En el pasado mes de septiembre de 2016 apareció en diversos medios la noticia acerca de un pendrive USB que podía quemar el dispositivo al cual se conectara. Su nombre, «USB Killer«[1].

El motivo inicial de su fabricación no era causar daño, sino emplearlo como herramienta de verificación de aquellos dispositivos que contasen con uno o más puertos USB. De este modo, habría de servir para asegurar que dichos puertos se comportaban de manera segura, previniendo ataques eléctricos o robo de datos a través de los mismos. Sin embargo, la mayoría de las pruebas realizadas han dado como resultado la destrucción del dispositivo maestro, ya fuese un ordenador, un televisor o cualquier otro equipo dotado de conectores USB.  

Tal y como se dice en el blog de USBkill[2], las empresas de hardware deben ser responsables de las fallas de seguridad de sus productos, máxime en estos momentos en que cualquier objeto de uso común puede llevar un chip con capacidad de almacenamiento, procesamiento y acceso a Internet, amén del ya mencionado puerto USB mediante el cual se pueden intercambiar datos.

Aunque según sus propios autores la única empresa que parece haberles prestado cierta atención ha sido Apple, se han decidido a comercializar su creación «USB Killer«.

No es muy probable que un usuario individual lo compre para probar sus propios dispositivos, a título personal, porque lo más probable es que aquellos acaben «fritos», a riesgo, además, de que el fabricante no le reponga o le compense por el equipo estropeado ¡Aunque, sin duda, sería todo un detalle!

Es evidente que la tecnología va por delante de leyes y regulaciones. Sin embargo, no es menos cierto que se lleva hablando varias décadas de la seguridad tecnológica -hoy, digital- el primer virus informático conocido fue desarrollado a principios de los años 80 para un ordenador «Apple II«[3]-; desde entonces, también se ha venido vendiendo software que ofrecía pocas garantías por sus vulnerabilidades, a la espera resignada de los consabidos parches. 

Como consecuencia de ello, una norma de facto bastante extendida en muchas organizaciones instaba a no implantar las últimas versiones de cualquier software, para dar tiempo a que se fueran subsanando los errores.

Lo anterior difiere de las circunstancias que rodean a otros productos que ofrece el mercado. Generalmente, si estos no funcionan o no se ajustan a sus especificaciones, son retirados de la cadena de distribución. Cuando tal decisión llega tarde -el producto ya está en el mercado-, las reclamaciones de los compradores son atendidas mediante la sustitución del producto defectuoso o mediante la compensación económica pertinente (incluida la devolución del pago realizado).

Hasta hace poco, el software trataba únicamente con objetos virtuales y no actuaba sobre el mundo físico real. Sin embargo, con la inclusión de chips con capacidades de comunicación y tratamiento de datos en todo tipo de objetos, las cosas han cambiado.

Piense por un momento en las omnipresentes cámaras de vigilancia. Estas graban y transmiten dichas grabaciones a centros de control. De ese modo, se convierten en los «ojos que todo lo ven” y “que todo lo cuentan». Sin embargo, esa captura y transmisión de información no siempre se realiza con garantía plena de seguridad, (¡por no citar los aspectos relacionados con la intimidad!). Cualquier dispositivo conectado en un entorno corporativo, como las cámaras, puede «caer» en manos de personal no autorizado, quien podría tener interés en obtener información de forma ilícita o, peor aún, utilizarlo – las cámaras, en el ejemplo- como puerta de entrada o como punto débil para conseguir el acceso a otros activos de la organización. 

El artículo Design Flaws in IP Surveillance Cameras[4], de la revista Hackin9, indica que las debilidades de seguridad relacionados con estos dispositivos son múltiples: desde disponer de las credenciales de acceso al dispositivo (por ejemplo, fácilmente localizables en cualquier manual publicado en Internet o incluso contenidas sin cifrar en la memoria de la cámara), hasta permitir la manipulación para, por ejemplo, la sustitución de imágenes falsas que permitieran sustituir el flujo de video real.

Esa omnipresencia mencionada con anterioridad, se acentúa hoy día con la miniaturización e incorporación de cámaras a teléfonos, tabletas, televisores[5] o frigoríficos. Este último caso forma parte de la propuesta de Samsung[6], que invita a utilizar el frigorífico como un tablón de anuncios en el que, mediante un panel digital, cada miembro de la familia puede ir dejando sus notas para los demás, como si de un post-it se tratara. Los mensajes están sincronizados con el teléfono de cada habitante de la casa, al que se destina el mensaje.

En el caso de los televisores, estos ahora incorporan micrófonos[7] para aceptar órdenes de voz que sustituyan el mando a distancia. De ese modo, podrían recoger -y transmitir- todo lo que se diga en su entorno.

Hace algún tiempo que se tiene clara la conveniencia de tapar las webcam de los ordenadores. Es conocida la anécdota protagonizada recientemente por el fundador de Facebook, Mark Zuckerberg, quien aparecía en una fotografía publicada para celebrar los 500 millones de usuarios en Instagram, con la cámara y el micrófono de su portátil cubiertos[8]. El propio director del FBI[9] ha aconsejado, dando ejemplo con su propio ordenador, que se tenga esa precaución, del mismo modo que la de cerrar la puerta de nuestro auto. Una comparación que tal vez no sea muy acertada: la puerta del auto es un elemento de seguridad para el pasajero, que debe estar cerrada para cumplir su función mientras el auto está funcionando; por el contrario, la cámara o el micrófono pierden toda su funcionalidad si se tapan. Es decir, en un caso la seguridad aparece cuando el dispositivo (la puerta) se pone en funcionamiento, se cierra; en el otro, es precisamente la «desconexión» del dispositivo la que otorga una mayor seguridad ¿Querrá ello decir que la práctica aconsejada es dotarse de equipos «antiguos», carentes de dicha tecnología?

