Alerta por la seguridad del internet de las cosas

Para muchas personas supuso también descubrir que el televisor, el router, la cámara de seguridad, el vigilabebés o cualquier electrodoméstico con conexión a internet puede convertirse en un arma en manos de delincuentes. Pero la industria, que ya había recibido avisos por todas partes sobre la falta de seguridad de los dispositivos, tuvo ese viernes 21 una confirmación flagrante. Y la IOT pasó de ser la «gran esperanza» a vivir su mes «horribilis».

«Hay listas con más de 300.000 dispositivos de los que se conocen las contraseñas y que nadie puede cambiarlas, por lo que son potencialmente vulnerables. Si de 6.000 millones de dispositivos que existen en el mundo conectados a internet solo el 5% no estuvieran bien configurados o fuera atacables, ya sería un desastre», resume Manel Medina, director del máster de la UPC en ciberseguridad y coautor del libro Cibercrimen.

AVISOS DE GURÚS

Un gurú como Phil Zimmermann, inventor del PGP, el protocolo de criptografía más utilizado en internet, una semana antes del fatídico 21 de octubre, no dudaba en calificar días antes la seguridad del IOT de «completo desastre» en una conferencia ante los expertos de la agencia de la UE para la ciberseguridad (ENISA) en León y pidió que al menos se revise el sistema de cifrados. Y el consorcioSecuring Smart City, en el que participan compañías de seguridad y antivirus y que lleva años denunciando fallos, volvía a lanzar este pasado septiembre una alerta sobre vulnerabilidades detectadas en sistemas de control del tráfico en las carreteras, en aeropuertos o en la venta de entradas o billetes de transporte.

Tras el ataque, ISACA, entidad internacional que audita la calidad de software, ha reclamado que se tengan en cuenta los estándares de seguridad a la hora de permitir comercializar cualquier dispositivo conectado. «Es contradictorio observar cómo los equipos industriales, en general, son diseñados, fabricados e instalados observando altísimas medidas de seguridad (resistencia a presiones, temperaturas, funcionamiento en modo de fallo, apagado seguro…) pero el software de estos mismos equipos no pasa por un proceso equivalente de securización», dice en su blog el capítulo español de ISACA.

Fallos en dispositivos conectados como un coche autónomo, controles domóticos o de vigilancia, un dispositivo médico, una central de energía, o incluso las infraestructuras urbanas conectadas (semáforos, cambios de agujas ferroviarias) podrían implicar riesgos para la vida de las personas, insisten.

PRESTACIONES LIMITADAS

Pero los expertos en ciberseguridad se encuentran con que los fabricantes crearon máquinas con poca memoria y prestaciones muy limitadas que en principio solo debían ser usadas para sus funciones originales y que tienen muy poco margen para la mejora. «Se descubrió un ataque a unas placas fotovoltaicas porque se bloqueaban al conectarse a internet, y es que alguien las estaba utilizando para otros fines», recuerda Medina. Para el día 21, se usaron muchas cámaras de videovigilancia y grabadores de televisión de un fabricante concreto, Hangzhou Xiongmai Technology, pero esto no excluye a los demás.

«El papel de la seguridad en el internet de las cosas es ninguno. Los fabricantes han tenido como criterio reducir costes más que primar la calidad del software, en parte por las prisas de sacar las cosas pronto al mercado», sostiene Miguel García-Menéndez, del Centro de la Ciberseguridad Industrial,

«El ataque del viernes, sin embargo, no va a servir de acicate para que los fabricantes de dispositivos se pongan las pilas. Son cosas muy lentas. En los foros parece que siempre seamos los mismos autoconvenciéndonos y, además, en la industria, la digitalización de las máquinas todavía va muy lenta. Pasa al revés, hay fallos por obsolescencia», afirma.