A fondo: Cuando el internet de las cosas se convierte en el internet de las amenazas
Cada vez hay más dispositivos conectados a internet en el mundo, lo que posibilita a los ciberdelincuentes nuevas puertas de entrada para las infecciones por malware, para el robo de información y para poner en riesgo la propia vida de las personas.
El internet de las cosas describe un futuro, que ya se empieza a vislumbrar, en el que dispositivos, procesos, datos y personas se interconectarán para facilitar experiencias de valor. Para enriquecer la existencia, empezando por los aspectos más cotidianos. Pero al internet de las cosas también se le conoce como el internet de las amenazas. Este año ha terminado con un gran bofetada para la industria tecnológica, que ha visto como la botnet Mirai tumbaba los servicios web de decenas de empresas de fama mundial como Twitter, Reddit, PayPal, GitHub, Pinterest o Spotify por un fallo en dispositivos IoT. Ésta no representa la primera vez que la sociedad se ha cuestionado los niveles de protección de los aparatos conectados, cada vez más presentes en nuestras vidas. Pero con Mirai se han vivido velocidades de vértigo. Durante el tercer trimestre hubo un par de ataques que alcanzaron los 555 Gbps y los 623 Gbps.
A día de hoy, por lo que demuestran los hechos, se puede afirmar que los ciberdelincuentes han tomado la delantera a los fabricantes y la industria de la seguridad. “Han tomado la delantera a las empresas y usuarios”, dice Eutimio Fernández, director de Seguridad en Cisco España, con quien ha hablado Silicon.es sobre la situación de IoT. “En los últimos años, los cibercriminales han mejorado su capacidad para aprovechar los agujeros de seguridad, burlar las defensas corporativas y ocultar su actividad”, explica Fernández. “Están diversificando sus tácticas y adaptando sus técnicas para llevar a cabo ciberataques más difíciles de detectar y analizar. Con la proliferación del IoT se complica aún más esta situación”.
Internet de las cosas estaría dificultando el panorama de la seguridad, por una parte, porque multiplica los frentes de ataque existentes. “Con miles de millones de nuevos dispositivos conectados”, como los “medidores inteligentes”, los “sistemas de climatización”, los “dispositivos de monitorización de salud” o los “sensores remotos para gas y petróleo”, entre otros, “la capacidad para obtener visibilidad es cada vez más difícil”, razona el director de Seguridad para Cisco en nuestro país. A esto hay que sumarle una mayor “diversidad de las amenazas”. Y es que “debido a la variedad de objetos que se pueden atacar, los ciberdelincuentes pueden diseñar nuevos métodos y amenazas que aún no conocemos”. Pero también tiene algo que ver la preparación de los envites. Éstos “son cada vez más sofisticados y se ocultan para evitar las soluciones de detección puntuales. Los sistemas de ciberseguridad que se apoyan únicamente en defensas y técnicas puntuales no pueden hacer frente a esta sofisticación”, concluye Eutimio Fernández.
Alfonso Ramírez, director general de Kaspersky Lab Iberia recuerda, en declaraciones para Silicon.es, que “ya hemos sido testigos de la susceptibilidad al hackeo de muchos dispositivos conectados a internet”. Se ha ido viendo con el paso del tiempo. “La gama de artículos comprometidos va desde monitores para vigilar bebés hasta aires acondicionados y automóviles”. En un estudio reciente, la empresa a la que representa Alfonso Ramírez, puso a prueba un dispositivo USB para trasmisión de material multimedia, una cámara IP y una cafetera controladas vía smartphone y hasta un sistema de seguridad para el hogar inteligente, que también se controlaba con el móvil. En todos ellos se encontró algún problema, de mayor o menor magnitud. Por ejemplo, estando en la misma red que la cámara era posible ver las imágenes. Y, sin estarlo, se podía descubrir credenciales para toda la red inalámbrica en el caso de la cafetera analizada. En otros, la clave radicaba en un sensor.
