Una ejecutiva líder de un conglomerado financiero llega a su apartamento de corte futurista en una noche de invierno. Es un hogar inteligente. Las luces, el televisor, el termostato, el sistema de sonido y hasta el calentador de agua se encuentran conectados a una red. No hace falta acercarse a un interruptor para encender las bombillas, tan solo cabe presionar un botón en una aplicación móvil. Es un sueño hecho realidad. (Ver también: Cómo blindarse cuando use una red wifi pública)
La ejecutiva se despoja de sus prendas y empieza a disfrutar de un baño caliente. De improviso, la temperatura del torrente se eleva hasta resultar insoportable. Camina con premura para revisar la configuración del sistema. Las luces se apagan. El termostato deja de funcionar. La calidez de la temperatura perfecta da paso a un frío que cala hasta los huesos. El sueño se ha transformado en pesadilla. El hogar inteligente se ha enloquecido. A pocos metros de la construcción, un grupo de ‘hackers’ goza con el sufrimiento de su víctima y aguarda a que abandone su hogar para infiltrarse.
La escena descrita ocurre en una de las series de moda: ‘Mr. Robot’. Aunque suena a ficción, le podría pasar a cualquiera en el futuro. Vivimos en un mundo donde cada día hay más equipos electrónicos con capacidad de procesamiento, almacenamiento y conexión a internet: desde televisores, carros, cafeteras y termostatos hasta equipos médicos transcendentales para la vida de los pacientes, como los marcapasos. Y la lista crece sin tregua. ¡Es el florecimiento de la era digital!
En la actualidad existen alrededor de 5.000 millones aparatos conectados, y la cifra se quintuplicará en los próximos cincos años (hasta 25.000 millones), según la consultora Gartner. El mundo se está inundando de aparatos inteligentes. Y cualquier aparato inteligente es susceptible de un ataque.
“Prevenir el fraude en el mundo del internet de las cosas resulta particularmente tan complejo como esencial. Al tratarse de ‘máquinas hablando con máquinas’, es necesario crear algoritmos, llaves de cifrado, sistemas de autenticación mutua, sistemas de almacenamiento seguro y sistemas que eviten suplantación de identidades para que esta industria pueda crecer hasta donde los analistas pronostican”, señala el experto de Gemalto Daniel Cuéllar.
Durante la conferencia Black Hat (orientada a hackers), llevada a cabo a inicios de este mes en Las Vegas, varios expertos dieron ejemplos de las posibilidades que un mundo conectado ofrece a los ciberdelincuentes.
Una de las presentaciones que más asombro despertaron entre los asistentes fue llevada a cabo por Colin O’Flynn, director de tecnología de la firma NewAE Technology.
El experto invitó al estudiante israelí Eyal Ronen al escenario. Eyal fue capaz de crear un virus capaz de infectar aparatos inteligentes. Para probarlo, atacó el sistema de iluminación inteligente Philips Hue.
El Philips Hue acude a un protocolo de comunicación, llamado ZigBee, que le permite ‘hablar’ de forma inalámbrica con otros aparatos del lugar. Con pericia, Ronen consiguió vulnerar ese sistema. De ese modo, logró controlar las luces inteligentes desde una distancia de hasta 70 metros. Llevó sus pruebas más allá: compró un dron de 4.000 dólares que le permitió acercarse lo suficiente a un edificio de oficinas de Israel para infectar las luces, por medio de una señal con un código malicioso, y jugar con ellas. ¡En ese edificio se aloja una de las empresas de seguridad informática más relevantes del mundo, la RSA!
Después de exponer el caso, Ronen tomó el control de las luces del escenario y las hizo parpadear, como si de un mago se tratara. O’Flynn considera que, aunque no es fácil, se podría crear un virus que no solo permitiría tomar el control de un solo aparato, sino de varios, como la nevera, la lavadora o hasta el automóvil. Y sería capaz de propagarse.
Otra ponencia que dejó boquiabierta a la audiencia fue la de Andrew Tierney y Ken Munro, dos expertos en seguridad, de la firma Pen Test Partners.
