La irrupción del Internet de los Objetos (IoT en sus siglas en inglés) ha incrementado el número de dispositivos que están conectados a través de Internet. Así, la “nube” hoy en día no sólo está formada por una enorme red de ordenadores y sistemas informáticos interconectados, sino también por una multitud de dispositivos que constituyen la IoT, tales como sensores industriales, electrodomésticos inteligentes, equipos domóticos o dispositivos smartcity, entre otros. Todo este vasto conjunto de elementos puede ser utilizado, como veremos a continuación, para lanzar ciberataques contra cualquier tipo de organización. Según Gartner, el IoT alcanzará los 20.000 millones de dispositivos en 2020, todos ellos susceptibles de ser “secuestrados” por el cibercrimen. La magnitud de esta cifra justifica la preocupación de empresas e instituciones y la necesidad que éstas se preparen para hacer frente a potenciales ciberataques que puedan incluir objetos conectados a Internet.
Hasta hace poco, los hackers eran capaces de apoderarse maliciosamente de redes con centenares de ordenadores interconectados y programar un ataque contra la infraestructura informática de cualquier tipo de organización, con el objeto de impedir su operativa habitual, colapsarla y, a la vez, dañar su reputación. Para ello los cibercriminales instruían a estos ordenadores para conectarse en un determinado instante, y de forma simultánea, al sistema informático objeto del ataque para provocar su caída. Ahora, con la irrupción del IoT, además de apoderarse de esas redes de ordenadores, los hackers pueden “secuestrar” un sinfín de dispositivos conectados a Internet, como termostatos, relojes inteligentes, webcams, enrutadores, reproductores multimedia o electrodomésticos inteligentes, y programar ataques mucho más dañinos. Para urdirlos, identifican dispositivos IoT fácilmente vulnerables a fin de tomar su control usando, por ejemplo, usuario y contraseña por defecto. Para ello, se sirven de herramientas especializadas a través de los buscadores de Internet, donde encuentran modelos de dispositivos concretos que presentan fallos de seguridad. Un ejemplo ilustrativo es el ataque lanzado el 21 de octubre de 2016, conocido como Mirai. Ese día, la empresa Dyn DNS, proveedora de servicios de Internet, sufrió un ataque de denegación de servicio o DDoS, (según las siglas en inglés de Distributed Denial of Service) producido por la botnet Mirai que, entre sus elementos de ataque, utilizó dispositivos IoT. El colapso de Dyn DNS afectó a sus clientes, empresas tan conocidas como PayPal, Twitter, GitHub, Amazon, Netflix o Spotify, quedando por unas horas fuera se servicio, con un grave impacto a nivel mundial.
Las consecuencias del ciberataque sufrido por Dyn DNS, probablemente el primero en que se emplearon dispositivos IoT, indican la necesidad de buscar soluciones preventivas que permitan detectar y mitigar estos tipos de acciones. De hecho, la denegación de servicio ha sido, es y seguirá siendo un quebradero de cabeza por su complejidad y constante evolución. Por un lado, universidades, centros de investigación y empresas de seguridad informática buscan métodos de detección y mitigación para prevenir y contrarrestar esta modalidad de ataque, conscientes que en el bando de los “malos” se encuentran auténticos especialistas con profundos conocimientos informáticos y de redes de comunicación.
Si bien los ataques por denegación de servicio se cuentan entre los más dañinos, la creatividad de los hackers no tiene límites y constantemente diseñan y desarrollan nuevas modalidades de ataque o mejoran las existentes. Los ataques ransomware (encriptación maliciosa de la memoria de un ordenador exigiendo el pago de un “rescate” para su desencriptación), las amenazas persistentes (SW malicioso, difícil de detectar, que se instala en un ordenador y produce efectos dañinos de manera aleatoria durante un espacio de tiempo prolongado) o los ataques a infraestructuras críticas, por citar sólo algunos ejemplos, empiezan a ser conocidos y a estar presentes en los medios de comunicación con bastante asiduidad, debido al impacto mediático y social de sus efectos.
Frente a las amenazas de ciberseguridad no queda más remedio que adoptar medidas de prevención que, básicamente, se reducen en dos. En primer lugar aplicar el concepto de security by design. Es decir, cualquier implantación informática, dispositivo o sistema conectado a la red debe ser concebido desde un principio pensando en las potenciales vulnerabilidades de ciberseguridad que pueda tener con el fin de eliminarlas con un correcto diseño. En segundo lugar es muy importante la concienciación por parte de los usuarios de los riesgos de ciberseguridad existentes. Ello implica extremar la precaución en varios frentes, por ejemplo con los métodos de autenticación (siendo cuidadosos con las palabras clave), con la gestión del correo electrónico (no abrir mensajes con adjuntos desconocidos) o con el uso de dispositivos (por ejemplo USB no confiables que podrían infectar nuestro ordenador con código malicioso), entre otros.
