CNNEarrow-downclosecomment-02commentglobeplaylistsearchsocial-facebooksocial-googleplussocial-instagramsocial-linkedinsocial-mailsocial-moresocial-twittersocial-whatsapp-01social-whatsapptimestamptype-audiotype-gallery
Japón

Japón hackeará a sus propios ciudadanos para fortalecer la seguridad de la red

Por James Griffiths

(CNN) — Niños jugando en medio de un gimnasio de la escuela en Indonesia; un hombre que se prepara para ir a la cama en un apartamento de Moscú; una familia australiana que entra y sale de su garaje; y una mujer que alimenta a su gato en Japón.

Todas estas escenas fueron transmitidas en vivo por Internet el viernes a cualquiera que conociera la dirección correcta, a través de cámaras con poca o ninguna seguridad, cuyos propietarios probablemente no se dan cuenta de que están transmitiendo cada segundo en línea.

El auge del “internet de las cosas” (IOT por sus siglas en inglés) —un término vago que abarca todo lo que se conecta a Internet que normalmente no esperarías que lo hiciera— ha inundado a hogares y empresas de todo el mundo con dispositivos poco seguros fácilmente accesibles en línea, desde cámaras web e impresoras hasta frigoríficos y altavoces “inteligentes”.

Los expertos han estado alertando esto durante años, con poco progreso. Así que este mes, Japón dará el paso radical de hackear a sus propios ciudadanos para tratar de alertarlos sobre los riesgos que plantean sus dispositivos habilitados para Internet.

Piratería del gobierno

A partir del 20 de febrero, los funcionarios japoneses comenzarán a investigar 200 millones de direcciones IP vinculadas al país, buscando dispositivos con poca o poca seguridad.

El año pasado se aprobó una ley para permitir el pirateo masivo, como parte de los preparativos de seguridad antes de las Olimpiadas de Tokio 2020.

Según el Ministerio del Interior y Comunicaciones (MIAC), dos tercios de los ciberataques en Japón en 2016 se centraron en dispositivos con conexión a internet. Las autoridades temen que algún tipo de ataque relacionado con IOT pueda ser utilizado para atacar o interrumpir las Olimpiadas 2020.

Además de probar qué servidores no tienen seguridad, el equipo japonés también probará 100 combinaciones comunes de nombre de usuario y contraseña, como “admin / admin” o “1234”, dijo el MIAC en un comunicado.

Michael Gazeley, director de la firma de seguridad Network Box, con sede en Hong Kong, advirtió que si bien las intenciones de las pruebas eran buenas, podría potencialmente ser contraproducente para los usuarios al crear un vector de ataque fácil para los hackers.

“El público en general tendrá que ser extremadamente vigilante”, dijo. “Qué fácil sería enviar a alguien (a todos) un correo electrónico de phishing, alegando ser del gobierno, diciendo: ‘Sus dispositivos IOT no pasaron las pruebas, por favor haga clic en este enlace para actualizarse’, lo que resultaría en una gran cantidad hackeos informáticos?”.

  • Mira: Tu auto conectado a Internet da información muy valiosa

Problema mundial

Si bien Japón puede estar en alerta más alta que otros países debido a las próximas Olimpiadas, el problema que su gobierno está tratando de abordar es global.

La firma de investigación Gartner estima que habrá 20.400 millones de dispositivos IOT en línea para 2020, frente a los 11.000 millones en 2018.

Todo, desde bombillas hasta alimentadores de aves, tienen cada vez más conectividad inalámbrica, y se puede acceder a muchos dispositivos desde cualquier lugar, por si no podemos encender las luces cinco minutos antes de llegar a casa. ¿Estamos viviendo en el futuro?

Sin embargo, muchos de estos dispositivos tienen poca o ninguna seguridad, especialmente en el extremo inferior del espectro de precios.

“El problema es que no hay ningún incentivo monetario para que las empresas inviertan en las medidas de ciberseguridad necesarias para mantener sus productos seguros”, escribió para CNN el año pasado Bruce Schneier, experto en seguridad y autor de Haga clic aquí para matar a todos: seguridad y supervivencia en un hiperconectado mundo.

