El primer paso para Skynet es IoT

      No Comments on El primer paso para Skynet es IoT

OK, lo acepto. He creado un título bien sensacionalista para captar la atención de los lectores, sobre todo aquellos que tienen en sus corazones y mentes un lugar especial para aquellos clásicos de todos los tiempos como lo es Terminator. La razón de ello es precisamente poner el acento en el lado menos promocionado y más sombrío de las tecnologías, y con el advenimiento de el Internet de las Cosas (IoT o Internet of Things) es que estamos dando pie a que desastres cada vez mayores nos afecten a cada vez más personas.

Acá mi segundo mea culpa. ¿Estoy siendo demasiado pesimista? Tal vez. El hecho es que en los últimos meses toda la atención se ha centrado en la proliferación de tecnologías de tipo IoT y cómo los humanos aceptamos sin mayor contrariedad que tengamos parte importante de nuestras vidas controladas por dispositivos cada vez más intrusivos y a la vez nocivos, aunque presenten aspecto inofensivo.

Desde hace algún tiempo me he dedicado, entre varias cosas más, a recorrer diferentes ciudades y países realizando una presentación que llamo “el lado oscuro de IoT o el Internet de las Cosas Malas”. Este concepto, IoBT o Internet of Bad Things hace referencia a todo lo peligroso que pueden ser los dispositivos IoT si no se controlan adecuadamente. Solo como ejemplo puedo mencionar que prácticamente la totalidad de los sistemas de CCTV que se venden en el mercado actual son vulnerables a algún tipo de exploit o ataque que permitiría a un hacker tomar control de estos aparatos, la mayoría de los cuales proviene de China o peor aún, permiten que las mismas compañías chinas nos espíen. Y que me perdonen mis amigos chinos pero ese país no se caracteriza principalmente por ser muy rigurosos en cuanto a control de calidad se refiere y es bien conocido que muchos dispositivos chinos esconden peligrosos backdoors y malware en sus códigos (Lo barato cuesta caro a veces).

Y es que IoT está en todos lados. Cada vez son más los proyectos de domótica, implementación de drones, UAVs, redes de sensores inalámbricos (WSN) o automatización de ciudades y rubros productivos como sectores agrícolas e industriales. La idea de interconectar todos estos dispositivos que a muchos les fascina, a mi personalmente me aterra. Tanto así, que el concepto de Smart Cities ha mutado incluso al de Stupid Cities. Un ejemplo puntual que siempre doy es el de los automóviles. Atrás quedo el tiempo donde los automóviles eran máquinas completamente mecánicas. Hoy la gran mayoría de vehículos tiene un computador interno que incluso es accesible vía Bluetooth (todos sabemos las limitaciones de seguridad de este protocolo) y para hacerlo más trágico, las compañías han comenzado a conectar los vehículos “a la nube”, es decir, Internet.

El abrir la puerta a Internet a estos aparatos no ha hecho más que atraer a hordas de atacantes y hackers que buscan tomar control ilegítimamente. Es tanto el riesgo de sufrir un ataque de hackers en automóviles modernos que empresas como Volkswagen o Jeep están contratando servicios de expertos en ciberdefensa con el fin de optimizar la instalación de firewalls de red en sus vehículos para eliminar o mitigar los ataques remotos. Así es. Ya nuestros automóviles vienen con cortafuegos del corte de un típico ASA o Fortinet dentro con servicios de prevención de intrusos (IPS) para prevenir que un extraño tome control del automóvil mientras conducimos por la carretera, gire el volante y termine matándonos a todos. ¿Exagerado? Para nada. Las compañías ya han asumido este riesgo y están trabajando para mitigarlo.

Hay tantos otros ejemplos de como IoT es en general una mala idea. Es abrir la caja de Pandora si lo quieren así, ya que la seguridad no es (ni ha sido desde su concepción) un elemento crítico en el diseño de las soluciones IoT. Una prueba de ello es el masivo ataque que recibió Internet hace un par de meses donde utilizando millones de dispositivos IoT se lanzaron ataques DDoS contra sitios tan populares como Spotify o Twitter en un intento por matar Internet.

Las redes WSN son tremendamente fáciles de vulnerar porque los sensores carecen de tecnologías que hoy se consideran como fundamentales para cualquier red, como es IPsec o SSL. Los protocolos de transmisión en WSN son extremadamente sensibles a cualquier ataque e incluso el factor de codificación en las plataformas como Arduino o Raspberry llega a ser un riesgo. Arduino es tan fácil que no se necesita ser experto programador para poner a funcionar cualquier cosa, pero ¿quien valida que ese código sea seguro? ¿La verdad? Nadie. Tal vez la única mención honrosa la merezca la IoT Security Foundation.

Pueden llamarme pesimista si quieren, pero yo me tomo muy en serio el hecho de que interconectar todo es cuando menos una pésima idea.  Me quedo con mi versión de la realidad paralela donde el comienzo de Skynet en la película Terminator se originó porque comenzamos con una inofensiva idea de interconectar hasta nuestras tazas de café y le pusimos el lindo nombre de Internet de las Cosas.