26.000 millones de ventanas abiertas al cibercrimen

La nevera. El coche. La ropa. Los juguetes… Enumerar la lista de objetos que nos rodea e imaginarlos conectados entre sí y a la Red es el sueño del Internet de las cosas (IOT). Las posibilidades, infinitas, desde lograr el sueño del coche autotripulado que encuentra aparcamiento por sí solo hasta el juguete parlanchín que ayuda en su aprendizaje al niño mediante análisis lingüístico. Son dos ejemplos de los 26.000 millones de objetos conectados que la consultora Gartner predice para 2020. Pero estos miles de millones de objetos son también miles de millones de ventanas para el cibercrimen. Y los expertos apuntan a una conclusión: el IOT no está preparado para tapiarlas.

“No lo estamos del todo porque la conectividad llega cada vez a más dispositivos. Las personas que diseñan los sistemas operativos y el software en Apple, Google o Microsoft siempre tienen en cuenta la seguridad. No pasa lo mismo con otros aparatos online como bombas de insulina, electrodomésticos, coches, aviones comerciales… Todos ellos son vulnerables ante cualquier tipo de ciberataque”, explica Alfonso Ramírez, director general de la compañía antivirus Kaspersky Lab Iberia.

Informes sobre el IOT apuntan a esta misma tendencia. El pasado verano, HP analizó los 10 objetos con funciones online más usados para llegar a una inquietante conclusión. El 70% de estos dispositivos fueron vulnerables a los ataques. Y la mayoría no usaba ningún tipo de sistema de encriptación para proteger los datos de los usuarios. “Con tantos dispositivos transmitiendo esta información desde la red de los hogares, los usuarios están a solo un error de configuración de la red de exponer sus datos al mundo a través de las redes inalámbricas”, indica Craig Smith, líder de dicho informe de HP en el análisis.

De hecho, a los expertos no les cuesta imaginar nuevos panoramas para el cibercrimen, como apunta Vicente Díaz, analista de la marca Karspersky: “No se ha dado el caso aún, pero se puede fabular con un ejemplo especial de ramsonware (el secuestro exprés de datos) con un coche inteligente. Te bloquean el mecanismo de apertura y te piden un rescate para recuperarlo”. Otros riesgos potenciales estarían en la recopilación de datos sobre rutinas diarias a través del móvil o de cualquier otro dispositivo.

Hasta se da el caso de dispositivos que ofrecerían al cibercriminal la opción de tener orejas dentro del hogar de la víctima. El pasado mes de febrero, estalló la polémica por una aplicación de Samsung de comandos por voz que grababa las conversaciones de los usuarios y las enviaba a terceros. La compañía aseguró a medios como The Guardian que toda esta información se enviaba encriptada y en ningún caso era vendida a otras empresas.

Pero la preocupación por el riesgo a que un pirata pudiera vulnerar ese protocolo o al mero hecho de que el usuario se despiste de que tiene activada esa función y grabe una conversación íntima avivó la polémica. Ni siquiera la industria del juguete se libra. Apenas un mes después de los titulares sobre la función espía del televisor Samsung, una nueva muñeca de Mattel, Hello Barbie copó las cabeceras mundiales por usar la misma función de grabado de voz. La ONG norteamericana Campaña por una Infancia Libre de Publicidad inició una recogida de firmas para pedir a Mattel que cese la producción. Casi siete mil personas la han apoyado hasta la fecha.

¿Soluciones? Para empezar, un cambio de mentalidad en el orden de prioridades en las empresas. “Esta industria está comenzando y tiene muchos retos. Y lamentablemente la seguridad no es lo primero que se mira. Las vulnerabilidades de los dispositivos pueden aún ser desconocidas para los agresores y para los defensores y hacen del IOT un terreno abonado a la ciberdelincuencia”, explica Luis Corrons, director técnico de Panda Labs.

Las campañas de concienciación están en marcha. El 16 de septiembre de 2014, las agencias de protección de datos europeas acuñaron un dictamen de 24 páginas exclusivamente dedicado al IOT. Las conclusiones: que las empresas se tomen muy en serio toda la reglamentación relativa a seguridad online, que informen a sus usuarios de qué datos han capturado y que borren la información en bruto que almacenen y se queden solo con aquella específica del servicio que ofrecen.

Proyectos sin ánimo de lucro como OWASP –apoyado por empresas como HP, Nokia o Adobe– dedican sus esfuerzos a que quede claro que tapiar las ventanas del IOT solo será posible con un esfuerzo conjunto de usuarios, gobiernos y empresas.