.

Computación

El "creciente y masivo" riesgo de IoT puede acabar cobrándose vidas humanas

No hay directrices claras sobre la seguridad de los aparatos que se conectan a internet ni organismos independientes que los evalúen, así que los expertos están alzando cada vez más la voz

  • por Mike Orcutt | traducido por Teresa Woods
  • 09 Diciembre, 2016


Crédito: Nick Little.

Una creciente masa de dispositivos de internet de las cosas (IoT, por sus siglas en inglés) pobremente asegurados está generando un grave riesgo para la vida y la propiedad, y los gobiernos deben intervenir para evitarlo. Ese es, en esencia, el mensaje que un grupo de destacados expertos en ciberseguridad entregaron recientemente al Congreso de Estados Unidos.

El enorme ataque de denegación de servicio que en octubre afectó al proveedor de infraestructura de internet Dyn y deshabilitó gran parte de la web para los usuarios de la costa este de Estados Unidos fue "benigno", afirmó el experto en seguridad y ponente de políticas públicas de la Universidad de Harvard (EEUU) Bruce Schneier durante una audiencia en el Congreso de EEUU celebrada el mes pasado y organizada por el Comité de Energía y Comercio. Nadie murió. Pero dijo que el ataque, que dependió de un botnet compuesto por cámaras web, videocámaras, monitores para bebé y otros dispositivos hackeados, ilustra los "catastróficos riesgos" de la proliferación de dispositivos no seguros en internet.  

Por ejemplo, Schneier y otros expertos advirtieron que esa misma pobre seguridad está presente en ordenadores que acaban en hospitales, inlcuidos los que gestionan ascensores y sistemas de ventilación. No resulta difícil de imaginar un desastre mortal, lo que hace que sea imperativo que el Gobierno intervenga para solucionar este "fallo de mercado", afirmó.

Los problemas con los dispositivos de IoT son cada vez más graves porque los fabricantes carecen de incentivos para priorizar la seguridad. Incluso si los consumidores quisieran evaluar la seguridad relativa de sus termostatos y otros dispositivos conectados a internet, no existen calificaciones establecidas ni otras medidas.

El consenso de que el Gobierno debería hacer algo al respecto está prácticamente generalizado, puesto que muchos sistemas críticos son vulnerables a ataques como el que azotó a Dyn. Cómo debería el Gobierno abordar la situación está menos claro, lo que está intensificando un debate en Washington D.C. (EEUU) y no se resolverá antes de que el presidente electo Donald Trump asuma el cargo. Los grupos empresariales como la Cámara de Comercio de Estados Unidos y la Asociación de Tecnologías de Consumo argumentan que las nuevas regulaciones para los dispositivos IoT podrían limitar la innovación.

Schneier sostiene que se necesita de una nueva agencia responsable de las reglas de ciberseguridad. Esto parece poco probable, puesto que la campaña de Trump se apoyó en una amplia promesa de revertir las regulaciones, y los republicanos generalmente se oponen a ampliar el Gobierno. Pero si pasara algo catastrófico, un público asustado probablemente exigiría alguna medida, y el Gobierno debería estar preparado para ello, advirtió el experto a los miembros del comité.

¿Cómo de grande es el riesgo? Masivo y creciendo, según el profesor de informática e ingeniería de la Universidad de Michigan (EEUU) especializado en ciberseguridad Kevin Fu. No sólo se están añadiendo dispositivos IoT en "lugares sensibles de consecuencias altas, como hospitales", dijo Fu, sino que millones de ellos pueden ser fácilmente hackeados y combinados para construír enormes botnets, ejércitos de ordenadores zombis que los adversarios pueden emplear para debilitar instituciones objetivas. 

Fu, que también testificó durante la audiencia, cree que sin "un cambio importante en la ciberhigiene", no se puede depender de internet para apoyar sistemas críticos. Recomienda la creación de una entidad independiente que pruebe la seguridad de los dispositivos IoT. El proceso debería incluir pruebas premercado como las que siguen los vehículos para analizar su resistencia a coches y que realiza la Administración Nacional de Seguridad del Tráfico en Carretera de Estados Unidos, pruebas postataque similares a las que ejecuta la Junta Nacional de Seguridad del Transporte de Estados Unidos después de los accidentes y "pruebas de superviviencia y destrucción" para evaluar lo bien que soportan los ataques los dispositivos, según Fu.

Aún no sabemos si la administración de Trump o el próximo Congreso abordará los riesgos relacionados con IoT como una prioridad. Entonces, ¿qué puede hacer el Gobierno mientras tanto? El mes pasado, el Departamento de Seguridad Nacional publicó un conjunto de "principios estratégicos para asegurar internet de las cosas" y sugirió que el Gobierno podría demandar a los fabricantes que obvien "incorporar la seguridad durante el diseño". El mismo día, el Instituto Nacional de Estándares y Tecnología, que publica estándares industriales para muchas áreas de tecnología, publicó directrices voluntarias para la ingeniería de sistemas conectados "más defendibles y supervivientes".

Mientras tanto, cada ordenador conectado, tanto si se encuentra dentro de un coche, dron, dispositivo médico o cualquiera de otros innumerables dispositivos y sistemas, estará expuesto a estos riesgos. Por eso se necesita de una autoridad regulatoria central. Schneier concluye: "No podemos tener reglas diferentes si el ordenador tiene ruedas, o hélices o realiza llamadas o se encuentra dentro del cuerpo".

(Para saber más: Terrorismo que mata a través de internet)

Computación

Las máquinas cada vez más potentes están acelerando los avances científicos, los negocios y la vida.

  1. Descubierta una serie de ciberataques contra las instalaciones nucleares de EEUU

    Aunque los atacantes sólo han conseguido acceder a los sistemas informáticos administrativos, podrían haber generado mapas internos y estar preparando una ofensiva que socave la red energética de otros países. Algunos expertos apuntan a Rusia

  2. Su cara será escaneada la próxima vez que salga de EEUU en avión si no pertenece al país

    Algunos expertos alertan de que no es legal registrar la cara de los ciudadanos estadounidenses, pero si usted no pertenece al territorio, tal vez no tenga opción de evitar este registro facial. Aunque no se sabe qué pasa con los datos, las autoridades aseguran que los destruyen tras 14 días

  3. Líderes de la defensa israelí crean una 'start-up' para proteger a los coches del futuro

    Ya se han visto casos de hackers que acceden al control de frenado de algunos vehículos, y a medida que aumentan las capas de seguridad, también mejoran sus estrategias de ataque. La 'start-up' Karamba propone asegurar los vehículos desde la fábrica para que nadie pueda penetrar en ellos