NUEVA YORK - Los dispositivos domésticos inteligentes y otros dispositivos de "Internet de las cosas" deben protegerse ahora, para que no haya más ataques como el que destruyó gran parte de Internet el viernes pasado (oct. 12). Ese fue el consenso alcanzado por un panel de expertos en seguridad que habló aquí hoy (Oct. 24) en una conferencia organizada por la National Cyber ​​Security Alliance.

Crédito: Alexander Kirch / Shutterstock
(Crédito de la imagen: Alexander Kirch / Shutterstock)

"Antes de hoy, la seguridad de IoT podría haber sido discutible", dijo Neil Diswani, jefe de la oficina de seguridad de la información de la firma de protección de identidad LifeLock. "Pero ahora, ese ya no es el caso".

Sin embargo, aunque los expertos estuvieron de acuerdo con el objetivo final, no pudieron ponerse de acuerdo sobre cómo llegar allí. Algunos defienden la regulación gubernamental para exigir la seguridad en el hogar inteligente, mientras que otros argumentan que el mercado libre obligaría a los proveedores de IoT a incorporar seguridad ya que los consumidores rechazan los dispositivos no seguros.

MÁS: Cómo proteger sus dispositivos domésticos inteligentes

"No podemos cometer el mismo error que cometimos con Internet, donde la seguridad era una ocurrencia tardía", dijo Sami Nassar, vicepresidente de soluciones de seguridad cibernética del fabricante de chips holandés NXP Semiconductors. "Deberíamos pensar en la seguridad por diseño, desde el principio".

Los cinco panelistas estuvieron de acuerdo en que ese era un objetivo que valía la pena, pero mientras Diswani dijo que esperaba que la autorregulación de la industria condujera Los fabricantes de IoT para incorporar una mejor seguridad, otro orador respondió que solo la intervención del gobierno podría resolver el problema.

"Los bancos finalmente llegaron al punto en que se dieron cuenta de que la cantidad de dispositivos confiables es cero. Hay que asumir que la red está comprometida ", dijo Matthew Cook de Panopticon Laboratories en Columbus, Ohio.

"No he visto ninguna evidencia de que incluso cuando los usuarios están muy, muy motivados, es fácil lograr que los fabricantes cambien las prácticas", agregó Cook. "Pasé siete años tratando de que los bancos se autorregularan, pero no lo hicieron hasta que se impuso la regulación".

Luchando contra la botnet Mirai

Las interrupciones de la red en América del Norte el viernes pasado fueron causadas, al menos en parte, por ataques distribuidos de denegación de servicio (DDoS) lanzados por el Botnet Mirai. Eso es una agregación de miles de DVR y cámaras en red, infectadas y controladas por personas desconocidas, que fue dirigido a bombardear los servidores del sistema de nombres de dominio (DNS) con una avalancha de solicitudes inútiles que abrumaban a los servidores en Viernes.

En agosto, la botnet Mirai fue responsable de uno de los ataques DDoS más grandes jamás registrados. Desde entonces, el código fuente de Mirai se ha hecho público, con el resultado de que cualquier delincuente en línea medio habilidoso puede usarlo para infectar aún más dispositivos IoT y crear más botnets.

El malware Mirai funciona porque muchos dispositivos de IoT tienen los mismos nombres de usuario administrativos y contraseñas predeterminados. Los consumidores rara vez cambian esas credenciales; en muchos casos, ni siquiera se le dice al consumidor que existen o que se pueden cambiar. Mirai escanea Internet en busca de dichos dispositivos y prueba las credenciales de administrador en cada uno que encuentra, luego reconfigura los dispositivos vulnerables para que formen parte de su botnet.

Cómo proteger los dispositivos

El problema de las credenciales predeterminadas no se limita a los DVR y las cámaras. Millones de enrutadores Wi-Fi domésticos, la puerta de entrada literal a Internet para la mayoría de los usuarios domésticos, todavía usan credenciales predeterminadas, lo que expone a sus usuarios a ataques.

Millones de cerraduras inteligentes, bandas de fitness, refrigeradores inteligentes y otros dispositivos tienen el mismo problema, algunos de ellos incluso transmiten sus contraseñas de Wi-Fi al aire libre para que cualquiera las intercepte. Ni el mejor software antivirus, ni el el mejor software antivirus para Mac ni el las mejores aplicaciones antivirus de Android podrá protegerte.

"Si se puede tomar el control de su cámara web para atacar una nación, ¿qué tal si se puede usar esa misma técnica para ¿espiar a sus hijos? ", preguntó Andrew Lee, director ejecutivo de la división norteamericana del fabricante de antivirus eslovaco. ESET. "¿Qué pasa si el timbre filtra la contraseña de tu red Wi-Fi? El volumen de datos que estas cosas comparten y recopilan sin ninguna interferencia humana puede crear una gran superficie de ataque ".

"Yo lo llamo Internet of Me", dijo Michael Kaiser, director ejecutivo de National Cyber ​​Security Alliance. "Para que estos dispositivos funcionen realmente, necesitan saber mucho sobre usted. Para que su termostato inteligente funcione, necesita saber cuándo llega a casa ".

"Necesitamos comenzar a bloquear estos dispositivos cambiando las contraseñas predeterminadas". - Andrew Lee, ESET

Pero incluso entonces, los expertos no lograron ponerse de acuerdo sobre cómo proteger los dispositivos. Lee argumentó que los consumidores debían ser educados para cambiar las credenciales administrativas tan pronto como cada dispositivo inteligente para el hogar salga de la caja.

"Necesitamos comenzar a bloquear estos dispositivos cambiando las contraseñas predeterminadas", dijo Lee. "¿Cómo les enseñamos a las personas que necesitamos cambiar las contraseñas en estos dispositivos tan pronto como los enciendes?"

Nassar dio a entender que los fabricantes deberían asumir la carga.

"Con la marca viene la responsabilidad", dijo. "Hay un problema de responsabilidad. Necesitas tener reglas mínimas y un nivel mínimo de seguridad... si lo construye desde el principio teniendo en cuenta la seguridad, la seguridad se convierte en un motor de negocio ".

"Si lo construye desde el principio pensando en la seguridad, la seguridad se convierte en un motor de negocio". - Sami Nassar, NXP Semiconductors

Diswani abogó por el establecimiento de organizaciones de terceros, similares a Underwriters Laboratories, que certificarían los dispositivos de Internet de las cosas como seguros de usar. (El famoso hacker Peiter "Mudge" Zatko y su esposa Sarah Zatko han creado tal organización).

"Poner insignias en las cosas puede ayudar con las comunicaciones de los consumidores", dijo Diswani.

En respuesta, un miembro de la audiencia preguntó: "¿Cuántas personas están buscando ese sello UL en la parte inferior del dispositivo?"

"No muchos", respondió Kaiser.

"Esto no se terminará mañana y no se terminará el próximo año", dijo Cook, y agregó en un eufemismo, "IoT tiene algunos desafíos muy específicos".

  • Cómo podría matarte Internet de las cosas
  • Los mejores gadgets inteligentes para el hogar
  • Cómo los dispositivos inteligentes dejan entrar a los ciberdelincuentes a su hogar