En algún lugar de Vietnam, un hombre busca una caja de zapatos en un almacén, una mujer corta una rodaja de pan en Argentina, y un niño se sienta inquieto en el regazo de su madre en la sala de espera de lo que parece ser una farmacia en Francia. En Alemania, alguien ordeña una vaca.
A todos ellos, unas cámaras de seguridad en línea – que funcionan sin contraseña – los están filmando. Seguramente ellos no saben que los puede ver cualquier persona que busque cámaras inseguras en internet. Cuando configuramos una cámara podríamos elegir restringir el acceso a ella estableciendo una contraseña. Pero sin esa protección, estamos ahí, transmitiendo todo por la red. Ni siquiera necesitamos ser hackeados.
Ahora, consideremos que se espera que el número de dispositivos conectados a internet se duplique de 2015 a 2020. Serán 30 mil millones de dispositivos en todo el mundo. Con cada dispositivo que no tiene contraseña o que cuenta con una contraseña débil, internet se vuelve un poco más frágil y peligrosa. Pero nosotros compramos cosas, las conectamos a internet, y si funcionan nunca pensamos en protegerlas con una contraseña.
Máquinas de ejercicios, electrodomésticos, luces… Este año, por medio del teléfono, asistentes digitales y cámaras, seremos escuchados, observados, reconocidos y grabados como nunca antes.
Se recopilará información que es vulnerable a ataques y a filtraciones. Podríamos preocuparnos por degenerados que buscan personas desnudas que no sospechan su presencia, o por quienes pudiesen realizar fraudes financieros o publicidad invasiva o manipulación política. ¿Acaso los autos informan sobre nuestros hábitos de conducción a las compañías aseguradoras? ¿Las aspiradoras intercambian información sobre la distribución de nuestras casas? Para la mayoría de la gente, estos son riesgos hipotéticos, que casi nunca son más importantes que disfrutar de la Internet de las Cosas (IoT).
La realidad es que “el frente de ataque” de internet está creciendo y ya hemos experimentado algunas de las molestas consecuencias asociadas a este fenómeno.
En diciembre de 2017, tres jóvenes se declararon culpables en una corte federal estadounidense de haber creado una cepa de software malicioso llamado Mirai en 2016 que esclavizó a miles y miles de cámaras web, monitores de bebé y otros dispositivos que aún usaban los nombres de usuario y contraseñas definidos por defecto desde la fábrica. Con ellas llevaron a cabo “ataques DDoS” para cerrar sitios web y redes.
Cuando los autores difundieron públicamente el código para ocultar su propia identidad, los bots de Mirai se multiplicaron y empezaron a competir entre ellos (es algo que aún siguen haciendo) para controlar dispositivos en todo el mundo, y finalmente lograron cerrar temporalmente partes de internet en Estados Unidos y en Europa, a través de un ataque a gran escala a Dyn, una empresa de gestión de rendimiento de internet. En Europa, bancos y proveedores de servicios de internet fueron extorsionados. En Nueva Jersey, esto le ocurrió a una universidad.
Ofrecer “servicios de seguridad” (extorsión encubierta) era parte del retorcido plan original de los autores de Mirai, al igual que acumular dólares con un falso bot de tráfico de anuncios en línea. En esa época, algunos expertos en seguridad sospecharon que gobiernos como China y Rusia estarían probando la capacidad de resiliencia de internet. Los verdaderos villanos eran menos amenazantes, pero el riesgo de estas “cosas” inseguras sigue existiendo y su escala aumenta con cada nuevo dispositivo conectado.
Por todo el furor que existe en torno a los dispositivos y los electrodomésticos, muchas de las industrias más afectadas por IoT serán salud, transporte, energía y servicios públicos. Existen grandes oportunidades para mejorar la eficiencia y la calidad de los servicios públicos, salud e infraestructura.
El hardware de bajo costo y la innovación descentralizada también están dando acceso a internet a más personas, más que nunca antes. Si bien esto es algo que se debe celebrar, es lamentable que en la cultura de descarte de hoy los dispositivos de internet casi nunca están diseñados para permanecer seguros y protegidos en el tiempo.
Como todo el software es vulnerable a ataques o a fallar con los años, las actualizaciones automáticas de software son imprescindibles. Para las empresas pequeñas que venden dispositivos baratos de Internet de las Cosas que no cuentan con los recursos y conocimientos de empresas como Google, Apple o Amazon esto será difícil de hacer por su cuenta.
¿A quién responsabilizaremos cuando el paso del fabricante al consumidor es tan poco claro? ¿Podría haber regulaciones y códigos de conducta de la industria para asegurar el uso de contraseñas sólidas, aleatorias y únicas en dispositivos de internet? ¿Podría haber dispositivos de seguridad que formen un escudo en torno a la red personal de IoT de cada persona? ¿Podrán algún día existir sellos de confianza fiables para IoT – como las etiquetas que se usan en la comida orgánica o en los electrodomésticos que ahorran energía? ¿Qué rol tienen los diseñadores? Estas y muchas otras ideas se deben investigar, explorar y analizar más en 2018.
El problema clave es que la IoT está creciendo más rápido y más de lo que hubiéramos podido imaginar. Algunos de los riesgos planteados son personales (como el que seamos avergonzados o que terminemos heridos por un auto hackeado), mientras otros riesgos existen a un nivel ambiental o de sistema (que pueda afectar, por ejemplo, a hospitales o la red eléctrica). De cualquier manera, va a ser costoso arreglarlo cuando las cosas se pongan cuesta arriba.
Una de las grandes oportunidades para promover una mayor seguridad en la IoT está en nuestras casas – al ser consumidores más inteligentes y, especialmente como padres, promoviendo el que los niños estén protegidos frente a juguetes inseguros que puedan contener dispositivos ocultos tales como micrófonos, cámaras o grabadoras de datos personales. Por ejemplo, muñecas como ‘Hello Barbie’ [Hola Barbie] y ‘My Friend Cayla’ [Mi Amiga Cayla] que escuchan y hablan con los niños, han tenido titulares negativos por que pueden ser vulneradas fácilmente. Alemania es un país que ha prohibido a Cayla por ser un “dispositivo oculto de transmisión”. ¿Dónde más se podrían mejorar las regulaciones tradicionales de seguridad de los consumidores?
Debemos combatir el cómo hoy manejamos estos temas como sociedad, qué responsabilidad podemos dejarle a la industria, qué podemos dejar a elección de los consumidores y qué necesitamos regular.
Lectura adicional:
Predictions for Journalism 2018, News Games Rules, Mariano Blejman, 2017
How a Dorm Room Minecraft Scam Brought Down the Internet, WIRED, 2017
A Trustmark For IoT, Peter Bihr, ThingsCon, 2017 [Una marca de confianza para IoT]
Privacy Not Included, An IoT Buyer’s Guide, Mozilla, 2017 [Privacidad excluida: Guía para el comprador de IoT]