Blackhat, Defcon y los fallos del IoT
Cuando estamos a una semana del inicio de las conferencias de BlackHat (evento al que seguidamente seguirá Defcon), consideramos que es una buena idea repasar alguno de los temas que allí se van a tratar. Un año más, el Internet de las cosas tendrá un protagonismo especial y no serán pocos los que aprovecharán estos congresos para presentar sus investigaciones.
Los juguetes en el punto de mira
Durante el año pasado vimos como se daba la voz de alarma debido a la implementación de conectividad a redes inalámbricas por parte de juguetes tradicionales como las clásicas muñecas Barbie. Aunque se presentase como una novedad y algo que actualizaba estos juguetes clásicos, no tardaron en aparecer varias investigaciones que pusieron de relevancia los problemas de seguridad que esta conectividad implicaba.
Esta conectividad en juguetes destinados a los más pequeños de la casa ha cobrado tal relevancia que incluso el FBI ha tomado cartas en el asunto, y ha publicado recientemente un aviso en el que se explica por qué aquellos juguetes que disponen de conexión a Internet podrían suponer un riesgo para la seguridad y privacidad de los niños que jueguen con ellos.
La gran cantidad de sensores, e incluso dispositivos como cámaras o micrófonos, o la posibilidad de grabar conversaciones con los niños y almacenarlas en sistemas fuera del control de los tutores, presentan un grave problema que debe atajarse lo antes posible para evitar males mayores.
Es por eso que se recomienda a los padres que estén pensando en adquirir uno de estos juguetes que se informen muy bien antes de comprarlos y monitoricen el uso que hacen de ellos sus hijos para evitar problemas.
Tampoco debemos olvidar otro tipo de juguetes para adultos, y es que si el año pasado fueron una de las estrellas en Defcon, su seguridad no ha mejorado a pesar de todos los fallos que se encontraron en algunos modelos. De hecho, hemos visto como aparecían modelos más avanzados que ponían la privacidad de sus usuarios aún más en peligro.
Luego ya tenemos dispositivos más avanzados que proponen poco menos que tener una pareja virtual, pero eso, de momento, solo en países avanzados como Japón con gustos y particularidades “especiales”.
El IoT como vector de ataque
Por si fuera poco, durante 2016 vimos que dispositivos inseguros conectados a Internet como pueden ser routers, cámaras de vigilancia IP o grabadores de vídeo fueron utilizados en ataques de gran relevancia como el realizado por la botnet Mirai a finales de octubre.
Este hecho puso de manifiesto algo que ya se sabía: la inseguridad intrínseca de muchos de los dispositivos que se están conectando a Internet hace que los delincuentes lo tengan especialmente fácil para crear sus propias redes de dispositivos zombis de un tamaño considerable, y atacar así objetivos importantes que paralicen temporalmente servicios esenciales de Internet.
A pesar de que ya hemos visto de lo que es capaz uno de estos ataques, los fabricantes no es que estén haciendo demasiado para prevenir incidentes futuros. De hecho, cada vez son más los dispositivos que se conectan sin tener en cuenta las medidas de seguridad más básicas, y no cabe duda de que tarde o temprano se verán comprometidos. Solo hay que ver lo que le sucede a un router cualquiera en tan solo 24 horas para darse cuenta de que hay mucha gente interesada en hacerse con el control de nuestros dispositivos.
También hay que indicar que no solo a los delincuentes esta situación les parece un escenario ideal para realizar sus fechorías. Alguna agencia gubernamental ya ha demostrado su interés (aunque lleve años haciéndolo) en usar todos estos dispositivos inseguros conectados para recopilar información y facilitar sus investigaciones, algo que seguramente también salga a relucir la semana que viene en alguna charla, especialmente en Defcon.
Riesgos en infraestructuras críticas conectadas
Uno de los peores escenarios imaginables hoy en día relacionados con la seguridad informática tiene entre sus protagonistas a un buen número de infraestructuras críticas que conectan sus sistemas a Internet. No es de extrañar que cada novedad relacionada con un fallo de seguridad o un ataque producido en una de estas infraestructuras llame la atención.
Posiblemente, una de las investigaciones más importantes en este aspecto de lo que llevamos de año sea la llevada a cabo por nuestros compañeros de ESET y la empresa de ciberseguridad industrial Dragos, investigación que será expuesta la semana que viene para todos los que acudan a BlackHat.
Pero no es la única charla acerca de la seguridad en entornos industriales e infraestructuras críticas que seguiremos de cerca durante la semana que viene. Todo un experto y veterano de BlakHat como es Rubén Santamarta tiene una charla preparada sobre cómo interferir en los sensores encargados de medir la radiación tanto en infraestructuras críticas como en puntos menos clave pero no por ello menos importantes, como son las estaciones meteorológicas.
Conclusión
Durante los próximos días vamos a ver un aluvión de noticias relacionadas con la ciberseguridad precisamente debido a la celebración de estos dos congresos de referencia en todo el mundo. No cabe duda de que el Internet de las cosas volverá a cobrar un protagonismo importante y por eso debemos estar atentos para saber cuáles son los riesgos que corremos e instar a los fabricantes a que desarrollen dispositivos más seguros o, en última instancia, no comprar aquellos que son inseguros por diseño.
Related Posts
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.