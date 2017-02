Inicio | Columnas Te encuentras en:

¡Ojo, tu heladera puede estar atacando al Pentágono!

Ademar Campos

22.02.2017

Temas aparentemente para iniciados requieren una continuada atención del Parlamento, que en representación del pueblo expresa la soberanía de la Nación.

A mediados de octubre del año pasado la infraestructura de Internet recibió un ataque masivo que provocó -entre otros daños- que los sitios web de Twitter, Spotify, Etsy, GitHub, SoundCloud y Shopify fueran inaccesibles por un largo período. Se conoce cuál fue el procedimiento. Utilizando el pequeño servidor web embebido en más de un millón de cámaras de vigilancia se generó un descomunal tráfico hacia los servidores atacados que no fueron capaces de procesarlos y colapsaron. Los identificadores únicos de cada cámara y los usuarios y contraseñas de fábrica eran públicos y no habían sido modificados en la instalación, lo que hizo sencillo hacerse del control de las cámaras y obligarlas a lanzar peticiones a las direcciones de Internet indicadas por los hackers.

Anteriormente se habían utilizado impresoras corporativas para hacer lo mismo.

Situaciones como la relatada han sido corregidas por el fabricante de las cámaras en versiones posteriores simplemente obligando al instalador a modificar el usuario y la contraseña de fábrica.

A principios de este mes la Comisión Federal de Comercio de EEUU (FTC) multó a la empresa Vizio, fabricante de televisores inteligentes, por recolectar información de los hábitos de los televidentes y venderla luego, sin advertirlo a los propietarios.1



Avanzamos hacia la Internet de las cosas, IOT por las siglas en inglés, en que la mayor parte de la electrónica del hogar estará conectada a Internet para que el usuario la administre y controle.

Para esa etapa habrá por lo menos dos categorías de problemas a resolver:

1 Debilidades en el software embebido en los equipos

Es vox populi en el ambiente informático que el software que a diario se incorpora a todo equipo electrónico, ya sea para controladores industriales para centrales nucleares o heladeras domésticas adolece de carencias de seguridad, que permitiría vulnerarlos y transformarlos en equipos zombies. Los párrafos siguientes, de la revista norteamericana Wiredson muy gráficos e incorporan una nueva dimensión de usuarios: los gobiernos y las agencias de espionaje:

"...según informes de prensa, Endgame2 está desarrollando formas de irrumpir en dispositivos conectados a Internet a través de grietas en su armadura antivirus. Como escuchando a través de un estetoscopio, los "investigadores de vulnerabilidad" utilizan una amplia gama de herramientas digitales para buscar puntos débiles ocultos en programas y sistemas de uso común, tales como Windows e Internet Explorer. Y puesto que nadie más ha descubierto esas grietas invisibles, los fabricantes no han desarrollado parches para ellas. Endgame caza de fallos de seguridad ocultos que están maduros para la explotación."3

..."Según Defense News C4ISR Journal y BloombergBusinessweek, Endgame1 también ofrece a sus clientes de inteligencia, agencias como el Comando Cibernético, la NSA, la CIA y la inteligencia británica un mapa que muestra exactamente la ubicación de sus objetivos. Apodado Serrucho, el mapa muestra la geolocalización y dirección digital de todos los dispositivos conectados a Internet en todo el mundo, proveyendo lo que se llama conciencia de la situación de la red. El cliente ubica una región en el mapa protegido por contraseña ubicado en la web, a continuación, selecciona un país y una ciudad-por ejemplo- Beijing, China. A continuación, el cliente escribe el nombre del organismo objetivo, tal como el Ministerio de Seguridad Pública, Instituto de Investigación N º 3, el cual es responsable de la seguridad informática o sólo introduciendo la dirección, 6 Zhengyi Road. El mapa a continuación muestra qué software se está ejecutando en los equipos dentro de la instalación, el tipo de malware que podría funcionar, y un menú de exploits diseñados a medida que se pueden utilizar para obtener un acceso secreto. Se pueden señalar también dispositivos infectados con malware, como el gusano Conficker, así como las redes que podrían transformarse en botnets y zombies, el equivalente a una puerta trasera abierta".4

2 Inclusión de dispositivos para espionaje masivo en equipamiento electrónico

Hoy sabemos que hay gobiernos que filtran todas las comunicaciones mundiales. Incluso de presidentes de grandes potencias ¿Cómo no dar un voto de confianzaa la multitud de notas de prensa, principalmente norteamericana, detallando cómo equipamiento destinado a gobiernos extranjeros es interceptado al ser expedido y manipulado por agencias de gobierno para embeberle tecnología que les permita acceso irrestricto?

Las mismas empresas tecnológicas norteamericanas que sufrirían esta manipulación han reclamado públicamente contra estas prácticas porque repercuten negativamente en sus ventas ya que otros gobiernos no aceptan sus productos por esa misma razón.

¿Qué hacer?

Los ciber delitos, ejecutados por hackers o por Estados afectan la sociedad entera en la medida que crece exponencialmente la dependencia de Internet. Cada día más información de los ciudadanos está en Internet, desde la Historia Clínica a las finanzas y ni hablar del control de represas, tránsito aéreo, centrales nucleares, defensa, etc. Nada contempla más tan amplios intereses sociales que el Parlamento, que -en el caso de Uruguay- ya en años pasados demostró su preocupación por las amenazas cibernéticas proponiendo en forma unánime la base de una declaración de la 132a Asamblea de la Unión Interparlamentaria Mundial en abril de 2015 en Vietnam.

Los Estados deben ser custodios celosos de la seguridad de la infraestructura crítica y de la información ciudadana, pero asegurando rodear a los especialistas informáticos involucrados en la definición de los requerimientos un adecuado apoyo legislativo. Ya no alcanza con verificar la calidad de las tecnologías específicas, sería ingenuo. Las dimensiones de las amenazas denunciadas, en las que aparecerían involucradas renombradas marcas obliga a reforzar los controles con legislación que exija, por ejemplo, que el comprador pueda auditar determinados módulos del equipamiento. O firmar declaraciones juradas que aseguren que el equipamiento contratado realiza solo las operaciones contempladas en la oferta comercial. Seguramente un amplio debate parlamentario aportará mayor riqueza. Sería deseable no esperar a que aparezca otro Snowden que diga al mundo: "Yo trabajé en la agencia XXXX y soy testigo de cómo se desarmaban los modelos de los equipos ZZZZZ, RRRRR y SSSSS para incorporar un chip que nos daba total control..."

Luz al final del túnel



Las soluciones surgirán de la combinación de tecnología y decisiones políticas. A las medidas ya mencionadas se pueden sumar las herramientas de encriptación de la información y preferencias a otorgar a aquellos dispositivos cuyo software pueda ser auditado o incluso público. En ese sentido Agesic, responsable en Uruguay de la gestión del Gobierno Electrónico ha dado importantes pasos.

Una anécdota uruguaya

Un proveedor informático, extrañado porque el plazo de entrega de equipamiento de determinada marca para instituciones del Estado se excedía regularmente en más de un mes del plazo habitual pudo averiguar que cuando el cliente final era estatal el producto no seguía el flujo logístico convencional. No era entregado al mayorista de Miami, ni al vendedor de plaza, llegaba directamente al cliente final, vía servicios de mensajería, con etiquetas exigiendo que no fuera abierto hasta llegar a la institución estatal de destino...

Es hora de que nos ocupemos, para no encontrarnos un día con las cuentas bancarias vaciadas o con un misil entrando por nuestra ventana buscando la heladera inteligente que, aburrida, estaba atacando al Pentágono.



