Vince Steckler mostró las amenazas del Internet de las Cosas en el Mobile World Congress y habló sobre la importancia de proteger los dispositivos..
Ayer, nuestro CEO, Vince Steckler, subió al escenario del Mobile World Congress para hablar sobre las amenazas actuales enfocadas a los dispositivos del Internet de las Cosas (IoT), sobre cómo se ven afectados los usuarios y sobre cómo la industria necesita unirse para proteger estos dispositivos.
Consigo en el escenario, había una router, una webcam, una cafetera inteligente y una tetera inteligente. Realizó un ciberataque en directo para mostrar que los dispositivos no estaban protegidos.
El futuro del Internet de las Cosas
Vince empezó la conferencia hablando sobre el mundo conectado, donde la mayoría de nosotros utilizamos dispositivos del Internet de las Cosas para nuestras tareas del día a día, como contar nuestros pasos con nuestro Smart watch o controlar la temperatura de nuestra casa. A medida que incorporamos más dispositivos inteligentes a nuestro día a día, el número de dispositivos presentes en casa va a crecer exponencialmente durante los próximos años.
Los expertos del sector predicen este crecimiento en términos no inciertos. Juniper Research cree que el número de dispositivos del Internet de las Cosas crecerá un 285% en 2020, lo que significa que podrían haber 38.5 billones de dispositivos conectados en el mundo en tres años. Vince formuló la pregunta clave: ¿Es la seguridad algo importante para los dispositivos del Internet de las Cosas?
Los dispositivos del Internet de las Cosas son muy tentadores para los hackers
Muchos dispositivos inteligentes, si no todos, que tenemos en casa están conectados al router. Utilizando nuestra característica Wi-Fi Inspector, investigamos el estado de los routers de los usuarios de Avast y nos dimos cuenta de que casi el 41% de los usuarios de Avast tienen un router vulnerable, ya sea a causa de una contraseña débil o por ser una red abierta. Vince remarcó que esto ilustra cómo los router son vulnerables, lo que también pone en peligro a los dispositivos del Internet de las Cosas conectados al router.
Vince realizó la siguiente pregunta: ¿Qué tan segura es Barcelona? Avast llevó a cabo una investigación utilizando Shodan.io antes del Mobile World Congress para investigar qué tan seguros son los dispositivos del Internet de las Cosas en Barcelona y España. Encontramos 493.000 dispositivos vulnerables en Barcelona y 5,3 millones en el total de España. Esto de desglosa en 150.000 webcams hackeables en España, 22.000 de ellas en Barcelona. En toda España, detectamos 79.000 cafeteras y teteras inteligentes vulnerables a ataques.
Para presentar estos impactantes datos, Vince invitó a subir al escenario a nuestro Investigador de Inteligencia de Amenazas, Filip Chytry, para ayudarle a mostrar a la audiencia algunas de las amenazas actuales que se centran en estos dispositivos inseguros conectados, realizando un ataque en directo a los dispositivos situado en el escenario.
Filip empezó infectando la webcam mediante código utilizado por la botnet Mirai, que el año pasado afectó a sitios populares como Twitter y Reedit. Posteriormente, Filip infectó la tetera con el malware Mirai y lo utilizó para hacer que la tetera hirviera agua. Luego infectó la cafetera y, como la tetera, hizo que la cafetera empezara a hacer café.
Qué implican las amenazas del Internet de las Cosas para los consumidores
Vince hizo referencia a las implicaciones que estas amenazas tienen para los consumidores y qué sería lo peor que podría pasar. Muchos consumidores no se preocupan por cambiar la contraseña por defecto o por ajustar las especificaciones de sus routers desde su instalación. Las webcams y otros dispositivos conectados se venden sin seguridad incorporada y aunque estos dispositivos sean vulnerables, ¿a cuántos se nos pasaría por la cabeza actualizar el firmware de la nevera, por ejemplo?
Aparte de que a un hacker le parezca malicioso compartir imágenes tomadas por una webcam, muchos de nosotros no vemos cual es el problema. Sin embargo, debemos considerar que, como ciudadanos conectados, todos somos responsables de proteger nuestros dispositivos, no sólo para protegernos a nosotros mismos, también para proteger a los demás. Esto es especialmente cierto si tenemos en cuenta el número de dispositivos conectados que entrarán en nuestras vidas en los próximos años y el daño potencial que pueden hacer los hackers que abusen de estos dispositivos que, cada vez más, incorporarán más información personal.
Uniendo a la industria para proteger el Internet de las Cosas
Vince propuso tres simples pasos sobre cómo la industria puede unirse para proteger el IoT y así evitar futuros ataques.
Primero, debemos hacer que los dispositivos y sensores conectados sean seguros “de fábrica”. A nivel práctico, la industria puede proteger la puerta de enlace y seguir mejorando las tasas de detección. Si pensamos poner la seguridad en primer lugar, ésta debe ser implementada desde el comienzo, añadiéndola en la fase de diseño, planeando los niveles de protección necesarios, en lugar de verlo como algo que estaría bien tener.
Segundo, todo el mundo en la industria debe de dar un paso adelante. La mayoría de los usuarios ni siquiera son conscientes de que existe un problema y mucho menos cuál sería la solución. Mientras que la mayoría de fabricantes buscan reducir costes, crear márgenes y entregar los pedidos rápidamente, los costes reales de no incorporar seguridad deben ser considerados.
Tercero, Vince explicó que la industria no puede esperar que los usuarios sepan qué hacer. La seguridad es complicada incluso cuando se hace sencilla, dado que la tecnología avanza muy rápidamente. La industria debe buscar un modo de ayudar a los usuarios a educarse en la responsabilidad que tienen en sus propias casas y familias y también deben educar a la gran comunidad conectada para que protejan sus conexiones. La industria necesita devolver el control a los usuarios y hacer que sea sencillo para ellos entender qué dispositivos deben proteger y cómo hacerlo.
¿Qué es lo siguiente en la seguridad del Internet de las Cosas?
Resumiendo su presentación, Vince propuso que los miembros de la industria, incluyendo a Avast, deberían colaborar para poner tres cosas en su sitio:
- Estándares de desarrollo abiertos – un marco de reglas generales de seguridad que toda la industria pueda respaldar.
- Un marco para colaboración entre industrias.
- Responsabilidad acordada – un compromiso de hacer controles de seguridad, sin importar si se trata de hardware o software, para cualquier cosa que se conecte a Internet.
Vince concluyó diciendo que no hay una simple solución a este problema que se agrava con el tiempo, pero la oportunidad pasa por centrarse en la seguridad del Internet de las Cosas en lugar de dejarlo hasta que problemas más serios vean la luz.