“Desafortunadamente, si algo está conectado, puede ser hackeado”, advierte Ramírez, que indica que “la seguridad en cualquier dispositivo debe de ser tenida en cuenta desde el inicio de su desarrollo y antes de su comercialización”. En este sentido, hay que tener en cuenta que “cualquier dispositivo conectado, controlado por una app, cuenta casi seguro con al menos un agujero de seguridad. Los ciberdelincuentes podrían explotar varias de estas vulnerabilidades a la vez”, así que “estas vulnerabilidades deben solucionarse antes de que el producto salga al mercado”, subrayan desde Kaspersky Lab. Es algo que no estaría ocurriendo con la solidez deseada.
¿Cómo atacan los cibercriminales?
Las tácticas que están empleado los cibercriminales para atacar IoT “son variadas, según hemos comprobado en Kaspersky Lab”, ahonda Alfonso Ramírez. Sus expertos se las han visto con “una cámara que monitoriza al bebé y que permitía que un hacker se conectase, ver vídeos y lanzar audios”. Mientras, “otras cámaras del mismo fabricante permitían a los hackers obtener contraseñas del usuario”, cuenta Ramírez en base a las investigaciones llevadas a cabo por Kaspersky. El experimento de sus expertos demuestra que es “posible” que un criminal robe la contraseña de un dispositivo de este tipo y acabe modificando “maliciosamente el firmware desde esa misma red”.
“El mayor ataque al IoT del que tengamos constancia”, añade el directivo Eutimio Fernández en referencia a Mirai, se produjo “mediante ataques de denegación de servicio”. Fernández describe que “un millón de cámaras de videovigilancia y otros dispositivos conectados como routers e impresoras se ‘secuestraron’ mediante un software malicioso y se utilizaron a modo de botnet” o de redes zombis “para enviar datos y solicitudes de página web a los servidores de forma masiva y coordinada hasta que éstos se colapsaron y dejaron de dar servicio. Este ciberataque es nuevo”, destaca el responsable del área de seguridad en Cisco España, “aunque la técnica de botnets es antigua”.
“A medida que se conectan más y más dispositivos”, lo que parece claro es que será “más probable que se utilicen ésta y otras tácticas”, pronostica Eutimio Fernández. Además, se usarán “cada vez con mayor potencia, como se demostró con las tasas de transferencia de datos registradas” con la infame botnet Mirai. “El gran desafío”, más allá de la existencia de puntos débiles y de las diferentes técnicas desplegadas por los ciberdelincuentes para colarse en los dispositivos conectados del internet de las cosas, reside en el hecho de que “esos ataques pueden afectar a servicios básicos como el suministro de electricidad, gas o agua”, desatando el caos, como bien advierte el portavoz de Cisco. La propia “Cisco y Arbor Networks prevén que los ataques DDoS aumentarán desde los 6,6 millones en 2015 hasta los 17 millones en 2020”. Esto es, experimentarán un “21 % de incremento interanual”.
Hospitales y centrales nucleares, entre los objetivos
Los efectos de un ataque contra IoT “pueden ser terribles. Y, sin querer ser tremendistas, es solo cuestión de tiempo, de cuándo”, determina el director general de Kaspersky Lab Iberia, Alfonso Ramírez. Para Eutimio Fernández, director de Seguridad en Cisco España, las consecuencias “pueden ser tanto mínimas como catastróficas. Por ejemplo, uno de los peores escenarios es el sabotaje de redes industriales de centrales nucleares, eléctricas o de suministros básicos”, conocidos como utilities, “como agua y gas, como sucedió en diciembre de 2015 con una central eléctrica en Ucrania que dejó sin suministro a 230.000 personas en pleno invierno. En este caso, fue un ataque sofisticado y planeado durante meses que, a pesar del firewall, permitió a los ciberdelincuentes tomar control del grid y apagar el suministro, aprovechando tanto vulnerabilidades de los dispositivos como de las personas. Entre las técnicas empleadas se utilizó la ingeniería social, enviando a los trabajadores e-mails con phishing para obtener sus credenciales de acceso utilizando macros de Microsoft Word. Y aunque el suministro se restableció en unas horas, la planta no recuperó el pleno control hasta muchas semanas después”.
