Una red zombi de routers domésticos destaca la importancia de reforzar la seguridad de los electrodomésticos inteligentes
En muchas de las historias de ciencia ficción hay electrodomésticos normales que de pronto se rebelan. En un episodio de Futurama, las tostadoras y los robots domésticos se alzan contra sus opresores humanos. Actualmente hay dos tendencias que están empezando a hacer que tales historias parezcan menos descabelladas.
Una de ellas es la ola de dispositivos del internet de las cosas que se están desarrollando para los hogares, expuestos en el International Consumer Electronics Show (CES) de Las Vegas (EEUU), celebrado la semana pasada. La otra es el aumento de la piratería de los dispositivos de redes domésticas, tal y como demuestra una horda zombi de routers para el hogar descubierta recientemente.
En el CES, decenas de empresas mostraron dispositivos y aparatos conectados a internet, desde bombillas inteligentes a lavadoras controladas por teléfonos inteligentes. Samsung incluso prometió que todos sus productos estarían conectados a internet para el año 2020 (ver CES 2015: Internet para tu silla de oficina y el tazón de tu gato).
Por otro lado, el investigador y escritor de seguridad Brian Krebs reveló la semana pasada que un grupo de hackers había construido una red llamada Lizard Stressor que otras personas pueden utilizar para hacer que los sitios web dejen de estar en línea, ya sea para crear un problema o con fines delictivos. No es nada novedoso que redes de ordenadores o servidores personales estén convirtiéndose en "redes de robots". Sin embargo, lo que Krebs ha descubierto es que Lizard Stressor utiliza los routers instalados en los hogares y las redes comerciales.
Los dispositivos infectados o comprometidos que estén conectados a una red doméstica podrían ser utilizados para fines más perversos. Podrían proporcionar un punto de partida para irrumpir en ordenadores personales, o ser utilizados para capturar los datos que pasen a través de la red doméstica, entre ellos las contraseñas o los datos de la tarjeta de crédito.
Lo que quizá no sorprenda es la facilidad con la que estos routers fueron interceptados. Es de sobra conocido que la mayoría de routers para el hogar se venden con un software fácil de manipular, o un panel de control administrativo que utiliza un nombre de usuario y contraseña por defecto como "admin".
Los dispositivos inteligentes suelen incluir funciones de red similares. Y a medida que más electrodomésticos se informatizan y se conectan a internet, los hackers podrían dirigir su atención a esos nuevos objetivos.
Hay varios factores que contribuyen a la inseguridad de los aparatos de redes para el hogar. Normalmente, los consumidores no compran equipos basándose en los requisitos de seguridad que utilizan los profesionales de TI, como por ejemplo una garantía de las actualizaciones del sistema operativo durante un periodo de tiempo determinado. En su lugar, los hábitos de compra se ven influenciados por los precios bajos, y las características se incorporan de forma desigual entre el hardware más barato, incluso de los principales proveedores.
También resulta difícil combinar el refuerzo de la seguridad con la comodidad para los usuarios. Configurar un nombre de cuenta y contraseña única para cada router sería algo relativamente trivial, lo mismo que requerir una etapa física durante la autenticación, como insertar un USB. Pero estas medidas de seguridad frustrarían a muchos usuarios. Y como resultado se producen más llamadas al teléfono de atención al cliente y devoluciones a la tienda.
Incluso cuando los dispositivos se diseñan forma segura, los puertos abiertos diseñados para permitir comunicaciones legítimas con otros equipos pueden permitir un acceso remoto no deseado, y el software puede estar anticuado. En septiembre, una firma dijo que 1,2 millones de routers con un protocolo común podían ser interceptados fácilmente. En diciembre, se descubrió que un error para el que se lanzó un parche en 2002 seguía existiendo en 12 millones de routers domésticos. Un método común para que los PSI accedan a los routers de los clientes también puede usarse como ruta para manipular millones de dispositivos.
Los aparatos, incluso los producidos por los principales fabricantes, tienden a no actualizarse por tres razones: los fabricantes dejan de ofrecer soporte para que no suban los costes, los fabricantes dejan el negocio, o los clientes no están bien capacitados para la operación técnica de actualizar el firmware, algo que puede incluir la descarga de un parche o subirlo a través de una interfaz de administración en un navegador web.
Hoy día hay desplegados cientos de millones de routers domésticos y de pequeñas empresas. Se calcula que el número de dispositivos del internet de las cosas está entre 4.000 y 5.000 millones hoy día, y se espera que suba a entre 25.000 y 50.000 millones en cinco años. Estos dispositivos podrían tener debilidades similares a las encontradas en los equipos de redes domésticas, especialmente a medida que las empresas se dan prisa en producir nuevos productos.
Algunos reguladores parecen ser conscientes de las dificultades, y están dispuestos a evitar el tipo de vulnerabilidades que han afectado a las generaciones anteriores de dispositivos integrados. La presidenta de la Comisión Federal de Comercio de Estados Unidos, Edith Ramírez, dio un discurso de apertura de ocho páginas en el CES y detalló la preocupación de su agencia acerca de la privacidad, la recopilación de datos y la seguridad, poniendo en sobre aviso a los fabricantes de dispositivos del internet de las cosas. Puede que esta vez hagan caso.