¿Una regulación para prevenir ciberataques de objetos zombies?

Los ciberatacantes aprovecharon una vulnerabilidad en la tecnología del la compañía china XiongMai para integrar estos dispositivos a una red de objetos zombie que atacaron a Dynamic Network Services.

XiongMai es una compañía china que fabrica componentes para cámaras de videovigilancia y grabadoras de video digital que se conectan a Internet. Los ciberatacantes aprovecharon una vulnerabilidad en su tecnología para integrar estos dispositivos a una red de objetos zombie que atacaron el viernes pasado a Dynamic Network Services Inc. (Dyn Inc), un proveedor de infraestructura de Internet. El ataque impidió el acceso a sitios populares como Twitter, Netflix, Spotify o Amazon.

En el ataque se utilizó, sin autorización de los usuarios, el poder de cómputo de cámaras web, sistemas de videovigilancia comprometidos, televisores y demás objetos que formaron una red conocida como Mirai. El grupo New Word Hackers se adjudicó esta ofensiva y aseguró que se trataba sólo de una “muestra de poder”.

Los expertos en seguridad informática ya advertían desde hace varios años sobre las vulnerabilidades dentro de la llamada “Internet de las Cosas” (IoT, por su sigla en inglés) que pueden ser aprovechadas por ciberatacantes. Ahora, para prevenir futuros ataques, la clave podría estar en los reguladores.

“Con los entes reguladores, alguien podría decir que en México no se pueden vender dispositivos que no cumplan con normas (de seguridad)”, dijo en entrevista Juan Pablo Castro, Director de Innovación Tecnológica de la firma de ciberseguridad Trend Micro.

En esto coincidió Óscar Robles, director ejecutivo del Registro de Direcciones de Internet de América Latina y Caribe (LACNIC, por su sigla en inglés), el organismo encargado de administrar las direcciones IP y el registro de servicios que permiten la operación mundial de Internet en la región.

“Si no hay una regulación que ponga atención en eso, que tú no puedes vender un dispositivo que se puede usar en contra de la humanidad. Son temas en los que poco se está exigiendo que tomen cartas en el asunto. A estas alturas, todavía se pueden hacer cosas antes de que empiece a costar vidas con situaciones como que los semáforos de una ciudad fueron tomados por una botnet”, dijo a El Economista en entrevista telefónica desde Montevideo.

Los ataques del viernes tuvieron como blanco los servidores de la compañía estadounidense Dyn, proveedor de Sistema de Nombres de Dominio (DNS) que permite que los usuarios accedan a los populares servicios de Internet. Fue orquestado utilizando objetos conectados a Internet infectados debido a las medidas de seguridad laxas con que son comercializados estos dispositivos.

“El ataque del viernes es algo nuevo porque antes, los ataques iban contra nodos específicos: webs, correos electrónicos y a nivel personal; ahora vemos que cualquiera que fuera la motivación, ha afectado el funcionamiento de internet. En época de elecciones o catástrofes naturales, resultaría un gran problema”, dijo el Director del Equipo de Investigación y Análisis de Kaspersky Lab para América Latina, Dmitry Bestuzhev.

Son varias las vulnerabilidades que los objetos conectados presentan frecuentemente, atribuibles a los fabricantes, como la venta de equipos con passwords por defecto que presenta un riesgo mayor si no se avisa al usuario que debe cambiarlas; o que avise al consumidor sobre una vulneración y le ofrezca una actualización al software en caso de presentar alguna brecha de seguridad.

“Incluso el fabricante tiene un usuario y password que está oculto, que lo usan para hacer mantenimiento. Si alguien se entera de ese usuario y esa password, puede entrar a cientos de miles de cámaras. Y los dispositivos que se usaron para ese ataque están en las casas de las personas”, explicó el experto de Trend Micro, Juan Pablo Castro.

La importancia de plantear normativas y regulaciones en torno a ciberseguridad cibernética se plantea en escenarios donde la vida de las ciudades y las personas estén completamente conectadas a internet, desde las comunicaciones, sistemas de voto electrónico hasta sistemas de tránsito y sistemas críticos para las urbes.

El ataque del viernes no tuvo consecuencias críticas, pero representa una alerta para centrar la atención en la seguridad informática ante el auge del internet de las cosas, las ciudades inteligentes y la digitalización del mundo.

“Eso equipos (infectados) se vendieron en Estados Unidos, se implementaron en condados y municipalidades que tienen criterios de calidad cuando son adquisiciones gubernamentales, y parece que se da en buen momento porque deja claro que tienen que establecer requisitos mínimos de seguridad. Que las adquisiciones gubernamentales o las industriales tengan sus criterios pues si te están tomando equipos como parte de un ejército de botnets, quiere decir que algo estás haciendo mal. No hay equipo seguros pero si tienes 500 millones de dispositivos infectados, algo hicieron mal”, sentenció Robles.

Concentración de proveedores

Que el ataque a un sólo proveedor de DNS impidiera el acceso de millones de usuarios a los principales servicios digitales (Twitter, Spotify, Amazon, Netflix, Paypal y la red de PlayStation, y a medios como The New York Times o el Financial Times por mencionar algunos) podría reflejar un problema de concentración de servicios. Pero los expertos observan que el problema no es que una empresa concentre grandes clientes sino que estas plataformas digitales sólo tengan un proveedor para resolver la conexión de sus usuarios a sus servicios.

“El asunto no es cuántas de esas están con Dyn sino cuántas sólo tienen a Dyn para su recepción de nodos. Uno como organización sabe que no es una cuestión de si van a pasar o no los ataques, sino que tienes que considerar que van a pasar, y estas organizaciones deberían tener más de un proveedor”, consideró el director de LACNIC, Óscar Robles.

Pero existe la dicotomía sobre el costo de inversión para evitar ser víctimas de eventos sin precedentes o que eran poco probables que sucedieran. Resulta más complejo encontrar un balance entre el riesgo que las empresas y los gobiernos están dispuestas a tomar.

Así lo ejemplifica Juan Pablo Castro, de Trend Micro: “Imagina a un gobierno que sabe que existe la posibilidad de que vaya a chocar un meteorito contra la Tierra. Los científicos dicen que el impacto es grande pero ¿cuál es la posibilidad de que pase eso, comparado con un ataque terrorista? Como gobierno respondes a la gente que te va a votar, entonces ¿qué vas a elegir: una plataforma contra meteoritos o una contra un ataque terrorista?”.

En esta misma analogía, la respuesta, hasta la semana pasada, habría sido la protección ante el ataque terrorista.

El Economista