La Internet de las Cosas (IoT), una amenaza que no se toma en consideración… todavía

Hay una tercera posibilidad a la que apenas hemos prestado atención: ataques DDoS domésticos. Si llenamos nuestras casas con televisores, frigoríficos y mesitas de noche conectadas, ¿podría alguien usarlas para lanzar un ataque de denegación de servicio? Vale, una Thermomix o un termostato tienen mucha menos memoria y capacidad de cómputo que un ordenador, pero a cambio gozan de tres ventajas: tienen multitud de vulnerabilidades, carecen de protección de tipo antivirus… y son muchos.

Esta “rebelión de las máquinas” puede sonar a serie de Netflix pero en realidad es algo que ya ha sucedido, y más de una vez. En septiembre de 2015, por ejemplo, las redes de juego de Microsoft (Xbox) y Sony (Playstation Network) fueron tumbadas por ataques DDoS lanzados desde millares de routers domésticos. Este junio pasado se descubrió una red similar que utilizó cámaras de circuito cerrado (CCTV) para atacar una web durante días.

Más recientemente, entre el 19 y el 22 de septiembre de 2016, el proveedor de servicio francés OVH se tambaleó bajo una serie de ataques DDoS de ferocidad nunca vista: los picos llegaron a los 990 Gbps. Pocos días antes, y de modo similar, la web de seguridad KrebsOnSecurity recibió un ataque DDoS de más de 600 Gbps. KoS estaba protegida de este tipo de ataques por una empresa especializada llamada Akamai, pero ni siquiera ellos pudieron detener la oleada de datos y tuvieron que tirar la toalla. Krebs solamente volvió a operar gracias a Google, que proporciona servicios de protección DDoS a servicios de noticias gracias a su Proyecto Shield.

Lo realmente sorprendente de esos dos últimos ataques no fue su volumen sino su procedencia. En lugar de ordenadores, los atacantes utilizaron otros dispositivos de menor potencia como cámaras IP, esas que usted puede ver por todas partes y que nos venden para asegurar nuestra casa o la habitación de los niños. Según Octave Klaba, de OHV, el ataque contra sus instalaciones fue realizado por casi 150.000 cámaras.

No hemos carecido de preavisos, así que prepárese porque la cosa no hará sino ir a peor. Los dispositivos de la Internet de las Cosas (IoT) están diseñados pensando en la eficacia de uso, no en la seguridad. Tanto su número como su variedad siguen en aumento: televisores, frigoríficos, grabadores digitales de vídeo, cámaras de vigilancia, sistemas domóticos, bombillas LED, robots de cocina, contadores eléctricos… la lista es interminable. Los ataques DDoS futuros usarán millones, quizá decenas de millones, de dispositivos IoT vulnerables, dejando en ridículo todo lo que hemos visto hasta ahora.

¿No me creen? NO hay problema. Sólo tiene usted que esperar un poco y los ataques DDoS de terabits por segundo serán moneda corriente. El día que entre a comprar en la web de Amazon y vea que está KO, ya sabe por qué.

APÉNDICE. Este artículo fue publicado a mediados de octubre, y estaba programado para publicarse el lunes 24. Tres días antes, el viernes 21, el proveedor de Internet norteamericano Dyn.com sufrió una serie de tres ataques DDoS. Este acto resultó particularmente devastador debido al hecho de que Dyn es un proveedor de servicios DNS (Domain Name System), que básicamente le dice a un ordenador dónde buscar una web cuando el usuario teclea una dirección www en el navegador; es decir, actúa como un gigantesco listín telefónico. Como resultado, algunas de las mayores empresas de Internet a las que Dyn presta este tipo de servicios sufrieron interrupciones, como Spotify, Netflix, Twitter… y Amazon.

El ataque del jueves fue uno de los más intensos desarrollados hasta la fecha. Como en los casos anteriores (OHV, Krebs), el principal vector de ataque fue la Internet de las Cosas. Esta vez la situación ha ido a peor por varios motivos. Primero: los atacantes escogieron un servicio vital de Internet, capaz de tumbar algunas de las mayores empresas de comercio electrónico y redes sociales.

Segundo: los tres ataques que se registraron el día 21 fueron separados y procedían de distintas redes de “bots” (programas informáticos usados para el ataque). Dyn lo describe como “un ataque sofisticado altamente distribuido con decenas de millones de direcciones IP…con múltiples vectores de ataque” El primero de ellos afectó a la Costa Este de EEUU; los otros dos se extendieron por todo el mundo, convirtiéndose en uno de los mayores ataques a la infraestructura de Internet hasta la fecha.

Tercero: utilizaron el mismo tipo de “bots” que en los casos OHV y Krebs, lo que no es de extrañar ya que el código fuente de ese malware (conocido como Miral) es público; lo que significa que cualquiera puede montar su propia red de bots.

Cuarto: la escala de los ataques hace pensar en algún tipo de ciberterrorismo con mayúsculas, donde puede que estén involucrados países enteros. Aún no se sabe quién lo ha hecho o con qué objeto. Aunque un grupo hacker denominado New World Hackers se ha atribuido la responsabilidad de esta acción, gobiernos como el ruso o el norcoreano ya han mostrado su hostilidad hacia Estados Unidos en el ciberespacio.

La situación no está nada clara. El experto en seguridad informática Bruce Schneier se decanta hacia la posibilidad de que se trate de ataques hackers (ver aquí y aquí), pero al mismo tiempo afirma que los servicios críticos de Internet llevan dos años sufriendo ataques de sondeo, de forma similar a cuando EEUU enviaba aviones a la frontera rusa para sondear sus defensas durante la Guerra Fría (recomiendo su artículo Alguien está aprendiendo a tumbar Internet, de 13 de octubre).

Podemos afirmar que, como dije al final del artículo, esto sólo va a ir a peor. A estas alturas no me atrevo a seguir haciendo predicciones. Sólo puedo hacerle un ruego a usted, amigo lector, que puede aliviar la intensidad de estos ataques en el futuro: si tiene un instrumento IoT en casa, por favor, por favor, CAMBIE LA CONTRASEÑA. Gracias.

Deja un comentario