Follow us on:
Perspectives

¿Seguridad obligatoria?

Thursday, 08 June 2017 Maria Jose de la Calle Posted in iTTi Views

En el pasado mes de septiembre de 2016 apareció en diversos medios la noticia de la existencia de un pendrive USB que podía quemar el dispositivo al cual se conectara. Su nombre, "USB Killer"[i]. 

El motivo inicial de su fabricación no era causar daño, sino emplearlo como herramienta de verificación de aquellos dispositivos que contasen con uno, o más, puertos USB. De este modo, habría de servir para asegurar que dichos puertos se comportaban de manera segura, previniendo ataques eléctricos o robo de datos a través de los mismos. Sin embargo, la mayoría de las pruebas realizadas han dado como resultado la destrucción del dispositivo maestro, ya fuese un ordenador, un televisor o cualquier otro equipo dotado de conectores USB.   

Tal y como se dice en el blog de USBkill[ii], las empresas de hardware deben ser responsables de los fallos de seguridad de sus productos, máxime en estos momentos en que cualquier objeto de uso común puede llevar un chip con capacidad de almacenamiento, procesamiento y acceso a Internet, amén del ya mencionado puerto USB, mediante el cual se pueden intercambiar datos. 

Aunque según sus propios autores, la única empresa que parece les ha prestado cierta atención ha sido Apple, se han decidido a comercializar su creación "USB Killer". 

No es muy probable que un usuario individual lo compre para probar sus propios dispositivos, a título personal, porque lo más probable es que aquellos acaben "fritos", a riesgo, además, de que  el fabricante no le reponga, o le compense por, el equipo estropeado. ¡Aunque, sin duda, sería todo un detalle! 

Es evidente que la tecnología, normalmente, va por delante de leyes y regulaciones. Sin embargo, no es menos cierto que de la seguridad tecnológica -hoy, digital- se lleva hablando varias décadas -el primer virus informático conocido fue desarrollado a principios de los años 80 para un ordenador "Apple II"[iii]-; desde entonces, también se ha venido vendiendo software que ofrecía pocas garantías por sus vulnerabilidades, a la espera resignada de los consabidos parches.  

Como consecuencia de ello, una norma, tal vez no escrita, pero bastante extendida, de facto, en muchas instalaciones instaba a no implantar las últimas versiones de cualquier paquete software, a la espera de que se fueran subsanando los errores.

Todo ello difiere, notablemente, de las circunstancias que rodean a otros productos que ofrece el mercado. Generalmente, si estos no funcionan o no se ajustan a sus especificaciones, son retirados de la cadena de distribución. Cuando tal decisión llega tarde -el producto ya está en el mercado-, las reclamaciones de los compradores son atendidas mediante la sustitución del producto defectuoso o mediante la compensación económica pertinente (incluida la devolución del pago realizado).

Hasta hace poco, el software trataba únicamente con objetos virtuales y no actuaba sobre el mundo físico real. Sin embargo, con la inclusión en todo tipo de objetos de chips con capacidades de comunicación y tratamiento de datos, las cosas han cambiado. 

Piense, por un momento, en las omnipresentes cámaras de vigilancia. Éstas graban y transmiten dichas grabaciones a centros de control. De ese modo, se convierten en los "ojos" que todo lo ven, y que todo lo "cuentan". Sin embargo, esa captura y transmisión de información (imágenes) no siempre se realiza con garantía plena de seguridad, (¡por no citar los aspectos relacionados con la intimidad!). Cualquier dispositivo conectado en un entorno corporativo, como las cámaras, puede "caer" en manos de personal no autorizado, quien podría tener interés en obtener información de forma ilícita o, peor aún, utilizarlo -utilizar las cámaras, en el ejemplo- como puerta de entrada, como punto débil para conseguir el acceso a otros activos de la organización.  

El artículo "Design Flaws in IP Surveillance Cameras"[iv], de la revista "Hackin9", indica que las debilidades de seguridad en torno a estos dispositivos son múltiples; desde disponer de las credenciales de acceso al dispositivo, empleadas por defecto por el fabricante -credenciales fácilmente localizables en cualquier manual publicado en Internet-, hasta poder obtenerlas por encontrarse sin cifrar en la memoria de la cámara, etc.; todo lo cual favorecería su manipulación, por ejemplo, mediante la sustitución de imágenes falsas que permitieran sustituir el flujo de vídeo real. 