“Los consumidores comprarán productos sin las características de seguridad adecuadas, sin saber que su información es vulnerable. Y las leyes de responsabilidad actuales dificultan que las empresas rindan cuentas por la mala calidad del software”, agregó.

Los dispositivos inseguros plantean una variedad de amenazas. El más obvio, y tal vez el más alarmante, es la privacidad. Utilizando Shodan, un motor de búsqueda para dispositivos IOT, CNN accedió a una variedad de transmisiones en línea.

Cámaras en los apartamentos de Moscú mostraron a un hombre abriendo un sofá desplegable y desvestido para ir a la cama, aparentemente sin darse cuenta de que podía ser visto a través de la cámara al otro lado de la habitación. En una casa de Perth, Australia, el servidor de la cámara web contenía grabaciones que duraban semanas y mostraban las idas y venidas diarias de la familia.

En otra dirección IP, que parecía pertenecer a un hogar familiar, CNN pudo acceder al enrutador usando una combinación predeterminada de nombre de usuario y contraseña, viendo todos los dispositivos conectados, así como la contraseña de Wi-Fi.

Si alguien hubiera querido, podrían haber reiniciado el enrutador y haber bloqueado a todos, o haber intentado bloquear el dispositivo instalando una actualización defectuosa. Los propietarios probablemente nunca se habrían dado cuenta de que estaban siendo atacados por Internet.

Pero el verdadero riesgo de los dispositivos IOT inseguros no es que sean utilizados para atacar a sus dueños, sino que serán cooptados para ataques masivos en línea, como sucedió en 2016.

Red inactiva

Durante años, los piratas informáticos han utilizado las llamadas “botnets”, colecciones de dispositivos comprometidos, para enviar correos no deseados, robar datos y llevar a cabo ataques de denegación de servicio distribuido (DDoS).

Los ataques DDoS se usan para, por la fuerza, hacer que los sitios web queden fuera de línea al inundarlos de tráfico y abrumar sus servidores con solicitudes. Tradicionalmente, las botnets DDoS estaban formadas por cientos de computadoras comprometidas: los hackers ejecutaban scripts en segundo plano para cargar un sitio web una y otra vez sin que el dueño del dispositivo lo supiera.

Sin embargo, la construcción de una gran red de computadoras pirateadas puede ser difícil, ya que el sistema operativo, el correo electrónico y la seguridad general del usuario mejoran. En comparación, los dispositivos IOT, con poca o ninguna seguridad y propietarios que quizás ni se den cuenta de lo que sus dispositivos son capaces de hacer, son el objetivo perfecto.

A finales de 2016, la red de bots Mirai lanzó lo que entonces era el ataque DDoS más grande jamás realizado, utilizando una red de aproximadamente 600.000 dispositivos IOT pirateados. El ataque logró derribar gran parte de Internet fuera de línea de Estados Unidos, incluidos Netflix y Twitter.

Schneier y otros han advertido de futuros ataques siguiendo este patrón, a medida que los dispositivos IOT se vuelven más y más comunes, y pidió una legislación que obligue a los fabricantes a mejorar la seguridad.

Sin embargo, con los fabricantes y las cadenas de suministro repartidos por todo el mundo, puede que esto sea más fácil decirlo que hacerlo. En todo caso, dijo Gazeley, algunos fabricantes de dispositivos parecen estar yendo en la dirección opuesta.

“Se están haciendo más y más (dispositivos) sin forma de actualizar el firmware, y tampoco hay manera de cambiar la configuración predeterminada de la cuenta o contraseña”, dijo.

“El internet de las cosas se ha convertido rápidamente en la vulnerabilidad de todo. Si alguna vez se puede elegir entre conveniencia y seguridad, generalmente es la conveniencia lo que gana, especialmente en el mundo de la electrónica de consumo”.

— CNN Junko Ogura contribuyó con informes desde Tokio.