​Sí al IIoT, pero ¿y la seguridad?

Seguro que recuerdan cómo el pasado 21 de octubre un montón de grandes webs (Amazon, Netfliks, Twitter, Spotify, etc.) quedaron mudas debido a un importante ataque en Internet. Lo interesante del caso es que estas webs no eran el objetivo directo del ataque. No fueron más que víctimas colaterales de un ataque contra una empresa cuyos servicios constituyen una infraestructura crítica de Internet.

De todas formas, lo que hace más noticiable este ataque es que no se trató, como en otras ocasiones, de un ataque muy sofisticado y cuidadosamente preparado por un grupo de expertos, sino un peculiar ataque de denegación de servicio distribuido basado principalmente en una red de bots llamada Mirai.

¿Bots?, no me pregunten el origen de esta palabra que dicen procede de la palabra robot y que vendría a ser un sistema experto que imita el comportamiento de un humano en una determinada acción.

Hay que decir que las redes de bots no son ya nada nuevo; se trata de redes de máquinas que toman el control de un malware y que se puede utilizar en cualquier momento para llevar a cabo un ataque coordinado. Tradicionalmente, dichas máquinas eran ordenadores sin una seguridad actualizada.

La peculiaridad de la red Mirai es que ataca a los objetos conectados y una vez un dispositivo infectado, el malware es básico, rápido y eficiente. A diferencia de los ordenadores, una red de objetos conectados no tiene ningún uso real que no sea la denegación de servicio.

Ahora que andamos todos muy entusiasmados con las posibilidades que ofrece el Internet de las Cosas y su gran potencial de crecimiento, esta noticia me resultó inquietante, por lo que busqué información acerca de otros posibles casos.

La tarea no fue difícil. Encontré una variada información. Sin embargo, como todo lo que sale en Internet conviene analizarlo con ojo crítico, encontré solo dos casos de los que pude comprobar su veracidad.

El pasado mes de agosto, dos investigadores de seguridad informática, Andrew Tierney y Ken Munro, presentaron el desarrollo de una primera ransomware dirigida a termostatos conectados. Los investigadores, que trabajan para la empresa de seguridad cibernética británica Pen Test Partners, han desarrollado esta prueba con propósitos educativos. Su objetivo no era otro que demostrar en la práctica lo que ya intuimos en la teoría de que la popularidad del IIoT ha creado y sigue creando riesgos significativos para la seguridad.

La experiencia fue simple: los investigadores explotaron un error de un termostato "inteligente" que corría sobre el sistema Linux -no han dado información del nombre del fabricante para evitar ataques menos inocentes- lo que permitió obtener el control remoto a través de Internet, y más específicamente paralizar el acceso. Si el error no se resolvía, el termostato podría, por ejemplo, regular la temperatura a un mínimo en invierno y un máximo en verano.

Obviamente, en este caso, al alertar al fabricante, la vulnerabilidad fue resuelta rápidamente; sin embargo, el experimento cumplió su función, que no era otra que la enésima llamada de atención a que en su estado actual, el Internet Industrial de las Cosas representa un conjunto de riesgos muy importantes sea en el caso de casas inteligentes, coches conectados o en cualquier aplicación industrial.

Y hablando de casas conectadas, otra experiencia, que en este caso ha sido llevada a cabo por investigadores de la Universidad de Michigan, se ha basado en el descubrimiento de varias vulnerabilidades importantes en SmartThings, el sistema de casa inteligente de Samsung, y han demostrado cómo estos defectos permiten que pueda producirse un ataque, por ejemplo, para cambiar a distancia el código de desbloqueo de una puerta, con los riesgos de seguridad que ello implica.

No puede negarse que el descubrimiento resulta preocupante, ya que SmartThings es una de las principales plataformas de automatización para el hogar (luces, termostatos, electrodomésticos, cerraduras ...).

Como he dicho, hay otros ejemplos que pueden encontrarse en Internet, y si es cierto que, tal como ha publicado la consultora de seguridad Flashpoint, son más de 515.000 los objetos vulnerables que se han detectado hasta ahora, el peligro no es baladí. Las soluciones de seguridad disponibles actualmente no siempre pueden resultar eficaces en el caso de IIoT. Las empresas de seguridad tienen trabajo por delante.