Esa omnipresencia mencionada más arriba, se acentúa, hoy día, con la miniaturización e incorporación de cámaras a teléfonos, tabletas, televisores[v] o frigoríficos. Este último caso forma parte de la propuesta de Samsung[vi], que invita a utilizar el frigorífico como un tablón de anuncios en el que, mediante un panel digital, cada miembro de la familia puede ir dejando sus notas para los demás, como si de un post-it se tratara. Los mensajes están sincronizados con el teléfono de cada habitante de la casa, al que se destina el mensaje. 

En el caso de los televisores, estos ahora incorporan micrófonos[vii] para aceptar órdenes de voz que sustituyan al mando a distancia. De ese modo, podrían recoger -y transmitir- todo lo que se diga en su entorno. 

Hace algún tiempo que se tiene clara la conveniencia de tapar las webcam de los ordenadores.

Es conocida la anécdota que, en este sentido, ha protagonizado recientemente el fundador de Facebook, Mark Zuckeberg, quien aparecía en una fotografía publicada para celebrar los 500 millones de usuarios en Instagram, con la cámara y el micrófono de su portátil cubiertos[viii].

El propio director del FBI[ix] ha aconsejado, dando ejemplo con su propio ordenador, que se tenga esa precaución, del mismo modo que la de cerrar la puerta de nuestro coche. Una comparación que, tal vez, no sea muy acertada: la puerta del coche es un elemento de seguridad para el pasajero, que debe estar cerrada para cumplir su función mientras el coche está funcionando; por el contrario, la cámara o el micrófono, pierden toda su funcionalidad si se tapan. Es decir, en un caso la seguridad aparece cuando el dispositivo (la puerta) se pone en funcionamiento, se cierra; en el otro, es precisamente la "desconexión" del dispositivo la que otorga una mayor seguridad.

¿Querrá ello decir que la práctica aconsejada habría de pasar por dotarse de equipos "antiguos", carentes de dicha tecnología? 

Podría concluirse que la gente acepta y convive con la inseguridad digital. Una inseguridad que lo permea todo, incluidos objetos, aparentemente inocuos que asemejan ser como los de siempre; pero que no lo son.

Durante la última edición del encuentro "Def-Con", celebrada el pasado mes de agosto, en Las Vegas (EEUU), "IoT Village"[x] presentó 47 vulnerabilidades descubiertas en 23 dispositivos de lo más variopinto: desde objetos personales como una "llave inteligente" -August Smart Lock-, que permitía dar acceso, a cualquiera, a la vivienda de su propietario; hasta a paneles solares -"Tigro Energy"-, los cuales permitían llegar a  apagar una pequeña estación de generación de energía eléctrica. 

Ello prueba cómo los fabricantes, en su carrera por llevar al mercado sus productos "smart", están obviando los posibles fallos de seguridad. 

Geoff Webb, -VP, Solution Strategy en Micro Focus- apuntaba, en una reciente entrevista para "Help Net Security"[xi] que muchos de estos objetos se fabrican por empresas que no tienen expertos en ciberseguridad, y los productos llegan al mercado con vulnerabilidades ya conocidas (y que, por tanto, deberían haber sido evitadas). 

La "Online Trust Alliance (OTA)"[xii] después de analizar una serie de vulnerabilidades detectadas en dispositivos y publicadas entre noviembre de 2015 y julio de 2016, halló que todas se podían haber evitado fácilmente. Lo cual, en última instancia, ha de verse como una buena noticia.

Paradójicamente, aquello que le da mayor potencia a la Internet de las Cosas (IoT, por sus siglas en inglés) que no es sino la conectividad y la posibilidad de poder compartir datos instantáneamente con cualquier persona o cualquier otra cosa, constituye la gran amenaza para la ciberseguridad. Cualquier producto con una vulnerabilidad puede comprometer seriamente -efecto dominó- la seguridad de los sistemas u otros dispositivos a los cuales se conecte. 

