Crédito: Nick Little.

Una creciente masa de dispositivos de internet de las cosas (IoT, por sus siglas en inglés) pobremente asegurados está generando un grave riesgo para la vida y la propiedad, y los gobiernos deben intervenir para evitarlo. Ese es, en esencia, el mensaje que un grupo de destacados expertos en ciberseguridad entregaron recientemente al Congreso de Estados Unidos.

El enorme ataque de denegación de servicio que en octubre afectó al proveedor de infraestructura de internet Dyn y deshabilitó gran parte de la web para los usuarios de la costa este de Estados Unidos fue "benigno", afirmó el experto en seguridad y ponente de políticas públicas de la Universidad de Harvard (EEUU) Bruce Schneier durante una audiencia en el Congreso de EEUU celebrada el mes pasado y organizada por el Comité de Energía y Comercio. Nadie murió. Pero dijo que el ataque, que dependió de un botnet compuesto por cámaras web, videocámaras, monitores para bebé y otros dispositivos hackeados, ilustra los "catastróficos riesgos" de la proliferación de dispositivos no seguros en internet.  

Por ejemplo, Schneier y otros expertos advirtieron que esa misma pobre seguridad está presente en ordenadores que acaban en hospitales, inlcuidos los que gestionan ascensores y sistemas de ventilación. No resulta difícil de imaginar un desastre mortal, lo que hace que sea imperativo que el Gobierno intervenga para solucionar este "fallo de mercado", afirmó.

Los problemas con los dispositivos de IoT son cada vez más graves porque los fabricantes carecen de incentivos para priorizar la seguridad. Incluso si los consumidores quisieran evaluar la seguridad relativa de sus termostatos y otros dispositivos conectados a internet, no existen calificaciones establecidas ni otras medidas.

El consenso de que el Gobierno debería hacer algo al respecto está prácticamente generalizado, puesto que muchos sistemas críticos son vulnerables a ataques como el que azotó a Dyn. Cómo debería el Gobierno abordar la situación está menos claro, lo que está intensificando un debate en Washington D.C. (EEUU) y no se resolverá antes de que el presidente electo Donald Trump asuma el cargo. Los grupos empresariales como la Cámara de Comercio de Estados Unidos y la Asociación de Tecnologías de Consumo argumentan que las nuevas regulaciones para los dispositivos IoT podrían limitar la innovación.

Schneier sostiene que se necesita de una nueva agencia responsable de las reglas de ciberseguridad. Esto parece poco probable, puesto que la campaña de Trump se apoyó en una amplia promesa de revertir las regulaciones, y los republicanos generalmente se oponen a ampliar el Gobierno. Pero si pasara algo catastrófico, un público asustado probablemente exigiría alguna medida, y el Gobierno debería estar preparado para ello, advirtió el experto a los miembros del comité.

¿Cómo de grande es el riesgo? Masivo y creciendo, según el profesor de informática e ingeniería de la Universidad de Michigan (EEUU) especializado en ciberseguridad Kevin Fu. No sólo se están añadiendo dispositivos IoT en "lugares sensibles de consecuencias altas, como hospitales", dijo Fu, sino que millones de ellos pueden ser fácilmente hackeados y combinados para construír enormes botnets, ejércitos de ordenadores zombis que los adversarios pueden emplear para debilitar instituciones objetivas. 

Fu, que también testificó durante la audiencia, cree que sin "un cambio importante en la ciberhigiene", no se puede depender de internet para apoyar sistemas críticos. Recomienda la creación de una entidad independiente que pruebe la seguridad de los dispositivos IoT. El proceso debería incluir pruebas premercado como las que siguen los vehículos para analizar su resistencia a coches y que realiza la Administración Nacional de Seguridad del Tráfico en Carretera de Estados Unidos, pruebas postataque similares a las que ejecuta la Junta Nacional de Seguridad del Transporte de Estados Unidos después de los accidentes y "pruebas de superviviencia y destrucción" para evaluar lo bien que soportan los ataques los dispositivos, según Fu.

Aún no sabemos si la administración de Trump o el próximo Congreso abordará los riesgos relacionados con IoT como una prioridad. Entonces, ¿qué puede hacer el Gobierno mientras tanto? El mes pasado, el Departamento de Seguridad Nacional publicó un conjunto de "principios estratégicos para asegurar internet de las cosas" y sugirió que el Gobierno podría demandar a los fabricantes que obvien "incorporar la seguridad durante el diseño". El mismo día, el Instituto Nacional de Estándares y Tecnología, que publica estándares industriales para muchas áreas de tecnología, publicó directrices voluntarias para la ingeniería de sistemas conectados "más defendibles y supervivientes".

Mientras tanto, cada ordenador conectado, tanto si se encuentra dentro de un coche, dron, dispositivo médico o cualquiera de otros innumerables dispositivos y sistemas, estará expuesto a estos riesgos. Por eso se necesita de una autoridad regulatoria central. Schneier concluye: "No podemos tener reglas diferentes si el ordenador tiene ruedas, o hélices o realiza llamadas o se encuentra dentro del cuerpo".

(Para saber más: Terrorismo que mata a través de internet)