mostrado lo vulnerable que es Internet, que ya constituye una parte integral de la infraestructura crítica de los Estados Unidos y de muchos otros países, frente al abuso perjudicial de dispositivos realizado a escala, por personas cuya identidad no es posible determinar en forma directa", concluyó Stephen Cobb de ESET cuando analizó lo ocurrido.
Ahora, con la llegada de la Navidad y la volatilidad cada vez mayor de los mercados mundiales, que nunca dependieron tanto de las transacciones online, todo el mundo está desesperado por impedir que estos ataques se repitan.
1. Antes que nada, ¿qué es la IoT?
Aunque hay varias definiciones, la Internet de las Cosas se refiere a los "dispositivos inteligentes", como las heladeras que nos avisan cuando se acabó la leche, o los automóviles modernos. Pero también hay muchos objetos más pequeños y menos extravagantes, como termostatos y máquinas de café. Estos gadgets están integrados con electrónica, software, sensores y conectividad de red para poder conectarse a Internet.
2. Entonces, ¿cuál es el problema?
Cualquier cosa que se conecta a Internet, por más que no contenga tu historial médico, supone un riesgo. Los ataques del 21 de octubre fueron posibles debido a la gran cantidad de dispositivos digitales desprotegidos conectados a Internet, tales como routers domésticos y cámaras de vigilancia.
Los atacantes infectaron a miles de ellos con código malicioso para formar una botnet. Aunque no es un medio sofisticado de ataque, su fuerza radica en los números, ya que los dispositivos infectados pueden utilizarse para desbordar los servidores objetivo, en especial si lo hacen todos a la vez.
3. ¿Cómo ocurrieron los ataques realmente?
¿Recuerdas esa parte del manual de instrucciones que te decía que cambies la contraseña predeterminada? Si no lo hiciste, entonces es probable que tu dispositivo IoT comience a actuar como un zombi cibernético, ya que los perpetradores de ataques DDoS conocen las contraseñas predeterminadas de muchos dispositivos IoT y las usan para obtener acceso. Es como dejar las llaves de la casa debajo de una maceta al lado de la puerta para que cualquiera las encuentre.
Todo aquel que ponga online un router, una cámara, una TV o incluso una heladera de la IoT sin antes cambiar la contraseña predeterminada está permitiendo que se lleven a cabo ataques de este tipo. Las investigaciones recientes de ESET sugieren que al menos el 15% de los routers domésticos no están protegidos, es decir que hay potencialmente 105 millones de routers fraudulentos.
4. ¿Necesito los dispositivos IoT?
Algunas personas directamente no usan los dispositivos de la IoT por considerarlos artificiosos; otras creen que en pocos años todos tendremos alacenas inteligentes que nos dirán lo que podemos elegir para cenar.
Sin embargo, hay una gran cantidad de beneficios discernibles, como los sensores de los smartphones y los relojes inteligentes que proporcionan información real sobre nuestra salud. O los sistemas telemáticos de caja negra en los automóviles, que evalúan si el conductor maneja en forma segura y sirve para las reclamaciones de seguros.
5. ¿Este problema es nuevo?
No. La posibilidad de aprovechar este tipo de vulnerabilidades ha sido de conocimiento general desde el surgimiento de la IoT, aunque no nos dimos cuenta de lo vulnerables que éramos hasta este octubre. El código malicioso que infecta routers tampoco es nuevo, como demuestra claramente el hallazgo de Linux/Moose por parte de ESET; sin embargo, los ataques a la IoT y particularmente el Ransomware de las Cosas están empezando a convertirse en una tendencia, como señala Stephen Cobb en el informe de Tendencias para 2017.
El consejo de cambiar la contraseña predeterminada de los dispositivos ya se ha reiterado en muchas ocasiones. Sin embargo, hay que recordar que aunque puedes guiar a un caballo hasta el agua, no puedes obligarlo a beber.
6. ¿Hace cuánto que empezó?
La existencia de la IoT se remonta a la década de 1980, pero en una versión similar a Volver al Futuro. Los investigadores de la Universidad Carnegie Mellon lograron crear una máquina expendedora de Coca-Cola conectada a Internet en 1982.
7. Los gigantes de Internet seguramente tendrán el poder de detenerlo, ¿no?
Seguro que sí, pero eso no significa que algunos no hayan dejado vulnerabilidades disponibles para su aprovechamiento malicioso. En la conferencia de seguridad de Black Hat del año pasado, los estudiantes de investigación en seguridad de la Universidad estadounidense de Florida Central demostraron cómo podrían infectar el termostato Nest de Google en 15 segundos.
Daniel Buentello, uno de los miembros del equipo, había dicho en 2014: "Esta es una computadora a la que el usuario no puede instalarle un antivirus. Peor aún, tiene una puerta trasera secreta que un ciberdelincuente podría usar y permanecer allí para siempre, observando todo sin ser detectado".
8. ¿Qué puedo hacer desde lo personal para detenerlo?
Considera que los dispositivos IoT son como cualquier otra computadora. Cambia de inmediato la contraseña predeterminada y comprueba regularmente los parches de seguridad. Usa la interfaz HTTPS siempre que sea posible y, cuando no estés usando el dispositivo, apágalo. Si tiene otros protocolos de conexión que no están en uso, deshabilítalos.
Si bien estas medidas pueden sonar muy sencillas, te sorprendería la gran cantidad de gente que opta por la conveniencia en vez del sentido común. Sólo la mitad de los participantes en esta encuesta de ESET dijeron que habían cambiado la contraseña de su router.
9. ¿Qué pueden hacer las empresas para detenelo?
Podrás pensar: "¿Para qué molestarse? Si Amazon puede ser víctima de un ataque, ¿qué le queda a mi empresa?" Pero no pierdas la esperanza.
Las organizaciones pueden defenderse contra los ataques DDoS de diversas maneras, entre las que se incluyen mejorar la infraestructura de sus redes y asegurar la visibilidad completa del tráfico que entra o sale de sus redes. Esto puede ayudar a detectar ataques de DDoS, además de asegurar que la empresa cuenta con suficiente capacidad y habilidades de mitigación. Por último, es necesario tener un plan de defensa ante ataques de DDoS, mantenerlo actualizado y hacer pruebas en forma periódica. Piénsalo como un simulacro de incendio para la red.
También hay que tener cuidado con los servidores Telnet. Son los dinosaurios del universo digital y, como tales, deberían haberse extinguido porque son demasiado fáciles de aprovechar maliciosamente. Nunca conectes uno de estos servidores a un dispositivo al que el público tenga acceso.
10. Pero... y es un gran"pero"...
Aunque la tecnología esté presente desde hace tiempo, este tipo de ataques es relativamente nuevo. Por lo tanto, aún no existen métodos predefinidos de prevención, aunque se han planteado compendios de mejores prácticas que nos digan cómo evitar que un dispositivo de la IoT se vuelva en nuestra contra.
Al menos, aún no hay nada en que los expertos puedan ponerse de acuerdo. Algunos creen que se debe instalar un firewall en la casa o la empresa para restringir el control de todos los dispositivos a los usuarios autorizados. Sin embargo, otro método sería usar certificaciones, es decir, permitir que los usuarios con el certificado de seguridad adecuado controlen los dispositivos a la vez que se bloquean automáticamente los demás perfiles no autorizados.
En caso de duda... desenchúfalo.
