Defendiendo el Internet de las cosas

Muchos expertos predicen que el número de dispositivos conectados a Internet superará los 50.000 millones para el año 2020. De hecho, el diagrama que ilustra esta nota muestra que, en promedio, cada persona en el planeta tendrá unos 3,5 dispositivos conectados en el próximo año. Yo personalmente estoy contribuyendo con ese promedio. Después de todo, tengo varios dispositivos conectados también, como un Smart TV, reproductor Blu-Ray, PlayStation, ordenador portátil, iPad, iPhone, etc.

No tenemos que esforzarnos mucho para encontrar un dispositivo conectado a Internet. Hemos conectado autos, gafas, ropa deportiva, cerraduras de puertas, balanzas, refrigeradores, termostatos, ¡Incluso pelotas de baloncesto! ¿Recuérdenme de nuevo por qué necesitamos que un balón de baloncesto esté conectado a Internet? Hablando de pelotas conectadas … Ojalá alguien hubiera conectado a Internet pelotas de golf, así no tendría que pasar tanto tiempo buscándolas cuando juego.

En un futuro cercano veremos dispositivos como los cepillos de dientes conectarse a la red. Hace poco leí una cita de un ejecutivo de una compañía de cepillos de dientes que, cuando se le preguntó acerca de los cepillos de dientes conectados a Internet, contestó: “Hay gente que los está esperando de forma muy apasionada”. No estoy muy seguro de quiénes son esas personas, pero apuesto a que podríamos identificarlos entre una multitud con sus brillantes sonrisas blancas y aliento fresco con olor a menta. Incluso los niños se están involucrando en este mundo conectado. Monitores para bebés ya están conectados, y muy pronto veremos como se conectan hasta sus utensilios de cocina. Que alguien me recuerde que debo comprobar el límite de direcciones IP permitidas en mi router inalámbrico. Puede que necesite actualizarlo muy pronto.

Es evidente que esta es una lista muy limitada de las muchas, muchas cosas, que están, o pronto estarán, conectadas a Internet. Con esta avalancha de dispositivos conectados, el espacio para los ataques por parte de hackers a usuarios de Internet descuidados es tan grande que es casi imposible que estos ataques no tengan éxito. En el siguiente cuadro —creado por el System Design and Management Program de MIT— se muestra una comparación de los conocimientos necesarios para lanzar un ataque y la sofisticación de los ataques.

Imagen: F5 Networks

Imagen: F5 Networks

Muchas veces son los detalles más simples los que permiten que los atacantes tengan éxito. Cosas como no cambiar las contraseñas por defecto, parches de software que no se instalan, o actualizaciones de firmware que no llegan a completarse, entre otros.  Algunos de los dispositivos que componen el “Internet de las cosas” (o Internet de todo como le llaman algunos últimamente o IoT) son muy fáciles de configurar y actualizar, pero algunos no lo son tanto. Si mi portátil o router tiene un parche de software recomendado o actualización del firmware y no lo instalo, entonces el fallo es mío y soy responsable de ello, ya que estoy manteniendo la puerta abierta para que los “chicos malos” utilicen sus herramientas en mi contra. Pero a veces no es tan sencillo. El nuevo frigorífico que acabo de comprar y que es capaz de conectarse a Internet puede que no tenga ni siquiera la capacidad de ser actualizado. En ese caso, la recomendación para el usuario es intentar proteger el dispositivo como sea posible, aunque sea simplemente cambiando la contraseña que viene por defecto.

En mi anterior vida, analicé rutinariamente ataques cibernéticos para una importante organización del Departamento de Defensa de Estados Unidos. Muchas veces, los ataques con éxito se habrían visto frustrados si el administrador o el usuario simplemente hubiese actualizado los parches, cambiado las contraseñas por defecto. Después de un ataque, llevábamos a cabo un proceso de “limpieza en caliente”, donde tratábamos que se había hecho correctamente y lo que se necesitaba mejorar.

En algunos casos, tuvimos la suerte de tener un atacante lo suficientemente amable que nos dejaba perfilado exactamente cómo había llevado a cabo su ataque y, por lo tanto, dejando pistas sobre como podríamos detenerlo —o retrasarlo— en caso de un nuevo ataque en el futuro. Cada ataque era un poco diferente al anterior, sin embargo, me di cuenta de un patrón por el cual la mayoría de ataques intentaban atacar a sistemas sin parches de seguridad.

No estoy sugiriendo que los atacantes nunca conseguirían su objetivo si se aplicaran rigurosamente todos los parches y actualizaciones recomendadas de firmware, pero tener al día los parches y firmare pueden porovocar que el atacante busque una presa que sea un blanco más fácil. Por lo tanto, es importante hacer las pequeñas cosas bien.

John Wooden fue entrenador del equipo de baloncesto masculino de UCLA, obteniendo el récord de 10 campeonatos nacionales en 12 años; nunca nadie se ha acercado a dicha marca. Cuando se le preguntó acerca de cómo había conseguido semejante logro, dijo: “Son los pequeños detalles los que son de vital importancia. Las pequeñas cosas te hacen conseguir grandes cosas”. Estoy de acuerdo, y yo añadiría que, en el caso de la seguridad para mantener a raya a los atacantes de Internet, las pequeñas cosas previenen que pasen cosas grandes, y es justamente esto lo que perseguimos.

El IoT es cada vez (y se ha convertido en ) un terreno más complejo para los profesionales que se encargan de su seguridad. Lori MacVittie, de F5 Networks, escribió un artículo fantástico donde destaca los retos de seguridad asociados con el IoT.

Entonces, ¿qué se puede hacer frente a este camino de enormes proporciones que se nos pone por delante? ¿Debemos simplemente no adquirir dispositivos que se puedan conectar a Internet como solución a este problema? La respuesta es no, simplemente seguimos adelante comprándolo; sólo debemos recordar que pequeñas medidas, pueden suponer una gran protección.

John Wagnon
Hola. Soy John y desarrollo soluciones para F5 DevCentral Community. Antes de trabajar para F5, fue oficial de comunicaciones en las fuerzas áreas de Estados Unidos y después analista de cyber ataques para una empresa de consultoría. Estoy encantado de estar en F5 trabajando don una gran equipo de profesionales que saben cómo trabajar duro y pasarlo bien al mismo tiempo. Espero verte por nuestra comunidad F5 DevCentral Community pronto.

Deje su comentario

Recuperar contraseña

Por favor ingrese su nombre de usuario o dirección de correo electrónico. Recibirá un enlace para crear una nueva contraseña por correo electrónico.