James Lyne: «El ataque terrorista a una infraestructura clave es algo muy real»
El gurú sobre seguridad y cibercrimen demuestra cómo con una aplicación maliciosa, disponible de forma gratuita en internet para cualquiera, es suficiente para hackear un dispositivo Android
Durante el Mobile World Congress en Barcelona de la semana pasada pudimos ver cómo el internet de las cosas está ya aquí, cómo las ciudades y los dispositivos conectados permanentemente a internet, son ya una realidad.
James Lyne, un gurú sobre seguridad y cibercrimen, frecuente en las famosas charlas del TED, nos habló sobre las vulnerabilidades de nuestros objetos conectados a internet en el stand de «Sophos», empresa conocida por sus soluciones de seguridad.
La entrevista con James fue de lo más práctica, empezamos «hackeando» un dispositivo Android con Android 4.2, Jelly Bean, que sigue siendo la versión más usada del sistema operativo de Google. La forma más sencilla de hacerlo, según James, es instalarse una aplicación maliciosa, algo que es mucho más fácil de lo que parece. Un mail con un enlace, una mala elección en Google Play, y ya está hecho. Este tipo de aplicaciones te permiten acceder a los archivos, pero también sacar una foto o realizar streaming de la cámara sin que el propietario lo detecte. Hicimos una prueba con James, y efectivamente, abriendo un mail y descargando una aplicación desde una tableta, en menos de cinco minutos, la teníamos bajo nuestro control. Y no se trata de ningún tipo de proceso complicado, tal y como nos indica James, todo el software es «open source» y está disponible de forma gratuita para su descarga en internet, es decir, al alcance de cualquiera.
James: «Las personas tienen un nivel de paranoia diferente en un PC o en dispositivo móvil, suelen ser más conscientes con la seguridad de su PC. Pero cada vez hay más indicativos de que hay que empezar a tener mucho cuidado con los móviles y las tabletas».
Pasamos a una segunda prueba, pero esta vez de «internet de las cosas», una cámara WIFI conectada a internet. Usando una herramienta para probar usuarios y contraseñas del 2005, en unos pocos segundos, estamos dentro y podemos controlar libremente la cámara. Según nos explica James, existen ahora mismo 540.000 de esas cámaras online, muy fácilmente accesibles por cualquiera. La vulnerabilidad, es que permite probar usuario y contraseña infinitas veces, cuando debería rechazar la conexión con un definido número de intentos. Algunas de estas cámaras están instaladas en gasolineras, donde podemos ver número de tarjeta y pin de los clientes. Al preguntarle a James por qué pasa esto, nos cuenta que ocurre básicamente por dos razones, los fabricantes tienen más presión del mercado por sacar nuevas funcionalidades que por invertir en seguridad, y los hackers todavía no han encontrado la manera de sacarle rentabilidad al internet de las cosas, por lo que no hay alarma social.
James:«No es que vaya a pasar, pero la posibilidad de un ataque terrorista en una infraestructura crítica es muy real. Nos hemos encontrado con fábricas con maquinaria volátil conectada a la red, cuyo usuario y contraseña eran UPS».
La seguridad de los objetos conectados a la red, es cierto, que es muy deficiente. Además, hay una combinación, entre falta de compromiso por los fabricantes y de ignorancia tecnológica de sus usuarios.
Noticias relacionadas
