La tostadora falsa que demuestra la inseguridad del Internet de las Cosas

Share this…

El Internet de las Cosas, IoT para los amigos, ha demostrado ser un agujero negro de inseguridad. Seguro que muchos os acordáis de Mirai, aquel malware del Internet de las cosas que demostró que el Internet de las Cosas puede ser hackeada por amateurs en media hora. Y, con su código fuente publicado, los ataques sólo podían ir en aumento.

Seguro que también os acordáis de aquel ataque que tumbó a Twitter, Spotify y WhatsApp, entre muchos otros. Las redes zombie del Internet de las Cosas ya son una realidad. No son exclusivas de los ordenadores. Y el Internet de las Cosas es tan inseguro que tus bombillas pueden ser hackeadas en apenas media hora. Sin que tú tengas que hacer nada.

El experimento de la tostadora insegura

internet-de-las-cosas

Andrew McGill, editor en The Atlantic, ha montado un experimento curioso para averiguar cómo es hackeado el Internet de las Cosas. Ha cogido un pequeño servidor de Amazon, lo ha montado de tal forma que parezca una tostadora con conexión a Internet insegura, y lo ha dejado conectado a Internet sin más. Es lo que solemos llamar ‘Honeypot’: una trampa para que los hackers piquen y veamos sus trucos.

El caso es que Andrew esperaba que el primer ataque no se produjese en días o semanas. Y se equivocó, porque su “tostadora” recibió el primer ataque a los 40 minutos. El primer ataque fue intentar entrar con un usuario y contraseña típicos, ‘root/root’, y ejecutar sh para instalar sus propios programas. Después de eso, y a lo largo de un día, la tostadora fue hackeada más de 300 veces.

hackeo-tostadora-internet-de-las-cosas

Obviamente, todo esto no lo hace un hacker tras una pantalla. Se tratan de bots que hacen todo el trabajo sucio. Escanean Internet buscando dispositivos vulnerables, prueban con esta base de contraseñas comunes, y se hacen con el control del dispositivo. Los hackers que han programado estos bots sólo tienen que esperar, y dar órdenes a su ‘red zombie’ cuando les apetezca.

Esto es más peligroso que nunca ahora, porque es ahora cuando cualquiera puede escanear todo Internet en una hora. Estar escondidos en un mar de direcciones IP es una falsa sensación de seguridad, porque esos bots programados por hackers terminarán llegando hasta tu cosa con Internet tarde o temprano.

La carrera por poner Internet en cualquier parte va mal

internet-de-las-cosas-seguridad

El problema viene a ser la carrera en la que nos hemos metido. Estamos metidos de lleno en una obsesión por poner Internet en cualquier parte. Tostadores, neveras, cámaras de vigilancia, básculas, lavadoras, bombillas… hasta en los equipos médicos de los hospitales. Y hemos estado corriendo mucho a la hora de integrar la red con ellos. Pero nadie se ha parado a pensar en la seguridad.

La mejor demostración de esto es que los ataques se hacen sólo a dispositivos inseguros. Estos bots tienen una lista de usuarios y contraseñas que el Internet de las Cosas suele tener. Por ejemplo, 1234, root, o admin. Así es como ganan acceso y montan una red colosal de zombies. Gracias a dispositivos que no tienen apenas seguridad para impedir accesos.

Y los usuarios no tienen la culpa de esto, o no deberían tenerla. La culpa es de los fabricantes por no saber proteger sus dispositivos. O por no dar la posibilidad sencilla a los usuarios de protegerlos ellos mismos. Aunque piezas como el firewall de tu router ya te protegen de la mayoría de los ataques, los fabricantes tienen que tomar medidas ya para evitar que esto siga expandiéndose.

En cualquier caso, estos ataques de los que hablamos serán más y más comunes según avance el Internet de las Cosas. Y ser una gota de agua más en el océano que supone Internet no te protegerá de nada.

Fuente:https://www.omicrono.com/