Ramírez comenta que “conseguir acceso no autorizado a dispositivos médicos, por ejemplo, podría tener efectos muy graves: no sólo pone los datos personales al alcance de los ciberdelincuentes, sino que también podría afectar de forma directa la salud y hasta las vidas de los pacientes. A veces asusta lo fácil que es irrumpir en los sistemas de un hospital, robar la información personal de un dispositivo médico o acceder a él para entrar en el sistema de archivos” o en la “interfaz del usuario”. Tanto es así que, “en un ataque dirigido, los cibercriminales podrían tener acceso total a la infraestructura médica de un centro de salud y manipular los resultados de los sistemas de diagnosis o tratamiento”, apunta el representante de Kaspersky Lab. “En muchos casos, los doctores dependen mucho de estos sistemas, por lo que su manipulación podría derivar en tratamientos erróneos en un paciente”.
Y el peligro no se queda ahí. Alfonso Ramírez también manifiesta que un ataque contra el sistema hospitalario “podría derivar en el uso criminal de los datos personales del paciente”, lo que es la “reventa de información a terceros o exigir a la clínica el pago de un rescate para recuperar la información sensible robada”. Además, en manos de los ciberdelincuentes estaría poder llevar a cabo “la falsificación de los resultados del paciente o sus diagnósticos”. Se podría “causar tanto daño físico a los pacientes y enormes pérdidas financieras a una clínica”, como un “impacto negativo en la reputación” de la misma.
“Los cajeros automáticos también son target”, continúa Alfonso Ramírez. “Según las organizaciones financieras, las amenazas más frecuentes dirigidas a sus flotas de cajeros automáticos son de naturaleza física, incluyendo el skimming y el robo de cajeros automáticos. Sin embargo, las ciberamenazas o ataques a nivel de software se están multiplicando: los bancos están reportando un número creciente de incidentes relacionados con malware dirigido a cajeros automáticos”, expone Ramírez. “El malware dedicado a este tipo de dispositivos surge a partir de 2009 y va en aumento. El ejemplo más reciente reemplazaba el hardware de skimmers para clonar tarjetas y permitía a los ciberatacantes forzar el cajero automático infectado para dispensar dinero en efectivo”.
“Una de las campañas más dañinas de 2014-2015, conocida como Carbanak, también incluía funcionalidades para dispensar efectivo”, rememora el ejecutivo de Kaspersky Lab, firma que ha detectado “un rápido desarrollo de estos atracos a bancos con alta tecnología”. Eutimio Fernández concreta que “los objetivos más jugosos son siempre los que implican el lucro”, ya sea “robando datos como números de tarjetas, contraseñas de banca online o propiedad intelectual”, “o los que pretenden desacreditar a las organizaciones por intereses políticos o ciberterroristas. Y actualmente la actividad más rentable para los ciberdelincuentes es el ransomware”, que consiste en “el secuestro de los datos a cambio de un rescate”. De acuerdo con Cisco, “una sola campaña de ransomware podría generar entre 60 y 100 millones de dólares al año”. Y los datos del FBI estiman que aportan “un beneficio de 1.000 millones de dólares anuales a escala global” para los ciberdelincuentes, señala Fernández.
El director de Seguridad en Cisco España desvela que “el correo electrónico y el malvertising son los principales vectores para campañas de ransomware. Sin embargo, algunos ciberdelincuentes ahora explotan vulnerabilidades de la red y de los servidores para afectar a sectores enteros”. Y esto es “una tendencia que esperamos que continúe incluso con ransomware modular”, aquél “que cambia sus tácticas” y que es “aún más destructivo” al “extenderse por sí mismo de forma ‘lateral’ y secuestrar redes enteras, y por tanto organizaciones”. Esta clase de malware está llamado a jugar malas pasadas en fechas futuras.
Hasta aquí la primera parte de nuestro reportaje sobre el internet de las cosas (y de las amenazas) que ampliamos en otro artículo a través de un repaso de soluciones a implementar con el objetivo de mantener a raya a los ciberdelincuentes.