Las medidas de seguridad establecidas, hasta ahora, en componentes de producto -como las pruebas de frenos, luces, airbag, bloqueo de volante, y un largo etc. a que debe someterse un coche antes de salir de fábrica-, han de complementarse, ineludiblemente, con otras que velen por la ciberseguridad.

El ejemplo de los coches no puede venir más a cuento teniendo en cuenta las numerosas noticias sobre ataques exitosos que han sufrido, tanto los que necesitan conductor como los autónomos, ambos parcial o totalmente controlados por un ordenador.

La IoT está en la base de cualquier desarrollo tecnológico actual. Por ello, tal vez haya que llegar a un consenso entre fabricantes y reguladores, que favorezca la consecución, entre todos, de un entorno más seguro para todos. 

* *

Que la IoT no pase de ser la "Internet de las cosas" a la "Internet de las amenazas", como lo llama el fundador de la firma de ciberseguridad Eugene Kaspersky:  “Internet of Things? I Call It Internet of Threats.”[xiii]

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 19/12/2016. Ref: Magazcitum/Opinión, año 7, nº3, 2016. "¿Seguridad obligatoria?" - María José de la Calle.    

--------------------------------------

[i] url [a 25-09-2016]  https://www.usbkill.com  

[ii] "USB kill: Behind The Scenes" (30 de agosto, 2016)  url [a 25-09-2016]  https://www.usbkill.com/blog/usb-kill-behind-the-scenes-b40.html  

[iii] url [a 25-09-2016] https://es.wikipedia.org/wiki/Elk_Cloner  

[iv] Aditya K Sood, Bipin Gajbhiye (2011). "Design Flaws in IP Surveillance Cameras". Hackin9. url [a 25-09-2016] https://www.cigital.com/papers/download/design_flaws_IP_surveillance_cameras_adityaks_bipin.pdf  

[v] Eva Dallo (01 de diciembre, 2013) "¡Ojo! Su televisión puede espiarle". El Mundo. url [a 25-09-2016] http://www.elmundo.es/cronica/2013/12/01/529a24f161fd3dea548b45a0.html 

[vi] url [a 25-09-2016] http://www.samsung.com/us/explore/family-hub-refrigerator/  

[vii] Juan Antonio Pascual (8 de febrero, 2015). "¿Los Smart TV de Samsung graban y envían nuestras voces?" ComputerHoy.com url [a 25-09-2016] http://computerhoy.com/noticias/imagen-sonido/smart-tv-samsung-graban-envian-nuestras-voces-24055 

[viii] Andrew Griffin (22 de junio, 2016) "Mark Zuckerberg seen covering up his webcam in picture celebrating Instagram milestone". Independent.  url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/mark-zuckerberg-seen-covering-up-his-webcam-in-picture-celebrating-instagram-milestone-a7094896.html 

[ix] Andrew Griffin (15 de septiembre, 2016). "Everyone should cover up their laptop webcams right now, says FBI director James Comey". Independent.  url [a 25-09-2016] http://www.independent.co.uk/life-style/gadgets-and-tech/news/everyone-should-cover-up-their-laptop-webcams-right-now-says-fbi-director-james-comey-a7308646.html 

[x] Mirko Zorz (16 de septiembre, 2016). "IoT Village uncovers 47 security vulnerabilities across 23 devices". HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/16/iot-village-def-con/  

[xi] Véase nota x.

[xii] Help Net Security (9 de septiembre, 2016). "Are all IoT vulnerabilities easily avoidable?". HelpNetSecurity. url [a 25-09-2016] https://www.helpnetsecurity.com/2016/09/09/iot-vulnerabilities-easily-avoidable/  

[xiii] "¿Internet de las cosas? Yo lo llamo Internet de las amenazas". Eugene Kaspersky (24 de junio, 2015). NbcNews. url [a 25-09-2016] http://www.nbcnews.com/tech/security/kaspersky-smart-fridges-internet-things-i-call-it-internet-threats-n380541  

 

Comments (0)

Leave a comment

You are commenting as guest.

Publícitis