El Internet de las cosas (inseguras) en 2017

El exceso de expectación con respecto a las tecnologías emergentes que caracterizó el último ciclo, nos dice que el IoT (Internet de las Cosas) carece del pico de expectativas sobredimensionadas y que está de cinco a diez años de la meseta de la productividad. No obstante, ya presenta algunas historias premonitorias maravillosas. Van desde divertidas historias sobre cómo pasar 11 horas intentando hervir agua para el té, hasta historias más alarmantes como el ataque récord de tipo Distributed Denial of Service (DDoS) contra lao web del periodista Brian Kreb; un ataque posterior (que también batió récords) contra Dyn (un proveedor de infraestructura de servicios DNS críticos para el funcionamiento de Internet) que hizo caer Internet en la Costa Este y —más recientemente— un ataque a los routers de DLS de hogares que dejó sin conexión a casi un millón de usuarios alemanes. Todos estos ataques tienen algo en común: dispositivos vulnerables conectados a Internet que estaban siendo explotados por la botnet Mirai o alguna de sus variantes.

A los sistemas de seguridad del hogar que se pueden hackears con firmware no actualizable

Si los anuncios de productos sirven como indicador, podemos suponer que en las próximas semanas se regalarán muchos dispositivos conectados a Internet. Además, podemos asumir con bastante certeza que el software de estos nuevos dispositivos no será menos vulnerable. Este es el fantasma del IoT que está por venir. Y es precisamente esto lo que me impide dormir por las noches.

A las cámaras vulnerables a la inyección SQL, a los DVR con contraseñas predeterminadas intercambiables, a los sistemas de seguridad del hogar que se pueden hackears con firmware no actualizable y a los routers cuyas configuraciones se pueden cambiar sin autenticación a través de una conexión sin texto, les digo "os temo más que a un nublado". La pregunta es: ¿qué se puede hacer?

Bajo la amenaza de ataques más grandes y dañinos, podríamos dar la bienvenida al “neoludismo”, según el cual dejaríamos de lado o destruiríamos activamente la tecnología. De este modo se neutralizaría la amenaza, pero esta "solución" es tan poco práctica como poco realista es la predicción. Como alternativa, podríamos hacer la predicción igualmente poco realista de que, de repente, escribamos mejor el código y todas estas vulnerabilidades desaparecieran como por arte de magia.

Benjamin Franklin: "una línea de código preventivo vale 100 líneas de código correctivo"

En el espíritu de la generosidad, os ofrezco algunos "obsequios" como autorregalo. Reconozco que están más en la línea de un buen par de zapatos que de gestos ostentosos como una pantalla de televisión OLED UHD gigante. Precisan cierto montaje, pero son duraderos y ofrecen beneficios a largo plazo.

¿Eres director de productos o programas? Sigue el ejemplo de Benjamin Franklin: "una línea de código preventivo vale 100 líneas de código correctivo", una estimación conservadora pero un buen punto de partida. La seguridad y su ciclo de vida deben ser parte del diseño del producto o del producto mínimo viable (MVP). Esto puede sonar desalentador, pero es más fácil (y lo que es mejor, más barato) de lo que parece. ¿No te lo crees? John Overbaugh, de InfoSecure.io tiene algunas recomendaciones válidas para SDLC con un presupuesto ajustado. En cuanto al coste, ten en cuenta lo siguiente: una auditoría de seguridad no superada en la fase de verificación de la vida útil de un producto que conlleve cambios de última hora en el diseño y la ingeniería, resulta menos cara que tener que rediseñar y modificar su ingeniería después de haberlo enviado.

La seguridad y su ciclo de vida deben ser parte del diseño del producto o del producto mínimo viable (MVP)

¿Eres desarrollador o ingeniero de software? Un cifrado mal implantado es igual de nocivo que no tener ningún cifrado. Apúntate a los retos del cifrado de Cryptopals (Cryptopals Crypto Challenges). Utiliza estos ocho ejercicios para perfeccionar tu comprensión de la criptografía en el software, incluyedo cómo identificar, explotar y evitar los puntos débiles criptográficos. Haz un curso de prueba de penetración, porque es seguro que algún equipo de auditores atacará tu software, así que también podría ser tu caso. Al igual que los "Crypto Challenges", aprender las formas en que son atacadas las aplicaciones te enseñará a evitar los errores más comunes y te ayudará a escribir mejor el código.

Un cifrado mal implantado es igual de nocivo que no tener ningún cifrado

¿Eres arquitecto, ingeniero u operador de redes o seguridad? Ya va siendo hora de que empieces a pensar en la MANRS (Mutually Agreed Norms for Routing Security, Normas de Común Acuerdo para la Seguridad del Enrutamiento) Sí, todos intentan hacerlo lo mejor posible, pero las Normas de Común Acuerdo para la Seguridad del Enrutamiento de la Sociedad de Internet ofrecen un sencillo sistema para que la "I" del IoT se comporte lo mejor posible todo el año. Las recomendaciones de las MANRS destacan cuatro medidas que se espera lleven a cabo los participantes y cualquier responsable de red: evitar el tráfico con direcciones de IP falsificadas. Los ataques DDoS que observamos en 2016 podrían haberse mitigado fácilmente si el tráfico de las direcciones falsificadas se hubiera detenido más cerca del límite con Internet.

Si estás buscando un proyecto más importante, tu propósito de año nuevo debería ser tomarte en serio la segmentación de redes. Los dispositivos vulnerables del IoT proporcionan una superficie de ataque y punto de apoyo para atacar otras partes de la infraestructura. La segmentación de red no es un proyecto trivial, pero sí es la mejor herramienta para proteger la red de dispositivos IoT hackeables.

Los dispositivos vulnerables del IoT proporcionan una superficie de ataque y punto de apoyo para atacar otras partes de la infraestructura

A fin de cuentas, hay una predicción que presentar. Tal y como observa Scrooge, "la dirección inicial augurará ciertos fines a los que —si se persevera— deben conducir". Si no comenzamos a hacer las cosas de un modo diferente, el IoT se convertirá en las cadenas que enlazan a Marley con los demás fantasmas: "hechas eslabón por eslabón y metro a metro, ceñidas por nuestra propia voluntad y por nuestra propia voluntad llevadas".

Por supuesto, Scoorge continúa "si se modifica la dirección inicial, los fines cambiarán", permitiendo quizás que se hagan realidad los amplios medios de utilidad y todas las bondades a las que es susceptible el IoT.

"Asegúrenme que todavía podremos cambiar estas sombras que me ha mostrado".

Texto: Daniel Madero. Director Regional Iberia de MobileIron