blackhTodos los días podemos leer algo nuevo sobre el “internet of things”. Ya no son sólo las televisiones las que se conectan a la red: semáforos, termostatos, cerraduras, coches, frigoríficos, y todo tipo de objetos electrónicos están abriendo la puerta a Internet. Y no todos lo hacen como debieran.

radcliffe

Los fans de programas como “Person of Interest” están hartos de ver como se secuestran teléfonos o (en algún capítulo) semáforos y hasta coches, usando el programa oportuno. Suena a fantasmada pero no es nuevo. Ya en 2011, un investigador informático llamado Jay Radcliffe (en la imagen superior) se subió al escenario de la conferencia Black Hat para demostrar cómo podía acceder, controlar y manipular remotamente una bomba de insulina como la que él mismo llevaba puesta. El fabricante, Medtronic, se negó a comentar el tema, no reaccionó hasta que otros investigadores detectaron problemas posiblemente letales y no tendrá aparatos más seguros hasta dentro de unos años.

En Junio de 2015, otro investigador llamado Billy Rios anunció que había descubierto cómo controlar a través de la red no un sistema automático de administración de medicamentos, sino varios, y cambiar las dosis.

El caso de los coches tampoco es inventado. En Agosto, en la conferencia Black Hat, se hará público el modo de controlar los sistemas de un coche sin tener que pasar por la incomodidad de conectar físicamente un ordenador. Pero ya se han publicado muchos informes sobre el modo de conectarse a un coche y manipular su dirección, frenos o cerraduras: la reacción de Volkswagen cuando un investigador de la Universidad de Birmingham le informó de que había encontrado el método de manipular remotamente su sistema de cierre de puertas fue llevarlo ante la Justicia e intentar impedir la publicación del informe.

¿Suena raro? Aún hay más

En 2014, SANS Institute anunció que había descubierto una red (“botnet”) de aparatos de vídeo controlados por hackers y dedicados a minería de bitcoins. Algo que sus propietarios nunca llegaron a detectar.

Nominum, otra empresa de conectividad, anunció que en Febrero de 2014 más de 5 millones de routers domésticos habían sido controlados por hackers y usados en ataques DoS.

La mayor parte de estos aparatos contienen algo que cada vez se parece más a un ordenador (sistemas embebidos que son más potentes que un PC de hace unos años) o que directamente lo es. Pero son sistemas que no han sido pensados para estar expuestos al tipo de riesgo que se da por supuesto en un ordenador de uso general. Corren principalmente sistemas operativos sencillos y no cuentan con contramedidas significativas.

Lo que es peor, la mayoría de los que hay ahora mismo ni siquiera pueden actualizarse y parchearse. Al poner estos aparatos al alcance de internet sin la protección que se da por sentada en la industria informática, se corre el riesgo de incidentes serios. La transparencia y adaptabilidad que incluso Apple mantiene (aunque a veces le cueste) es una lección que Volkswagen y compañía aún no han terminado de aprender. Y la avalancha de soluciones de “internet de las cosas” y de “smart cities” que está creándose ahora mismo parte en buena medida del mismo mundo: ingenieros hardware que nunca han tenido que plantearse las necesidades de seguridad software que requiere un sistema conectado.

¿Es un riesgo real?

Aunque todo lo anterior suena ligeramente apocalíptico, es de esperar que las lecciones aprendidas por la industria informática se extiendan pronto. Los que no lo hagan por su propio interés lo acabarán haciendo por impulso legal. En los EEUU, la agencia que regula los aparatos biomédicos ya ha publicado instrucciones para que los fabricantes aprendan lo mínimo sobre seguridad informática. Telefónica está desarrollando sus propios routers seguros (aunque no dice nada de preocuparse porque se modifique la contraseña al empezar a usarlos).

Entre tanto, y hasta que las mejores prácticas de seguridad alcancen a los entusiastas de los aparatos conectados, siempre cabe la posibilidad de que tu televisión conectada esté siendo utilizada para atacar sites por unos hackers chinos, o de que tu router tenga una vida oculta de lo más interesante. Por si acaso, cuando compres tu coche nuevo y conectado, pregunta si puede parchearse. No vaya a ser que un día alguien decida bloquearte las puertas.

Oh, sí. Estamos exagerando. Un poco.

¿Tiene todo ésto algo que ver con Apple?

Los ordenadores, en este nuevo contexto, quedan rodeados por aparatos conectados a la (misma) red y con un nivel de seguridad dudoso.

Apple está intentando posicionar sus productos en el mundo de “internet de las cosas” mediante HomeKit: protocolos que permiten a sus aparatos recibir datos y emitir instrucciones para controlar otros aparatos, a su vez conectados a la red. Ya sea para abrir la puerta del garage, controlar la calefacción, programar una grabación, o avisar a la policía.

Cuando esos aparatos son de fiar, la idea parece buena. Desde el momento que la seguridad de esos aparatos (y la veracidad de los mensajes que mandan) no puede darse por sentada, va a ser interesante ver cómo Apple resuelve la papeleta.

Es algo que la empresa de la manzana ya hace, en parte. Los Mac incluyen su propio firewall para protegerse de lo que le pueda pasar a un router. HomeKit probablemente tenga que tener en cuenta estos riesgos.

Puedes comentar este artículo en los foros.