Llegamos a ustedes gracias a:



Reportajes y análisis

Sin lugar para esconderse

9 nuevos hacks vienen por usted

[05/04/2017] Desde el punto de vista de la seguridad, la Internet de las cosas (IoT, por sus siglas en inglés) va tan mal como la mayoría de los expertos en seguridad informática predice. De hecho, la mayoría de los proveedores no aprecian completamente las amenazas potenciales que plantean los dispositivos IoT. Cualquier cosa conectada con la Internet y un código en ejecución puede ser tomada para los propósitos malévolos.

Dada la aceleración de la proliferación de dispositivos conectados a Internet, podríamos estar lanzándonos hacia la catástrofe. Las cámaras de seguridad personales, por ejemplo, están siendo utilizadas para llevar a cabo los mayores ataques de denegación de servicio que el mundo haya visto, por no hablar de permitir a los extranjeros espiar a las mismas personas que se supone que las cámaras deben proteger.

Peor aún, con los dispositivos IoT, las vulnerabilidades pueden tener consecuencias mucho más allá del ámbito digital. La próxima ola de ataques de IoT incluye aquellos que podrían dañar o matar a personas. Esto no es hipotético. Estoy hablando de ataques reales que ya son posibles hoy en día. Y nadie ha hecho nada para hacer menos probable que sucedan estos ataques.

A continuación, hay nueve hacks de la próxima ola que podrían estar llegando a usted pronto.

Su monitor cardíaco será hackeado

Los hackers saben desde hace mucho tiempo que pueden interrumpir casi cualquier dispositivo médico que tiene software de escritura, funciona de forma inalámbrica o se conecta a Internet. Los informáticos y los hackers han explotado los marcapasos cardíacos, los monitores del corazón, dispositivos de goteo IV, dispensadores de medicamentos y maquinaria de diagnóstico, todos los cuales tienen el potencial de matar al paciente. Estas amenazas llaman nuestra atención con frecuencia.

Pero no es como si los vendedores de tecnología médica no estén preocupados por las vulnerabilidades y los hackers. Los nuevos dispositivos médicos toman hasta 10 años en crearse, probarse y ser aprobados. Los fabricantes estadounidenses de dispositivos médicos deben seguir las directrices y las leyes de casi una docena de organismos reguladores que se superponen, incluyendo la FDA, la FCC y el Departamento de Salud y Servicios Humanos. Por otra parte, los fabricantes de dispositivos médicos específicamente evitan el uso del último y mejor software. Al ralentizar el proceso y utilizar un software más antiguo, más probado y estable, los fabricantes sienten que pueden eliminar mejor los posibles problemas antes de que sus dispositivos sean lanzados al público en general.

A pesar de todo esto, los dispositivos médicos no están ni siquiera cerca de ser a prueba de hackeos. Ha habido cientos de retiros de dispositivos médicos en la última década, un gran porcentaje de los cuales se debe a cuestiones de ciberseguridad.

Irónicamente, el lento proceso de investigación y las regulaciones que rodean a los dispositivos médicos pueden ser su destrucción. El software y el código no se pueden actualizar significativamente una vez que se introduce en el ciclo de revisión y se lanza al público. Como resultado, los dispositivos médicos siempre están utilizando tecnología muy antigua en el momento en que están en funcionamiento. Ninguno puede aprovechar los últimos avances en defensa de la seguridad informática; peor aún, a menudo contienen vulnerabilidades comúnmente conocidas que se eliminaron de las computadoras generales hace muchos años. Cuando me pagan para realizar pruebas de penetración en dispositivos médicos, siempre comienzo con ataques que hace mucho tiempo han sido parchados en una computadora promedio. Nunca he dejado esa estrategia de trabajo. Algo aquí tiene que producir. Cuando se trata de dispositivos médicos, hay demasiado en juego para ser fácil de hackear.

Su automóvil estará fuera de control

Hoy en día los fabricantes de automóviles son tan propensos a anunciar las nuevas características cibernéticas que han puesto en sus autos, como son el motor, el rendimiento y el estilo de los propios vehículos. Si es atrapado con menos características que sus competidores perderá cada comprador milenial, parece ser la idea.

