El pasado 23 de septiembre, la página de Brian Krebs, periodista e investigador especializado en seguridad, fue víctima de un ataque distribuido de denegación de servicio (DDoS).
Hasta aquí, todo – relativamente – normal: estos ataques son tristemente habituales en la web tanto con propósitos lícitos como la protesta organizada (el equivalente a una manifestación en la calle), como ilícitos (silenciar una opinión, hacer chantaje, etc.), hasta el punto de que existen servicios de «alquiler» de botnets para llevarlos a cabo. El que Krebs cubra en ocasiones las prácticas habituales de los ciberdelincuentes, lo que reduce su aplicabilidad y les fuerza a buscar nuevas metodologías, lo convierte en una víctima habitual.
En este caso, no obstante, existe una peculiaridad interesante: el ataque fue de una magnitud insospechadamente elevada, más del doble de los que se habían visto hasta el momento, y una gran cantidad de los dispositivos que lanzaban peticiones a la página no eran ordenadores, sino algo diferente: cámaras de vigilancia, grabadores digitales de vídeo, routers domésticos y otros objetos conectados a eso que se ha dado en llamar la internet de las cosas (IoT). Un software en concreto, conocido como Mirai, recopiló 68 pares de usuario y contraseña genéricos utilizados en dispositivos de este tipo que aparecían fácilmente disponibles y que no obligaban al usuario a hacer ningún tipo de cambio, lo que los convertía en muy fácilmente vulnerables. Es la llamada Internet de las Cosas Inseguras, de la que llevamos hablando ya algún tiempo.
No es la primera vez que asisto a un ataque de este tipo originado por delincuentes que quieren evitar que un procedimiento o método para cometer delitos sea revelado: en un primer momento, es habitual que todos los implicados traten de hacer un «sálvese quien pueda»: Akamai, que ofrecía a Krebs su hosting gratuitamente, tuvo primero la intención de dar de baja el sitio ante los problemas – y el dinero – que les estaba causando, hasta que se dieron cuenta de que ese movimiento no iba a ser demasiado inteligente de cara a su imagen, y tuvo que terminar siendo Google con su Project Shield quien ayudase a mitigar el efecto del ataque. En el post-mortem del ataque se ve como, efectivamente, los protagonistas del mismo fueron mayoritariamente dispositivos conectados en la zona EMEA, y cómo el ataque, visto así, fue relativamente sencillo de organizar, mucho más que lo que es, en nuestros días, tomar control de ordenadores convencionales. Que fuese tan sencillo, de hecho, escala notablemente el problema: como dice el gran Bruce Schneier, resulta fundamental salvar internet de la internet de las cosas, porque silenciar a alguien nunca fue tan sencillo y tan barato como ahora. Vivir en un mundo donde cualquiera puede dedicarse a amenazar, chantajear o callar a quien quiera no es bueno para nadie.
Resulta difícil ser consciente en temas relacionados con la seguridad: tendemos a asociar los riesgos con nosotros mismos, a minimizar su probabilidad, y a pensar que con hacer una buena instalación ya hemos hecho nuestra parte, cuando la realidad es que en muchos casos, esos dispositivos pueden dejar mucho que desear en cuanto a sus estándares y, en ocasiones, cometen barbaridades tales como dejar contraseñas por defecto en lugares fácilmente visibles. La brutal heterogeneidad de fabricantes, protocolos y compañías que hay en este momento detrás del ecosistema IoT parece que va a llevar a que se intente regular desde los organismos públicos, lo cual no siempre estoy seguro de que sea una buena idea y probablemente se convierta en una parte más del problema. Poner un ordenador en cada cerradura, termostato, bombilla, automóvil y todo lo que se nos ocurra puede aportar muchísimo valor, comodidad y conveniencia, pero no debemos olvidarnos de que es precisamente eso, un ordenador conectado, con capacidad no solo para provocarnos problemas a nosotros como usuarios, sino también a muchos otros.
Krebs, como víctima, habrá pasado unos cuántos días muy malos – no es agradable ver cómo el trabajo de una vida profesional, tu página web, es víctima de los ataques de aquellos contra los que intentas luchar y denunciar – pero después de todo, es un periodista especializado en el tema, lo cual le facilitó no solo obtener la visibilidad adecuada, sino también la comprensión de la escala del tema y el apoyo de los socios necesarios para poder resistir. Pero sin duda, no va a ser el único ataque con estas características. No, la seguridad no es una tarea fácil. Pero cada día más, es una tarea de todos.
This article is also available in English in my Medium page, “The internet of insecure things«
No, la seguridad no es una tarea fácil. Pero cada día más, es una tarea de todos.»
