Alerta por la inseguridad de los dispositivos conectados a internet

Estado de pánico». Esta es la definición de los expertos informáticos sobre el estado actual de la seguridad en los dispositivos conectados a internet. Y es que los impulsores del llamado internet de las cosas (IOT) se han echado a temblar con el ataque informático que tumbó varias webs el pasado 21 de octubre y para el que se usaron dispositivos que no eran ordenadores, como era habitual hasta ahora. Para muchas personas supuso también descubrir que el televisor, el router, la cámara de seguridad, el vigilabebés o cualquier electrodoméstico con conexión a internet puede convertirse en un arma en manos de delincuentes. Pero la industria, que ya había recibido avisos sobre la falta de seguridad, tuvo ese viernes una confirmación flagrante. Y la IOT pasó de ser la «gran esperanza» a vivir su mes «horribilis».

«Hay listas con más de 300.000 dispositivos de los que se conocen las contraseñas y que nadie puede cambiarlas, por lo que son potencialmente vulnerables. Si de 6.000 millones de dispositivos que existen en el mundo conectados a internet solo el 5% no estuvieran bien configurados o fueran atacables, ya sería un desastre», resume Manel Medina, presidente del comité científico del Antiphishing Working Group, fundador de ES-CERT y coautor del libro Cibercrimen.

AVISOS DE GURÚS / Un gurú como Phil Zimmermann, inventor del PGP, el protocolo de criptografía más utilizado en internet, no dudaba en calificar días antes del fatídico 21 de octubre la seguridad del IOT de «completo desastre» en una conferencia ante los expertos de la agencia de la Unión Europea para la ciberseguridad en León y pidió que al menos se revise el sistema de cifrados. Y el consorcio Securing Smart City, en el que participan compañías de seguridad y antivirus y que lleva años denunciando fallos, volvía a lanzar este septiembre una alerta sobre vulnerabilidades detectadas en sistemas de control del tráfico en las carreteras, en aeropuertos o en la venta de entradas o billetes de transporte.

Tras el ataque, ISACA, entidad internacional que audita la calidad del software, ha reclamado que se tengan en cuenta los estándares de seguridad a la hora de permitir comercializar cualquier dispositivo conectado. «Es contradictorio observar cómo los equipos industriales, en general, son diseñados, fabricados e instalados observando altísimas medidas de seguridad (resistencia a presiones, temperaturas, funcionamiento en modo de fallo, apagado seguro…), pero el software de estos mismos equipos no pasa por un proceso equivalente de securización», dice en su blog el capítulo español de ISACA.

Fallos en dispositivos conectados como un coche autónomo, controles domóticos o de vigilancia, un dispositivo médico, una central de energía, o incluso las infraestructuras urbanas conectadas (semáforos, cambios de agujas ferroviarias), podrían implicar riesgos para la vida de las personas, insisten.

Pero los expertos en ciberseguridad se encuentran con que los fabricantes crearon máquinas con poca memoria y prestaciones muy limitadas que en principio solo debían ser usadas para sus funciones originales y que tienen muy poco margen para la mejora. «Se descubrió un ataque a unas placas fotovoltaicas porque se bloqueaban al conectarse a internet, y es que alguien las estaba utilizando para otros fines», recuerda Medina. Para el día 21, se usaron muchas cámaras de videovigilancia y grabadores de televisión de un fabricante chino, Hangzhou Xiongmai Technology. «El papel de la seguridad en el internet de las cosas es ninguno. Los fabricantes han tenido como criterio reducir costes más que primar la calidad del software, en parte por las prisas de sacar las cosas pronto al mercado», sostiene Miguel García-Menéndez, del Centro de la Ciberseguridad Industrial. «El ataque del viernes, sin embargo, no va a servir de acicate para que los fabricantes de dispositivos se pongan las pilas. En los foros parece que siempre seamos los mismos autoconvenciéndonos y, además, en la industria, la digitalización de las máquinas va lenta. Hay fallos por obsolescencia», afirma.