El problema es que los autos ahora pueden ser abiertos remotamente, pueden ser apagados, y pueden recibir instrucciones de cómo estrellarse sin control. Y solo recientemente los fabricantes de automóviles han comenzado a concentrarse en asegurar firmemente esos sistemas. La mayoría de los expertos involucrados me dicen que estamos lejos de ser capaces de decir que los automóviles son "inalterables". Como un experto en seguridad de autos me dijo: "No hemos podido asegurar las computadoras después de intentarlo durante más de tres décadas, ¿por qué crees que tendremos éxito con los carros?

Buena pregunta. Sin embargo, muchos dentro de la industria automotriz dicen que asegurar completamente el sistema entero de un automóvil contra hackers, no es ni siquiera el objetivo principal. El objetivo más realista es hacer que los sistemas críticos para la vida, como el motor y los frenos, sean impenetrables. "A quién le importa si cambian su canal estéreo y cambian la voz de su GPS? Pero necesitamos absolutamente ser capaces de detener a la gente mala de que haga cualquier cosa que pueda amenazar la vida humana. Y que creo que podemos hacerlo", me dijo un experto en seguridad de autos.

Su casa será vulnerada presionando un botón

Los ladrones están empezando a prestar atención a nuestros hogares conectados. Cualquier dispositivo en su casa, que pueda ser controlado a través de una red o inalámbricamente, también puede ser controlado por un hacker. Las cerraduras de las puertas principales ahora se pueden abrir de forma remota, las alarmas pueden ser desactivadas, las puertas de las cocheras pueden ser abiertas, y los termostatos pueden ser manipulados. Incluso los refrigeradores ya han sido hackeados para enviar spam.

A medida que las casas conectadas se vuelven más populares, puede esperar que los ladrones se aprovechen. ¿Por qué romper una ventana cuando se puede presionar un botón y desbloquear la puerta delantera o del garaje? Los delincuentes tradicionales demuestran ser bastante adeptos a adoptar métodos de menor riesgo, especialmente cuando se considera que las casas que contienen dispositivos inteligentes, son más propensas a tener cosas caras para robar. Personalmente, creo que es un poco temprano para que alguien pueda confiar en la seguridad de su hogar a cualquiera de las cerraduras electrónicas de hoy en día, hasta que se entere que los fabricantes están haciendo un trabajo mucho mejor para asegurarlos de lo que actualmente son.

Sus vacaciones serán robadas (o fraudulentas)

Bob y Leona Williams llegaron al alojamiento de vacaciones que alquilaron en Key West, cansados después de un largo día de conducir. Habían firmado un contrato de alquiler, y las llaves de la casa les habían sido enviadas por correo durante la noche, poco antes de que hicieran la transferencia del dinero. Pero cuando llegaron, la llave no funcionó. Llamaron a la puerta.

Poco después, Amanda Ternoff abrió la puerta. Ella sabía por el auto cargado de equipaje detrás de sus nuevos huéspedes lo que había sucedido. Alguien había "alquilado falsamente" su casa otra vez. Esta vez fue capaz de decirle a los turistas estafados lo que había sucedido, y les dio el número de teléfono del comisario del condado de Monroe. El resultado fue mejor que la última vez, cuando Amanda volvió a casa después de tomar unas vacaciones y encontró una familia cubana de fiesta en su santuario de la piscina del patio trasero.

Sucede cientos de veces al día. Una familia de vacaciones en busca de diversión llega a su casa de vacaciones de ensueño, solo para encontrar que no se trató de un alquiler y que se quedaron sin el dinero. A veces, estos estafadores de vacaciones falsas tienen sitios web enteros dedicados al esquema y responden con acuerdos y procedimientos de alquiler oficiales. Otras parejas han llegado a las vacaciones de su vida, y a continuación, descubrieron que otra pareja había llegado una semana antes y utilizó todos los viajes y entretenimientos por los que habían pagado. La aparición floreciente de sitios personales de alquiler de lugares como Airbnb, combinados con sitios tradicionales de tipo Craigslist, facilitan estas situaciones.

Los expertos dicen que utilice sitios web que tienen salvaguardias para evitar estafas de alquileres falsos, y que esté especialmente alerta de cualquiera que solicite una transferencia en lugar de utilizar una tarjeta de crédito. Otros sitios antiestafa recomiendan confirmar el alquiler en persona antes de pagar, aunque algunos estafadores realmente trabajan para compañías de alquiler legítimas y cuentan con las respectivas credenciales.