En mi casa: tres ordenadores, más el de la oficina, dos tabletas, dos móviles, un lector de libros electrónicos, tres TV con conexión a internet, dos reproductores bluray, un home cinema, una consola de videojuegos, un Apple TV y un router+ONT. Eso solo para mí y mi mujer, y seguro que se me olvida algo. Si sigo con padres, cuñados, sobrinos y suegras, el tema se multiplica. Si entramos en el software y la autenticación de dos pasos, con sus códigos de backup, etc. el tema ya es abrumador. Soy muy consciente de la seguridad y la necesidad de actualizar el firmware / software para cerrar agujeros, pero, sencillamente, la carga que se pone sobre el usuario es demencial para el usuario medio.
Microsoft, consciente de eso, ha optado por la vía de actualizar Windows 10 por defecto, dejando al usuario elegir la hora de reinicio y poco más. Y la consecuencia es un hartazgo de actualizaciones y reinicios cada pocos días.
Desde hace muchos años mi lema con respecto a las actualizaciones es: «Si funciona no lo actualices!!»
Pues mal hecho… mi experiencia es que hoy prácticamente todos los sistemas son como productos frescos, se pudren en seguida y les entran bichos por todas partes…
Mi política es actualizar, siempre, cuanto antes. Puede que actualices y se rompa algo (que con seguridad será reportado por otros muchos con prontitud y arreglado), pero lo que es seguro es que la actualización arregla algo que ya se sabe con certeza que está «roto».
Lo cual me recuerda el tema de las copias de seguridad. El usuario medio no se acuerda de ellas…hasta que es demasiado tarde (y la dolorosa experiencia ya no se le olvida nunca más…).
Mi queja está en el número de actualizaciones, especialmente entre los grandes fabricantes (Microsoft, Apple,…). «Miedo» me da cuando los fabricantes de electrónica (TVs, reproductores, etc.) se tomen la seguridad tan en serio.
Como profesional, he pedido y donde he podido he implantado, las máximas medidas de seguridad, copias de respaldo, dentro y fuera del domicilio, antivirus actualizado, etc. etc.
Como particular, no hago nada de eso, ¿Por qué?. — Porque es muy molesto y porque si todo lo que tengo en mi ordenador y lo que tengo por la «nube» se me pierde, me inporta un bledo.
Si no es así y tienes cosas que deseas conservar, el no tener copias de seguridad a buen recaudo y no actualizarlas periódicamente de forma automática, es estar abocado irremisiblemente, a perder lo que tengas.
La responsabilidad del líder es tener claro unas políticas y cumplirlas a rajatabla. Marcar el camino para que los que vienen detrás puedan copiar esas políticas y mejorarlas.
Microsoft es claramente un líder y diseñó unas políticas referentes a la seguridad de sus productos y los trata de cumplir. Todos les criticamos y denostamos sus productos, de lo inseguros que son etc, etc., pero por lo menos debemos de agradecerles que tratan de seguir de manera rigurosa unas políticas de actualización, que no hay en otras plataformas.
Esto con nuestros máquinas de IoT no pasa, salvo en el mundo de las distribuciones GNU/Linux, no hay políticas serias de actualización de productos por parte del fabricante.
Por ejemplo RedHat tiene sus políticas, Debian las suyas, Ubuntu las suyas. Puedes estar más o menos de acuerdo y podrías pensar en mejorarlas.
Pero,cuando nos salimos del «PC» y adquiero el cacharrito (léase una tablet, móvil, camara etc), el fabricante no tiene la menor sensibilidad en actualizar ni el hardware, ni el software.
Compras la tablet con la versión 4.0 de Android a la empresa de que toque y ahí se muere para el usuario. Imposible de actualizar sin perder garantía o sin romperla definitivamente.
En el mundo ARM (esa arquitectura) no hay un líder que imponga como hay en otras arquitecturas (como x86). Quizás sea porque en realidad no es tan abierta y esto esté produciendo este efecto devastador, que pone en este artículo..
Para mi esto es una consecuencia de la falta de libertad de la arquitectura/infraestructura y/o compatibilidad que estamos usando para este internet de las cosas.
La seguridad es y será el atributo más importante en el uso de la tecnología informática (móviles, tablets, portátiles, …) en el futuro. Con IoT, este atributo se extiende semáforos, coches, electrodomésticos, etc. Habrá una industria de seguridad ‘tecnológica’ de un tamaño impensable hoy en día. La actividad delictiva más relevante a nivel mundial será la ciber-delincuencia. En mi opinión, hay países que quieren basar su preeminencia en su capacidad delictiva en la tecnología y habrá mafias organizadas más importantes que las de las drogas. El desarrollo de IoT se verá seriamente amenazado por los ciber-delincuentes.
«La seguridad es un estado mental».