Amenazas en la Internet “de las cosas”

En todos los debates a los que he asistido sobre las amenazas en un mundo interconectado, siempre he percibido el mismo sesgo:

  • Normalmente, los estudios sobre  ciberamenazas suelen estar financiados por empresas que “viven” de la venta de soluciones de seguridad (antivirus, firewalls…), lo que genera cierto escepticismo (en algunos casos bien fundado, y razonable) sobre su objetividad.
  • También suele ocurrir que los “expertos” que nos dedicamos a estos temas solemos transmitir una cierta visión apocalíptica/catastrofista fruto del sesgo propio de nuestra dedicación a la materia.

Ante esta situación, las personas ajenas al negocio del riesgo y la seguridad se hacen algunas preguntas:

  • ¿Son realmente las ciberamenazas algo preocupante en el futuro inmediato? ¿En que medida podemos esperar que estas cuestiones nos afecten en el futuro?
  • ¿Se trata de exageraciones o hay motivos reales para que estos temas sean objeto de estudio y se tomen medidas tanto por los gobiernos como por las empresas y los ciudadanos?
  • ¿Será tan negro el futuro como pintan los “ciber-agoreros”?

En este breve post  voy a tratar de evitar el sesgo profesional proporcionando algunos datos y hechos que permitan a cada uno sacar sus propias conclusiones, a la vez que conocer más en detalle a que nos referimos con las etiquetas ciberamenazas, cibercrimen, etc…

Del mundo interconectado a la Internet de las cosas

 Los individuos, las empresas y las naciones tenemos una dependencia casi total de  los sistemas y de Internet.  Según datos recientes del Foro Económico Mundial, el 35% de la población mundial está conectada a Internet, lo que supone un 10% por ciento más que hace 10 años. Al final de 2011, cerca de 470 millones de teléfonos inteligentes (smartphones) habían sido vendidos en todo el mundo y la proyección es que para 2015 esta cifra se habrá doblado.  Pero la tendencia más interesante es el rápido crecimiento del llamado “Internet de las cosas”, que implica una red de alta velocidad de comunicaciones, en el que conectan no sólo individuos y servidores, sino todo tipo de dispositivos electrónicos.  En la actualidad, según el FEM, hay 5.000 millones de “cosas” conectadas remotamente y accesibles a través de Internet; desde coches, electrodomésticos de cocina, fotocopiadoras, redes eléctricas, camas de hospital, sistemas de riego agrícolas, estaciones depuradoras de agua, …  La proyección que manejan los analistas es que  en 2020 la cifra ascienda a 31.000 millones de “cosas electrónicas” comunicándose en red.

Todo esto debería traer sin duda grandes beneficios, desde algo tan simple como que nuestra nevera haga por nosotros el pedido on-line de la compra necesaria, hasta la optimización inteligente de recursos escasos como el agua o una red eléctrica mucho más eficiente y sostenible…

La otra cara de la moneda es que si existe conectividad  por Internet desde cualquier dispositivo hacia  infraestructuras críticas para las naciones,  al menos teóricamente sería posible hackear la red y realizar sabotajes de estas infraestructuras.

Son aquí relevantes dos axiomas que nos recuerda el FEM:

  • Cualquier dispositivo que ejecuta un software puede ser manipulado para hacer cosas distintas a aquellas para las que fue diseñado”.
  • “Cualquier dispositivo conectado a una red de comunicaciones puede ser comprometido por un atacante. Muchas veces este ataque no será detectado”.

 Algunos hechos

 Con independencia de la creciente expansión e industrialización del robo de identidad online y los fraudes afectando a los clientes y usuarios de comercio electrónico; en los últimos años han ido trascendiendo a los medios algunos incidentes que marcan la pauta de lo que se verá con más frecuencia en el futuro:

Ataques distribuidos de denegación de servicio (DDoS)

Hemos podido comprobar como movimientos organizados políticamente orientados (Anonymous, Luszec), han intentado con mayor o menor éxito lanzar ataques coordinados  desde miles de ordenadores,  colapsando los servicios web de importantes compañías y entidades  afectando a su capacidad de servicio.  En España son relevantes los recientes ataques contra las webs de BBVA y la SGAE. En Australia, Holanda y Alemania se ha producido ataques contra entidades financieras que han causado pérdidas moderadas y gran relevancia mediática.

Advanced Persistent Threat APT

Además de sabotajes  informáticos de este tipo, hemos  conocido como los sistemas internos de determinadas compañías habían sido infiltrados por programas espía que, durante meses, habían estado robando información secreta de las compañías víctima. Entre los casos más sonados SONY y el gigante de la seguridad RSA, que ha afrontado pérdidas millonarias.

Stuxnet o el preámbulo de la Ciberguerra – Ciberterrorismo

Estados no identificados (¿EEUU, Israel?) desarrollan el troyano Stuxnet,  que, infiltrado en una central Nuclear Iraní, causa considerable pérdidas económicas. Los expertos consideran este ataque como un ensayo  y “aviso a navegantes”. Se considera que países como EEUU, Israel, Francia, Rusia o China están a la vanguardia de la financiación e investigación en este tipo de actividades de Ciberguerra.  Este incidente ha encendido un debate en los medios acerca de los efectos que sobre la población podría tener un ataque de Ciberguerra o Ciberterrorismo afectando a las centrales nucleares de un país.

 Como protegerse…

Una de los hechos más inquietantes es que, aunque los gobiernos y las empresas están empezando a ser conscientes de la amenaza potencial,  existe un consenso amplio entre todos los expertos sobre la no existencia de medidas de seguridad efectivas para prevenir este tipo de amenazas.  Lo que si es seguro, es que será necesario un esfuerzo colectivo de los estados (como ha hecho el G-8) para coordinar esfuerzos y promover proyectos que protejan a la población y al sistema económico.

Mientras tanto, es natural que las empresas del sector de la seguridad y los expertos del ramo exciten el instinto básico del miedo. Para hacer caja, sí, seguro; pero también para crear conciencia y movilizar los recursos necesarios en beneficio de la sociedad.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s