Su televisor será "petrificado para secuestrar archivos

Nuestros televisores son cada vez más inteligentes. Ahora puedo ver cable, Netflix, Amazon, Hulu y YouTube, así como navegar por Internet, todo usando el mando a distancia de mi TV. Pero a medida que nuestros televisores inteligentes se convierten en computadoras de pantalla grande, traen consigo el riesgo inherente de malware e intrusos. De hecho, por lo menos un televisor ya ha sido "petrificado. "Petrificado" (Brick) es un término que indica que el estado de un dispositivo informático es tan maligno que no funcionará sin al menos una nueva escritura de firmware, y las escrituras de firmware pueden ser difíciles o imposibles de ejecutar para alguien fuera de la planta de fabricación.

El conocido fabricante de antimalware TrendMicro advirtió el año pasado acerca de ransomware que puede petrificar televisores.Ransomware es un programa malicioso que encripta sus datos y pide dinero para desbloquearlos. En poco más de un mes TrendMicro detectó más de siete mil variantes del programa de ransomware único que encontraron. Por suerte, este programa de malware en particular solo puede infectar un tipo específico de televisor inteligente más antiguo, ahora descontinuado. Pero, sin duda, ésta es solo la primera ola. Los creadores de malware codificarán más ataques específicos para televisores. Es posible que no esté dispuesto a pagar 500 dólares para desbloquear el portátil de mi empresa, pero si me quitaran mi sistema de entretenimiento en casa, podría estar dispuesto a pagar rápidamente.

Su teléfono móvil será "doxeado

Si piensa que el ransomware es terrible, los creadores de malware han hecho algo mayor con el doxware. Bautizado después de la actividad de hackers conocida como doxing, el doxware bloqueará su computadora o teléfono móvil y amenazará con liberar sus documentos confidenciales o chats al mundo. ¿Cree que el flirteo es un secreto? Cuidado con el doxware. ¿No quiere que la propiedad intelectual de su empresa sea revelada a sus competidores? Mejor pague.

Los hackers han aprendido que las copias de seguridad regulares fuera de línea pueden derrotar el ataque del ransomware, pero la amenaza de exponer información embarazosa o confidencial -parafraseando al comercial de una conocida tarjeta de crédito- no tiene precio.

Sus dispositivos atacarán a otras personas

Los hackers están sumando entre cientos de miles y millones de dispositivos de usuarios a botnets para llevar a cabo sus misiones maliciosas. Cámaras de seguridad y dispositivos IoT se utilizan para enviar spam, para realizar ataques masivos de denegación de servicio y para robar moneda digital. Los hackers logran esto usando robots diseñados especialmente que buscan y comprometen dispositivos IoT predefinidos. Aquí, el niño del cartel es Mirai, un bot basado en Linux que apareció a principios del 2016. Su código fuente fue lanzado en octubre del 2016, y fue inmediatamente reutilizado por muchas otras bandas criminales.

Mirai intenta iniciar sesión en dispositivos IoT vulnerables utilizando Telnet (puerto TCP 23) y una lista de contraseñas muy débiles ("admin", "12345", "password"). Si tiene éxito, intenta deshabilitar otros métodos de inicio de sesión de administración remota (SSH, HTTP, etc.) y, a continuación, intenta conectarse a sus servidores de comando y control para obtener sus próximas instrucciones y objetivos. Los investigadores han encontrado millones de dispositivos potencialmente vulnerables. La gente no sabe que sus routers inalámbricos, cámaras de Internet y refrigeradores están siendo utilizados para atacar a otras personas. Todo el usuario promedio puede notar algo de lentitud en su propio dispositivo, y ¿quién culparía a un bot IoT cuando la lentitud es normal en el mundo de la computadora?

Los robots de IoT se están convirtiendo en el nuevo tipo de malware de moda, como el ransomware lo fue antes, y los virus de correo electrónico mucho antes. El problema se está volviendo tan malo, tan rápido, que muchas agencias gubernamentales en todo el mundo están desplegando investigaciones. Seguramente se verán nuevas leyes de fabricación de IoT y regulaciones a seguir en el 2017. Lamentable y literalmente, cientos de millones de dispositivos de IoT ya estaban codificados antes de que conociéramos las botnets de IoT, y están esperando a ser explotados.