Podría concluirse que la gente acepta y convive con la inseguridad digital. Una inseguridad que lo permea todo, incluidos objetos, aparentemente inocuos, que asemejan ser como los de siempre, pero que no lo son.

Durante la última edición del encuentro Defcon, celebrado el pasado mes de agosto en Las Vegas (EE.UU.), «IoT Village«[10] presentó 47 vulnerabilidades descubiertas en 23 dispositivos de lo más variopinto: desde objetos personales como una «llave inteligente» –August Smart Lock-, que permitía dar acceso, a cualquiera, a la vivienda de su propietario; hasta a paneles solares -«Tigro Energy«-, los cuales permitían llegar a apagar una pequeña estación de generación de energía eléctrica. Ello prueba cómo los fabricantes, en su carrera por llevar al mercado sus productos «smart«, están obviando las posibles fallas de seguridad.

Geoff Webb, –VP, Solution Strategy en Micro Focus- apuntaba en una reciente entrevista para Help Net Security[11] que muchos de estos objetos los fabrican empresas que no tienen expertos en ciberseguridad, y los productos llegan al mercado con vulnerabilidades ya conocidas (y que, por tanto, deberían haber sido evitadas).

La Online Trust Alliance (OTA)[12], después de analizar y publicar una serie de vulnerabilidades detectadas en dispositivos entre noviembre de 2015 y julio de 2016, halló que todas se podían haber evitado fácilmente. Lo cual, en última instancia, ha de verse como una buena noticia.

Paradójicamente, aquello que le da mayor potencia al Internet de las Cosas (IoT, por sus siglas en inglés) que no es sino la conectividad y la posibilidad de compartir datos instantáneamente con cualquier persona o cualquier otra cosa, constituye la gran amenaza para la ciberseguridad. Cualquier producto con una vulnerabilidad puede comprometer seriamente -efecto dominó- la seguridad de los sistemas u otros dispositivos a los cuales se conecte.

Las medidas de seguridad establecidas hasta ahora en componentes de producto -como las pruebas de frenos, luces, airbag, bloqueo de volante, y un largo etc. a que debe someterse un auto antes de salir de fábrica-, han de complementarse ineludiblemente con otras que velen por la ciberseguridad. El ejemplo de los autos es muy adecuado teniendo en cuenta las numerosas noticias sobre ataques exitosos que han sufrido, tanto los que necesitan conductor como los autónomos, ambos parcial o totalmente controlados por un ordenador.

La IoT está en la base de cualquier desarrollo tecnológico actual. Por ello, tal vez haya que llegar a un consenso entre fabricantes y reguladores que favorezca la consecución, entre todos, de un entorno más seguro.

Que la IoT no pase de ser el «Internet de las cosas» al «Internet de las amenazas», como lo llama el fundador de la firma de ciberseguridad Eugene Kaspersky: “Internet of Things? I Call It Internet of Threats.”[13]

.

[email protected]

 

 

[1]     url [a 25-09-2016]  https://www.usbkill.com

[2]     «USB kill: Behind The Scenes» (30 de agosto, 2016)  url [a 25-09-2016]  https://www.usbkill.com/blog/usb-kill-behind-the-scenes-b40.html

[3]     url [a 25-09-2016] https://es.wikipedia.org/wiki/Elk_Cloner

[4]     Aditya K Sood, Bipin Gajbhiye (2011). «Design Flaws in IP Surveillance Cameras«. Hackin9. url [a 25-09-2016] https://www.cigital.com/papers/download/design_flaws_IP_surveillance_cameras_adityaks_bipin.pdf

[5]     Eva Dallo (01 de diciembre, 2013) «¡Ojo! Su televisión puede espiarle». El Mundo. url [a 25-09-2016] http://www.elmundo.es/cronica/2013/12/01/529a24f161fd3dea548b45a0.html

[6]     url [a 25-09-2016] http://www.samsung.com/us/explore/family-hub-refrigerator/

[7]     Juan Antonio Pascual (8 de febrero, 2015). «¿Los Smart TV de Samsung graban y envían nuestras voces?» CompterHoy.com url [a 25-09-2016] http://computerhoy.com/noticias/imagen-sonido/smart-tv-samsung-graban-envian-nuestras-voces-24055

[8]     Andrew Griffin (22 de junio, 2016) «Mark Zuckerberg seen covering up his webcam in picture celebrating Instagram milestone». Independent.  url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/mark-zuckerberg-seen-covering-up-his-webcam-in-picture-celebrating-instagram-milestone-a7094896.html

[9]     Andrew Griffin (15 de septiembre, 2016). «Everyone should cover up their laptop webcams right now, says FBI director James Comey». Independent.  url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/everyone-should-cover-up-their-laptop-webcams-right-now-says-fbi-director-james-comey-a7308646.html

[10]   Mirko Zorz (16 de septiembre, 2016). «IoT Village uncovers 47 security vulnerabilities across 23 devices». HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/16/iot-village-def-con/

[11]   Véase nota [x]

[12]   Help Net Security (9 de septiembre, 2016). «Are all IoT vulnerabilities easily avoidable?». HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/09/iot-vulnerabilities-easily-avoidable/

[13]   «¿Internet de las cosas? Yo lo llamo Internet de las amenazas». Eugene Kaspersky (24 de junio, 2015). NbcNews. url [a 25-09-2016] http://www.nbcnews.com/tech/security/kaspersky-smart-fridges-internet-things-i-call-it-internet-threats-n380541