IoT: «El Internet de la diversión y los juegos ha terminado»

Hoy les comparto algunas reflexiones sobre el Internet de las Cosas, o IoT (Internet of the things) y fragmentos de la charla que dio Bruce Schneier, pionero de Internet y experto en criptografía y cyberseguridad, frente al Comité de Energía y Comercio en el Congreso de Estados Unidos.

La reunión estuvo enfocada en las vulnerabilidades de seguridad creadas por los dispositivos inteligentes y el Internet de las cosas (IoT), a raíz de los ciberataques en Dyn ocurridos el pasado 21 de octubre, que dejó fuera de servicio a varios sitios webs icónicos, como Amazon, Spotify, Netflix, y varios otros menores.

Schneier resumió su ponencia con la frase «La era de Internet de la diversión y los juegos ha terminado«, y plasmó varios factores que hacen que el Internet de las cosas abra huecos de seguridad importantes en la Internet actual.

Enmarcó al «Internet de las cosas (IoT)», que luego llamó el «mundo de las cosas peligrosas«, en el siguiente fragmento:

«Como señaló el presidente, ahora hay ordenadores en todo. Pero quiero sugerir otra manera de pensar en ello, pensar que todo es ahora una computadora: Esto no es un teléfono. Es una computadora que hace llamadas telefónicas. Un refrigerador es una computadora que mantiene las cosas frías. El cajero automático es una computadora con dinero adentro. Su coche no es un dispositivo mecánico con una computadora, es una computadora con cuatro ruedas y un motor… Y este es el Internet de las Cosas, y esto es lo que causó el ataque DDoS del que estamos hablando.»

IoT: algunas reflexiones

El ataque es más fácil que la defensa

La complejidad es el mayor enemigo de la seguridad. Lo sistemas complejos son más difíciles de asegurar por muchísimas razones, y es especialmente cierto para las computadoras e Internet. Internet es la máquina más compleja que el hombre ha construido nunca, y resulta muy difícil de asegurar… los atacantes tienen, entonces, la ventaja.

Existen nuevas vulnerabilidades en las interconexiones

Cuanto más conectamos cosas entre sí, más vulnerabilidades de una cosa afectan a las otras cosas. Estamos hablando de vulnerabilidades en grabadoras de vídeo digital y cámaras web que permiten a los hackers tomar sitios web. Había una historia de una vulnerabilidad en una cuenta de Amazon que permitía a los hackers acceder a una cuenta de Apple, lo que les permitía acceder a una cuenta de Gmail, lo que les permitía llegar a una cuenta de Twitter.

Internet le da poder a los atacantes

El Internet es una herramienta masiva para hacer las cosas más eficientes. Eso también es cierto para atacar. El Internet permite que los ataques escalen a un grado que sea imposible de otra manera. Estamos hablando de millones de dispositivos utilizados para atacar a Dyn, y ese código, que alguien inteligente escribió, se ha hecho público. Ahora cualquiera puede usarlo. Está en una docena de botnets ahora mismo. Cualquiera de ustedes puede alquilar tiempo en una web oscura para atacar a alguien más. (No lo recomiendo, pero se puede hacer).

Y esto es más peligroso a medida que nuestros sistemas se vuelven más críticos. El ataque de Dyn fue benigno. Un par de sitios web bajó. La Internet de las Cosas afecta al mundo de una manera directa y física: coches, electrodomésticos, termostatos, aviones. Hay un riesgo real para la vida y la propiedad. Hay un verdadero riesgo catastrófico.

La economía no se cae

Nuestras computadoras son seguras por un montón de razones. Los ingenieros de Google, Apple, Microsoft pasaron mucho tiempo en esto. Pero eso no sucede para estos dispositivos más baratos. Estos dispositivos son un margen de precios más bajos, están en alta mar, no hay equipos. Y muchos de ellos no pueden ser parcheados. Esos DVRs van a ser vulnerables hasta que alguien los tire. Y eso toma un tiempo. Tenemos seguridad [para teléfonos] porque lo cambiamos a los 18 meses. Su DVR dura cinco años, su coche 10 años, su refrigerador unos 25. El termostato probablemente no lo reemplace nunca. Así que el mercado realmente no puede arreglar esto.

Schneier luego expuso su argumento de por qué el gobierno debería ser parte de la solución, y el peligro de priorizar la vigilancia sobre la seguridad.

Estaba bien cuando era divertido y habían juegos juegos. Pero ya hay cosas en este dispositivo que monitorean mi condición médica, controlan mi termostato, habla con mi auto.

Vamos a necesitar hacer cosas nuevas. Han surgido muchas nuevas organizaciones en el siglo 20, muchas nuevos inventos: trenes, coches, aviones, radio, energía nuclear. Mi conjetura es que [Internet] es uno de ellos. Todo esto es lo que se viene. Nos gusta que la tecnología esté llegando, pero viene más rápido de lo que pensamos. Creo que la participación del gobierno está por venir, y me gustaría adelantarme. Me gustaría empezar a pensar en cómo sería esto.

Ahora estamos en el punto en el que necesitamos comenzar a tomar decisiones más éticas y políticas sobre cómo funcionan estas cosas. Cuando no importaba, cuando era Facebook, cuando era Twitter, cuando era correo electrónico, estaba bien dejar que los programadores, para darles el derecho especial de codificar el mundo como mejor les pareciera. Pudimos hacer eso. Pero ahora que es el mundo de las cosas peligrosas -y son los coches y los aviones y los dispositivos médicos y todo lo demás- tal vez ya no podamos hacerlo.

Eso no es necesariamente lo que Schneier quiere, pero reconoce su necesidad. Aquí su conclusión:

«No me gusta esto», concluyó. «Me gusta el mundo donde Internet puede hacer lo que quiera, siempre que quiera, en todo momento. Es divertido. Este es un dispositivo divertido. Pero no estoy seguro de que podamos hacer eso.

Les comparto el video original de la conferencia sobre IoT y los problemas de seguridad, con la marca en 1:10:26 cuándo comienza la charla de Bruce Schneier para el que quiera verlo completo:

Espero les resulten interesantes estos puntos de vista!

¡Hasta la próxima!