Mapa de dispositivos de Internet de las Cosas activo. Fuente: Shodan

Uno de los episodios más vergonzosos de la tecnología actual ocurrió el 21 de octubre de 2016, cuando millones de dispositivos de Internet de las Cosas como cámaras de vigilancia, impresoras, electrodomésticos y otros dispositivos conectados a internet fueron hackeados para realizar un ataque DDoS a Dyn, uno de los proveedores de DNS más usados de internet, dejando offline a miles de webs y servicios muy usados como Twitter, Reddit, Github, Amazon, Spotify, entre otros.

https://hipertextual.com/2016/10/mirai-ddos-internet-de-las-cosas

La situación fue particularmente chirriante considerando que la forma de vulnerar el firmware de la empresa Mirai (fabricante de los dispositivos afectados en su momento) era simplemente poner el usuario admin y una de las siguientes contraseñas:

  • admin
  • 123 
  • 12345
  • 1111

Tal hueco inmenso de seguridad fue usado para que un grupo de personas con simples ganas de saber hasta dónde podrían llegar, perpetraran el mayor ataque informático de 2016.

Más grave aún si consideramos que simplemente no hay solución. Un buen porcentaje de dispositivos de Internet de las Cosas no puede ser actualizado, o su actualización es particularmente complicada. Los dueños de muchos de estos accesorios jamás se van a enterar que hay que realizar mantenimiento del equipo, mejorar la versión, de hecho, muchos consumidores nunca se enterarán que estos productos están siendo usados para realizar ataques.

El Internet de las Cosas: una bomba lista para explotar

Gartner calcula que el número de dispositivos del Internet de las Cosas conectado a internet en 2025 superará los 75 mil millones. Cada uno de estos dispositivos con su propio sistema operativo, normalmente un firmware simple con un pequeño microprocesador capaz de realizar las tareas simples necesarias para la operación del aparato, su propia dirección IP y siempre conectado.

[!Internet de las Cosas

Muchos millones de estos dispositivos funcionarán con firmware vulnerable, algunos más que otros. No existe la seguridad perfecta, a corto plazo tampoco parece haber un interés de mantener responsabilidad sobre todo aquello que se está fabricando para que sea conectado a internet. Con 75 mil millones de dispositivos y accesorios online, muchos de ellos con facilidad de ser vulnerados y usados para realizar ataques, estamos frente a una verdadera bomba. No deberíamos preguntarnos si va a explotar o no, deberíamos preguntarnos cuándo.

A diferencia de las posibilidades de hackeo de un smartphone o una PC, vulnerar un dispositivo de Internet de las Cosas puede traer mayores consecuencias. No estamos hablando de un futuro probable, sino de un presente peligroso.

Heatmiser, una compañía en Reino Unido que fabrica termostatos conectados a internet capaces de ser controlados de forma remota por medio de un panel de control en la web, es un gran ejemplo de las posibilidades de hackeo que pueden perjudicar en el plano físico y no sólo virtual.

Ankit Anubhav, experto investigador de la firma de seguridad NewSky Security, ha descubierto a una persona presumiendo de haber vulnerado el termostato de Heatmiser y modificado la temperatura en alguna casa.

En un foro de hackers observamos el caso de una persona que implementó un ataque de este tipo para tomar control de un termostato e incrementar la temperatura de 23ºC a 35ºC.

Anubhav ha sido capaz de encontrar la vulnerabilidad y replicar el hackeo. El año pasado uno de los mayores expertos en seguridad, Bruce Schneier, pidió intervención del gobierno y una regulación del nivel de seguridad mínimo necesario para vender accesorios del internet de las cosas. Casi diez meses más tarde, nada ha cambiado y me temo que nada cambiará.