Su identidad biométrica estará a la venta

Las contraseñas se están convirtiendo rápidamente en persona non grata, siendo rápidamente reemplazadas por autenticación de dos factores y biométrica. Muchas personas piensan que las identidades biométricas son la mejor solución; después de todo, ¿quién puede falsificar su exploración de retina? Pues resulta que mucha gente puede. La mayoría de los usuarios no se dan cuenta de que su identidad biométrica se almacena como un archivo digital. A veces, esa identidad biométrica se almacena exactamente como es (es decir, las impresiones de huellas digitales se almacenan con la apariencia exacta de sus huellas dactilares). Más a menudo, su identidad biométrica se almacena como una forma intermedia representada. Por ejemplo, la mayoría de las huellas dactilares digitales se almacenan como algo que semeja una constelación de estrellas, con líneas mapeadas entre cada borde y valor.

De cualquier manera, ya que su identidad biométrica se almacena para que se pueda acceder a ella para la autenticación futura, los hackers pueden robarla tan fácilmente como pueden robar su contraseña. Y pueden reciclar su identidad biométrica de cualquier sistema donde lo utilizó previamente. La única diferencia es que, si su contraseña está comprometida, puede cambiarla, pero no puede cambiar la impresión de su retina (todavía). Cuando su identidad biométrica es robada, esencialmente su identidad es robada por el resto de su existencia.

Esto se convierte en un gran problema, especialmente cuando se roban grandes bases de datos biométricas, como en el caso de la Oficina de Administración Personal de los Estados Unidos en el 2015, donde se robaron más de cinco millones de huellas digitales. Conozco personas cuyas huellas digitales fueron tomadas en los años 1990 quienes recibieron una carta del gobierno haciéndoles saber que sus huellas habían sido robadas.

La base de datos de huellas digitales más grande del mundo, el Sistema Integrado Automatizado de Identificación de Huellas Digitales del FBI (IAFIS), contiene al menos 70 millones de huellas dactilares. Decenas de miles de sitios y cientos de miles de computadoras tienen acceso a esos archivos. ¿Cuáles son las probabilidades de que ninguna entidad no autorizada no haya obtenido acceso al IAFIS y haya copiado todo? Yo diría que son las mismas probabilidades de que cada dispositivo IoT sea perfectamente seguro. Dado que el futuro de la autenticación es de dos factores, con la biometría desempeñando un papel enorme, es probable que su marcador biométrico se venderá exactamente, como la información de su tarjeta de crédito se vende hoy en día, a menudo y barato.

Por esta razón, la mayoría de los expertos en seguridad informática piensan que todos los esquemas de autenticación biométrica deben requerir al menos otro factor de autenticación, para que su marcador biométrico por sí solo no se pueda utilizar para acceder a información confidencial. El hacker puede tener su exploración de retina, pero esperemos que no tengan el número PIN almacenado en su cabeza.

Su hijo (con chip) será secuestrado

Esto aún no ha sucedido. Nadie está poniendo dispositivos de rastreo GPS en sus hijos, todavía. Sin embargo, ya estamos colocando chips en nuestras mascotas, y ciertamente un día el mundo aceptará colocar chips en nuestros hijos como un mal necesario. De hecho, algunas personas muy inteligentes ya están preguntándose si ya podría ser el momento de hacerlo.

Pero ser capaz de rastrear a su hijo con un chip GPS tiene la consecuencia no deseada de permitir que otros lo sigan. Estoy seguro de que los funcionarios gubernamentales y los fabricantes de chips nos dirán cuán seguros y seguros serán estos chips, ya que a los pacientes médicos se les ha dicho lo mismo durante décadas sobre los dispositivos médicos. Sin embargo, cuando colocar chips a los niños se convierta algo estándar, los ladrones utilizarán las mismas tecnologías para llevarse a los niños. Y al igual que el delincuente promedio hoy sabe tirar el móvil de su víctima para evitar el seguimiento de la policía, el delincuente informado del mañana eliminará esa pieza de seguimiento. Es simplemente una cuestión de tiempo.

Por otra parte, tal vez podamos evitar este futuro desagradable al negarnos desde el principio a entrar en él voluntariamente.

De cualquier manera, está claro que nuestro mundo está cada vez más conectado, y los proveedores que suministran dispositivos digitales no están haciendo lo suficiente para protegerlos. Al igual que ahora, frente a los ataques criminales de APT y el ransomware, los expertos en seguridad informática añoran los viejos tiempos de los virus graciosos y los que ejecutaban macros. Quizás todos añoremos los viejos tiempos en que las computadoras eran solo objetos para ser explotados.