Mejorando tu experiencia Netflix: con una inversión en seguridad

El 21 de Octubre de 2016, expertos de seguridad detectaron un ataque masivo a la infraestructura del Internet.

Específicamente, fue un ataque contra la infraestructura de DNS (Domain Name Server), que sirve como la guía telefónica de antaño, y permite que uno pueda escribir www.google.com sin tener que saber que en términos técnicos, la dirección lógica de Google es 216.58.192.68.

El ataque fue posible porque millones de dispositivos como cámaras, impresoras, ruteadores, y videograbadoras digitales (DVRs) fueron diseñados irresponsablemente con una conexión a Internet y contraseñas por defecto que son difíciles o imposibles de actualizar, o que, de plano, los dispositivos son imposibles de configurar.  Esto permitió que hackers pudieran desarrollar programas de malware sofisticados que básicamente reclutan millones de dispositivos y fácilmente los pueden forzar a ser miembros de un ejército de atacantes contra cualquier sitio o servicio.  En este caso, los impactados fueron Twitter, Amazon, Tumblr, Reddit, Spotify y Netflix.

Representación gráfica de las interrupciones causadas por los ataques de hoy contra Dyn, una compañía de infraestructura de Internet. (Fuente Downdetector.com)

Tristemente, este ataque era 100% evitable

La realidad es que este ataque se permitió por que miles de ciudadanos tomaron una pésima decisión en conjunto.  Compraron dispositivos de IoT (Internet de las Cosas, por sus siglas en ingles), sin considerar la seguridad de los dispositivos que conectaban a :la nube”.  Estos dispositivos son tan simples como una cámara de video-vigilancia que compramos para entender que pasa en casa cuando no estamos, o un termostato inteligente que nos permite cambiar la temperatura desde nuestro teléfono inteligente sin tener que caminar los 11 metros al termostato.   Mi interés NO es regañar y castigar como la película de Wall-E.

Pero si les ruego considerar la seguridad de los dispositivos que se conectan a Internet desde sus casas.

Estamos pasando por una etapa coyuntural en el desarrollo de IoT.   La gran mayoría de desarrolladores e emprendedores de IoT buscan generar sinergia con hiper-conectividad de sus dispositivos.  Estamos conectando todo a la nube desde televisores, a termostatos, a pañales.  Toda esta conectividad conlleva una responsabilidad que, desafortunadamente, aún no ha aterrizado en los desarrolladores.   A veces me siento que debería poner un banderín en todas mis interacciones digitales que diga “Conectividad sin seguridad es irresponsabilidad”.

La mezquindad sobre la seguridad

Algunos desarrolladores incluso, por ahorrarse centavos, han creado dispositivos que carecen de suficiente memoria para poder actualizarse, o que tienen contraseñas incluidas por defecto que no permiten cambiarse o actualizarse.   Este es un problema típico de falta de visión, o falta de responsabilidad al desarrollar sus dispositivos.  También se entiende que por falta de estándares y reglas, cada desarrollador hizo “lo mejor que pudo” con las herramientas disponibles.  (en Noviembre de 22016 la entidad de seguridad nacional de los Estados Unidos (Homeland Security) publico las primeras reglas de como proteger y asegurar esta nueva parte de la infraestructura critica del país que ahora esta desplegada en millones de hogares.

Pero eso no erradica la culpabilidad en no pensar que un millón de cámaras para vigilancia del hogar puedan ser utilizadas para una red de ataque contra un servicio como Netflix.  Ahí es donde la responsabilidad como consumidor exige que cada uno de nosotros investigue y entienda las implicaciones de cada nuevo dispositivo que conectamos a nuestra red casera.

Ahora bien, si las cámaras caseras son un gran problema, esperen al próximo articulo donde hablaremos de como esto implica una responsabilidad aun mayor para los que están diseñando ciudades inteligentes!

Por Daniel J. Molina – Consultor en Seguridad