Jesús Prieto     Enterprise Security Products Lead, HPE.

Cuando uno empieza a pensar en la amenaza del Internet de las Cosas, enseguida te puede venir a la mente aquella saga donde un ente artificial, Skynet, tomaba consciencia de sí mismo y se rebelaba contra los humanos, o incluso aquella canción ochentera “La revolución de los electrodomésticos”. Pero lejos aún de que las cosas puedan tomar consciencia de sí mismas y rebelarse contra nosotros los humanos, las amenazas podrían ser algo más cercano y real ahora mismo.

Sin ir más lejos, todo el mundo recordará, no hace muchas semanas, (y no hace falta recurrir a la prensa especializada, sino que fue noticia en todos los medios), el ataque de Denegación de Servicio Distribuido (DDoS) sufrido por un proveedor de servicios DNS y que dejó fuera de servicios múltiples y populares sitios web como Paypal, Netflix, Amazon, Twiter, Spotify…Este fue un ataque orquestado desde miles de cámaras IP, que consiguieron crear el suficiente volumen de tráfico como para bloquear los servicios de DynDNS: muchas (muchísimas) cosas pequeñas, creando entre todas un volumen inmenso e inmanejable de tráfico.

Obviamente, muchos fabricantes son conscientes de los peligros que productos vulnerables y conectados a Internet pueden tener, y tomarse en serio el desarrollo de los mismos, pero otros muchos, simplemente pueden ignorarlos. Entre los primeros, podríamos citar por ejemplo a los fabricantes de automóviles. Uno de estos problemas en un vehículo podría afectar gravemente a su reputación como marca, e incluso a sus beneficios, derivado de las posibles demandas planteadas por usuarios y aseguradoras. Un fabricante de juguetes, o cámaras como las que atacaron a DynDNS, podría estar entre los segundos, al focalizarse simplemente en sacar un producto barato y atractivo, y posiblemente efímero, dirigido a un público masivo.

Por otro lado, la tentación que puedan tener “los malos” para hacerse con el control de estos dispositivos es muy grande. El beneficio que podrían obtener a través de la venta de las posibles vulnerabilidades o de determinados servicios que ya están disponibles en la Internet profunda, como “DDoS as a Service”, podría ser muy elevado. Y a diferencia de otro tipo de dispositivos como PCs, tabletas o móviles, donde el usuario fácilmente podría darse cuenta de que tiene su dispositivo comprometido, ya sea a través de comportamiento sospechoso de las aplicaciones, la factura del móvil, etc., “las cosas” comprometidas podrían ser mucho más difíciles de detectar.

¿Quiénes son los amenazados?

Evidentemente, la amenaza principal se cierne sobre aquellos fabricantes con imagen de marca, por lo comentado anteriormente y sobre los usuarios. Sobre estos últimos recaerían los posibles peligros relativos a su seguridad física (incendio, accidentes…), a su intimidad (documentos, imágenes…), o a la seguridad lógica que podría suponer un acceso a todos los recursos de su red doméstica.

Y por supuesto, las amenazas sobre terceros, entre los que estarían aquellos sistemas a los que un usuario comprometido tuviera acceso, y aquellos sistemas susceptibles de ser atacados por agentes externos como en el comentado ataque contra DynDNS.

¿Y qué hacemos?

En primer lugar, deben ser los propios fabricantes los que exijan a sus desarrolladores que incluyan la seguridad como una parte fundamental del ciclo del desarrollo e incluso una vez finalizado este y puesto el producto en el mercado. Y no solo de sus propios desarrollos sino de todos los elementos externos o de código libre que pudiesen incorporar. Las actualizaciones automáticas, a ser posible sin intervención del usuario, como es cada vez más popular, serían altamente recomendables.

Y por otro lado, y aquí viene la parte difícil, tendríamos la concienciación de los propios usuarios. Mejorar la experiencia de usuario, por ejemplo para evitar el uso de las contraseñas por defecto y usar contraseñas con un grado alto de seguridad, es el gran reto al que todavía los fabricantes no han sabido dar una solución. Los usuarios quieren cosas sencillas de instalar y utilizar, lo que suele ser incluso más un problema de adultos que de niños “nativos digitales”, y esto es incompatible muchas veces con la seguridad. Quizás, las medidas de control biométrico, cada vez más populares, podrían ayudar aquí ya que son atractivas y no están mal vistas por los usuarios.

¿Y entonces, qué?

Desde luego es indudable que el hecho de que nuestras “cosas” se conecten a Internet es enormemente atractivo. A todos nos gusta la idea del hogar conectado, preferiblemente desde nuestros dispositivos móviles: la calefacción, los electrodomésticos, las luces, el riego, etc., por lo que va a ser muy difícil que la gente, salvo los muy concienciados o paranoicos, se resista a ello.

Pero el hecho de que pueda llegar a haber tal enorme cantidad de dispositivos conectados, y, muchos de ellos desarrollados por fabricantes de bajo coste sin las garantías ni calidad necesarias, es lo que verdaderamente puede dar lugar a una gran amenaza en un futuro no tan lejano. Desde luego, daría pánico pensar hasta donde podría llegar un ejército de bots instaladas en miles/millones de juguetes, wearables, electrodomésticos, etc.

Y quizá no queda tanto para verlo…