Crearon un programa malicioso capaz de tomar el control de un termostato. Si el usuario quiere que el aparato funcione de nuevo (algo esencial en países donde se viven fríos intensos u olas de calor insoportables), debe pagar un monto de dinero. Es como un secuestro por el que piden rescate.
El código malicioso fue cargado en una memoria SD que se inserta en el termostato. Este viene provisto de una pantalla en la que muestra fotos guardadas en dicha memoria. Producto de este 'virus', en el monitor aparece una imagen que solicita un pago (de un bitcóin, es decir alrededor de 650 dólares) a cambio de retornar el control del aparato. Es una estrategia efectiva, muchas personas están dispuestas a pagar el monto porque puede tratarse de un asunto de vida o muerte.
Por último, Por último, cabe resaltar la muestra de Charlie Miller y Chris Valasek, conocidos como los ‘hackers’ de Jeep. El dueto fue capaz de tomar el control de una Cherokee y manipularla a distancia para que frenara de sopetón o acelerara sin previo aviso. Además, lograron girar el timón con precisión quirúrgica en las curvas, ¡aterrador! Si pueden lograr eso con ese tipo de vehículos, lo mismo podrían conseguir con cualquier otro modelo cuya operación incluya componentes electrónicos.
El polaco Przemek Jaroszewski mostró que se pueden crear pasabordos en menos de 10 segundos. Un día iba a ingresar a una de las zonas de descanso de un aeropuerto de Varsovia, disponible para viajeros VIP, pero el sistema de lectura del pase de abordar desconoció el estatus privilegiado de Jaroszewski y le denegó el acceso. Haciendo gala de sus habilidades técnicas, el polaco diseñó su propia aplicación de Android para generar códigos QR personalizados (puede generarlos a nombre de quien desee, a la hora que guste y para el vuelo que más le convenga). Lo único que, al parecer, es relevante es que el vuelo que se indica en el código debe ser real.
“Como este código se usa para engañar a una máquina, ni siquiera es necesario que parezca legítimo. Solo lo he probado en los aeropuertos de Europa, no sé si serviría en Estados Unidos”, indicó el experto en una entrevista concedida a la revista Wired.
No es la primera vez que se falsifican pasabordos. De hecho, en el 2003 el hacker Bruce Schneier escribió sobre una técnica para copiarlos, y el activista Chris Soghoian es investigado por el FBI por crear un sitio web que genera pases de abordar falsos con solo presionar un botón.
Recomendaciones de seguridad“La masificación de aparatos conectados irá acompañada de un incremento en las amenazas. Muchos fabricantes no dan prioridad a la seguridad en los dispositivos desde el diseño. Por ende, es necesario que el usuario tome medidas de seguridad adicionales encaminadas a proteger el entorno de red al cual se conectan estos equipos”, le contó a EL TIEMPO Camilo Gutiérrez, jefe del laboratorio de investigación de Eset.
Intel Security recomienda actualizar el ‘software’ de cualquier dispositivo inteligente de forma constante. Instale todos los parches de seguridad disponibles. “Esto le ayudará a protegerse contra virus y ‘ransomware’, en incluso de drones que se usen a distancia para atacar su lugar de trabajo”, señalan los expertos de la firma.
Camilo Gutiérrez, de Eset, recomienda conectar los dispositivos a redes wifi seguras y conocidas, “de esta manera el usuario puede tener mayor control sobre el tipo de tráfico que pasa por la red”, indica. “Por otra parte, solo instale aplicaciones que estén avaladas por el fabricante para reducir la posibilidad de verse afectado”.
Por último, muchos códigos maliciosos, entre ellos los gusanos, se pueden propagar a través de dispositivos de almacenamiento USB o de tarjetas MicroSD. No introduzca memorias de origen desconocido. Nunca utilice una USB que se haya encontrado en la calle o el parqueadero de su oficina: un ‘hacker’ podría haberla puesto ahí para que usted la inserte en sus aparatos y se infecten.
ÉDGAR MEDINA
Redacción Tecnósfera
@EdgarMed en Twitter
