Los objetos conectados a internet nos hacen la vida más fácil. Sin embargo, sus fallas de seguridad se convirtieron en una grieta para que los hackers desencadenen una nueva ola de ciberataques. ¿Podrán, ahora sí, apagar internet?
¿Se puede apagar internet? Hasta hace algunos años, responder “sí” a esa pregunta requería pensarlo no una, sino varias veces. También, considerar una fuerza poderosa ejecutando un ciberataque tan coordinado que pudiera sortear todas las barreras de seguridad de cada capa de la Red. Sin embargo, en nuestro afán consumista y tecnófilo, hemos conectado tantos millones de objetos a la señal del wifi que son ellos mismos los que, en forma de ejércitos de robots zombis controlados al mismo tiempo, pueden ser utilizados como armas. La imagen –televisores, heladeras, cámaras y módems con sus lucecitas azules como ojos caminando en bloque- de la internet de las cosas derrumbando a la Red misma ya no es ciencia ficción. Está ocurriendo. Por ahora, en forma de advertencia. Quizá, como amenaza real.
La historia (en su forma ya real) comenzó el 23 de septiembre de este año. El periodista Brian Krebs, que cubre habitualmente temas de seguridad informática, recibió un ataque que hizo “caer” su página web. La metodología que usaron sus ciber-agresores fue una habitual: un ataque distribuido de denegación de servicio, más conocido como DDoS. Explicado de manera sencilla, se trata de realizar muchos requerimientos al mismo tiempo a una misma dirección web, con lo cual esa página colapsa y se cae. Como reportero dedicado a ocuparse de todo tipo de hackers, la arremetida no parecía extraña. Sin embargo, su magnitud sí lo fue, y puso a la comunidad informática en alerta. El ataque tenía el doble de peticiones de las habituales y había utilizado cámaras digitales, routers domésticos y otros objetos conectados a internet como vehículos de un software de ataque conocido como Mirai. Los DDoS, hasta hace algún tiempo, se valían de muchas computadoras conectadas en red atacando. Pero ahora esas computadoras, además, usaban todo un ecosistema de objetos “bobos” que interceptaban a su favor y que estaban (están) en cualquier lado, a nuestro alrededor.
Ante el ataque hacia Krebs, el veterano académico y periodista Bruce Schneider escribió un artículo que rápidamente circuló en la comunidad informática internacional, y trascendió también sus fronteras. “Necesitamos salvar a internet de la internet de las cosas”, reclamaba Schneider el 6 de octubre, y hacía un llamado concreto: “Esto va a permanecer inseguro a menos que los gobiernos se involucren para solucionar el problema”. Ese problema no es más que uno que algunos advertimos hace tiempo, pero que los tecno-optimistas soslayan y sepultan bajo millones de dólares en publicidad y marketing: los objetos que utilizamos cada día de nuestra vida son fabricados por un sinfín de empresas que quieren, en primer lugar, vender, y mucho. Mientras compremos sus objetos, nos ofrecerán un poco de seguridad para que confiemos en ellas, pero no tanta como para no correr riesgos al utilizar sus aparatos. Y no sólo eso, nos dirán bastante poco de las implicancias de seguridad (o más bien de inseguridad) a las que nos sometemos cuando elegimos primero la comodidad de solucionarnos un problema y luego pensar si en esa solución no compramos otro conflicto.
Las cámaras de video-vigilancia son un caso más que elocuente: el 100% de ellas presenta vulnerabilidades de seguridad. Y estamos rodeados de ellas. Schneider sostiene un buen argumento para que esto no se solucione: “Los dueños de esas cámaras no se preocupan por lo que hagan. Además, son baratas. Es lo que los economistas llaman una externalidad: un efecto de una decisión de compra que afecta a otra persona”. Por eso, dice este profesor de Harvard, el siguiente paso es transformar el conflicto en un problema político y hacer que los gobiernos impongan regulaciones de seguridad a los fabricantes de internet de las cosas. Será un problema internacional, advierte, porque tanto los productores de tecnología como la internet misma son industrias planetarias. No bastará con que un país tome la decisión, sino que todos tendrán que involucrarse en esta solución de cara al futuro.
Mientras eso ocurre, el problema crece. El viernes 21 de octubre de 2016 será recordado como el día que 10 millones de direcciones IP se unieron en un ataque masivo que tiró abajo a sitios masivos como Twitter, Spotify, Ebay, Playstation, PayPal, Netflix, y a webs de noticias como el New York Time. Un nuevo ataque masivo de botnets (redes de robots) utilizando dispositivos de internet de las cosas se producía en la mañana de un viernes, se repetía esa misma tarde, y todos sabían que se trataba de un mensaje: estamos rodeados de objetos que pueden ser infectados y controlar internet. Fue el ataque más grave de la década y estuvo minuciosamente planificado, ya que embistió sobre grandes proveedores de la infraestructura de internet como Level 3 (que maneja el 72% de las conexiones del planeta) y los DNS, algo así como la libreta de direcciones central de toda la Red. La agresión inutilizó servidores clave de la Red en el mundo: si se toca el sistema nervioso de las direcciones, se genera un caos de tráfico similar a cortar todas las autopistas de entrada a una ciudad.
Ese viernes a la noche, cuando el temblor pasó, comenzaron las hipótesis. También, las preocupaciones por el futuro. El software utilizado también había sido Mirai. Pero solamente se había aprovechado en un 10 por ciento de su capacidad. ¿Qué ocurriría si se recurría a todo su potencial? Los responsables de los ciber-ejércitos más poderosos del mundo estaban en alerta. El departamento de Seguridad Nacional de Estados Unidos declaró: “los ataque DDoS son muy poderosos para el cibercrimen”. Un título destinado a calmar una preocupación, cierto. Sin embargo, la pregunta ignoraba (intencionalmente o no) el centro del asunto: ¿Los países seguirán acrecentando sus filas de defensores informáticos como única solución al problema? ¿O habrá llegado la hora de que también se preocupen por regular a la industria privada desde el Estado, para que los productos que se venden en un supermercado no se transformen en armas masivas? La respuesta, como casi todas las de la tecno-política, es ideológica. La opción uno es dejar al mercado tomar nuestras vidas. La opción dos es interceder antes de que sea tarde.
(Publicado en Revista Brando – Diciembre 2016)