¿Es lícito fomentar la seguridad permitiendo el hackeo?
- Reportajes
Eso es precisamente lo que planea hacer el gobierno Japonés, que se prepara para las Olimpiadas de Tokio 2020 con un plan que permite hackear dispositivos IoT de consumo para establecer una lista de dispositivos inseguros.
Japón intentará acceder a los dispositivos conectados a Internet en hogares y oficinas para encontrar sus vulnerabilidades y reforzar así la seguridad cibernética. La auditoría se llevará a cabo en coordinación con el Instituto Nacional de Tecnología de la Información y las Comunicaciones (NICT) bajo la dirección del Ministerio de Asuntos Internos y Comunicaciones (MIC), junto con los proveedores de servicios de Internet.
Este conenido fue publicado en el número de Febrero de la revista IT Digital Security, disponible desde este enlace.
El objetivo es elaborar una lista de dispositivos propensos a ser hackeados. Para ello lanzará ataques de fuerza bruta para detectar las contraseñas fáciles o por defecto, tras lo cual se informará a los propietarios de la situación, proponiéndoles una serie de recomendaciones de seguridad, incluido el cambio de contraseña.
El plan arrancará en el mes de febrero y afectará a más de 200 millones de dispositivos IoT, incluidos routers y cámaras web, según informan desde nhk.or.jp. El objetivo es asegurar todos los dispositivos, o al menos la mayor cantidad posible, antes de la celebración de las Olimpiadas de Tokio 2020 ante el temor de que los ciberdelincuentes puedan utilizarlos para lanzar ataques contra la infraestructura TI de los Juegos.
La noticia del plan no ha sido muy bien recibida por los ciudadanos japoneses, que lo consideran como un ataque directo a su privacidad y que abogan por que el gobierno simplemente envíe una alerta a todos los usuarios para que protejan sus dispositivos.
Temor justificado
El Internet de las Cosas, o IoT, continúa creciendo como uno de los principales objetivos de los ciberdelincuentes. Así lo recoge un informe de Symantec, que asegura que el número de ataques contra el IoT se incrementó de 6.000 en 2016 a 50.000 en 2016, un 600%. Se suma un informe del Ministerio de Asuntos Internos y Comunicaciones de Japón, según el cual dos tercios de todos los ataques involucran dispositivos IoT.
No sólo está justificado el temor de un ataque contra el IoT, sino contra una infraestructura tecnológica de unos los Juegos Olímpicos. Tan sólo hay que recordar el malware Olympic Destroyer lanzado antes de la ceremonia de apertura de los Juegos de Invierno celebrados en Pyeongchang en 2018 como respuesta a la suspensión al Comité Olímpico de Rusia por dopaje de Estado, por parte del Comité Olímpico Internacional, lo que impedía la participación de los atletas rusos en los Juegos bajo la bandera de su país.
Lo que hizo un grupo de hackers rusos construyeran una botnet con routers y dispositivos IoT a la que se bautizó como VPNFilter. El resultado del ataque fue la interrupción de internet y los sistemas de emisión y la caída del site de venta de entradas durante doce horas.
De forma que la decisión del gobierno Japonés de comprobar la seguridad de los dispositivos IoT en el país no va mal encaminada a pesar de que algunos detractores digan que es demasiado intrusiva y que no garantice que los usuarios vayan a cambiar las contraseñas en caso de que tuvieran que hacerlo.
Recordar que el Estados de California tiene previsto lanzar la primera ley de seguridad del Internet de las Cosas, que exigirá a los fabricante implementar “medidas de seguridad razonables”.
La amenaza del IoT
Entre las cosas que los dispositivos IoT tienen en común destaca que la mayoría están desatendido. Y esto significa, entre otras cosas, que raramente son parcheados. Es una de las razones por las que la mayoría de los estudios lanzados por empresas de seguridad prevén un incremento de los ataques contra dispositivos IoT en 2018.
VPNFilter, que hemos mencionado y que estudios posteriores a su detección ya dijeron que era peor de lo esperado porque en su evolución amplió la cantidad de dispositivos que podía atacar, no fue sino un mero sucesor de Mirai, una botnet que revolucionó el mercado en 2016. Algunos de sus sucesores más directos, Aidra, Wifatc, o Gafgyt, que tomaron presado parte de su código, siguen Activos.
De manera más genérica, destacar los datos de un informe de Kaspersky que recoge que en la primera mitad de 2018 los dispositivos IoT fueron atacados con más de 120.000 modificaciones de malware. Eso es más que el triple de la cantidad de malware IoT visto en todo el 2017. La firma de seguridad advertía en su informe que el crecimiento de las familias de malware para dispositivos IoT no es más que una continuación de una tendencia que ya se vio en , cuando la cantidad de modificaciones de malware en dispositivos inteligentes multiplicó por diez la cantidad vista en 2016.
La situación no tiene pinta de mejorar. Se calcula que para 2025 habrá 75.000 millones de dispositivos conectados en todo el mundo. Un potencial que los ciberdelincuentes están dispuestos a aprovechar, no sólo porque muchos contienen vulnerabilidades, sino por su capacidad de conectarse entre sí, creando redes con infinitas posibilidades.
En un escenario de botnet, una red de dispositivos conectados a Internet está infectada con malware y controlada sin el conocimiento de los usuarios, para lanzar ransomware y ataques DDoS (denegación de servicio distribuida). Una vez desatado, las consecuencias de los ataques de botnets pueden ser devastadoras, como ya demostrara Mirai hace unos años.