Hace diez años, los teléfonos se diseñaron para cumplir
tareas comunes que eran la de servir de medio de comunicación este tipo de
dispositivos cumplían funciones básicas como llamadas telefónicas y el manejo
de mensajes de texto (SMS), por lo que nadie hubiese pensando que un
teléfono celular podría infectarse con un código malicioso.
Fue hasta tal la evolución experimentada por esta tecnología
que los teléfonos inteligentes permiten realizar acciones similares a las de
una computadora como lo son: la edición de fotografías, la conexión a Internet
de alta velocidad, trámites bancarios, juegos, etc. Este avance tecnológico ha
sido tanto a nivel de software como hardware.
Aunado a esta evolución tecnológica, también se está
evidenciando una tendencia hacia la diversificación de dispositivos “no
tradicionales” que utilizan Android como sistema operativo. En esta línea,
productos como consolas de videojuegos (NVIDIA SHIELD), gafas inteligentes
(Google Glass), refrigeradores (algunos modelos de Samsung), lavarropas
(Lavarropas Touch Screen de Samsung), ya se encuentran disponibles en algunos
países. Debido a esto se plantea la posibilidad de que en un futuro se
puedan observar amenazas informáticas diseñadas para aparatos electrodomésticos
inteligentes y otros equipos que no sean directamente dispositivos móviles.
En la actualidad, el sistema operativo más conocido y
utilizado es Android, debido a su flexibilidad y compatibilidad con la mayoría
de los dispositivos, además de ser un lenguaje de código abierto;
aspecto que facilita técnicamente el desarrollo de códigos maliciosos y otras
amenazas. Por otro lado, se debe considerar que Android no es el único sistema
operativo que se está utilizando en dispositivos inteligentes. Otras empresas
han optado por desarrollar plataformas propietarias, es decir, sistemas
diseñados específicamente para un grupo de electrodomésticos inteligentes. En
este caso, la facilidad con que se podrían desarrollar amenazas informáticas
disminuye, sin embargo, no están exentas en ningún caso que impida la creación
de códigos malicioso.
Considerando lo acontecido con el mercado móvil y las
amenazas para estos equipos, es posible que los electrodomésticos de última
generación pudieran transformar en blanco de ataques en base a tres factores:
- El
primero tiene relación con la evolución tecnológica.
- La
masificación en la utilización de estos aparatos,
- El
uso que le den los usuarios.
A continuación, se mencionan algunos dispositivos
electrodomésticos que han evolucionado en cuanto a su tecnología y además se
explica en qué estado se encuentra la seguridad informática de estos aparatos:
Automóviles
Actualmente algunos automóviles están equipados con sistemas
inteligentes cada vez más complejos que permiten la interacción y manipulación
de los elementos que conforman el automóvil mediante ciertos parámetros a
través de un teléfono inteligente. Por ejemplo la medición de la carga de
combustible, niveles de aceite, kilómetros recorridos sistemas de
entretenimiento a bordo, tecnologías de geolocalización (GPS), etc.
Debido a lo anterior, se ha demostrado, que es posible
manipular remotamente un auto y encender el motor, abrir las puertas e incluso
desactivar el sistema de frenado. Es importante mencionar que estas
pruebas han sido posibles mediante un enlace físico a través de un cable, no
obstante, la capacidad de conexión a Internet que incluyen algunos automóviles
mediante redes inalámbricas podría facilitar un ataque de estas
características.
McAfee, en asociación con Wind River y Escrypt, publicó el
informe “Precaución: malware en el camino”, un análisis de los riesgos
emergentes en la seguridad de sistemas automotores.
Los investigadores de varias universidades han demostrado
que los componentes de seguridad críticos de un automóvil pueden ser víctimas
de crackeo si se encuentra disponible un acceso físico a los componentes
electrónicos del vehículo.
Otros investigadores han demostrado que se puede organizar
un ataque para rastrear un vehículo y comprometer la privacidad de los
pasajeros al rastrear las etiquetas RFID mediante potentes lectores de larga
distancia a alrededor de 40 metros.
Otros investigadores han demostrado que se puede organizar un
ataque para rastrear un vehículo y comprometer la privacidad de los pasajeros
al rastrear las etiquetas RFID mediante potentes lectores de larga distancia a
alrededor de 40 metros.
El informe de McAfee analiza los riesgos asociados con la
actividad criminal cibernética, que incluyen:
- Quitar
el seguro y arrancar el automóvil de forma remota mediante teléfono
celular
- Desactivar
el automóvil de forma remota
- Rastrear
la ubicación, las actividades y las rutinas de un conductor
- Robar
datos personales desde un sistema Bluetooth
- Desajustar
los sistemas de navegación
- Desactivar
la ayuda de emergencia
La version completa puede ser descargada de la siguiente
direccion:
Reporte
McAfee
Smart TV
Los televisores también han presentado grandes avances
tecnológicos y algunos ya incluyen la posibilidad de conectarse a
Internet y poder acceder a cualquier sitio de Internet, por lo que pueden ser vulnerables
a ataques en cualquier momento. Existe una prueba de concepto capaz de apagar
el televisor, lo que demuestra la factibilidad de desarrollar códigos
maliciosos para este tipo de equipos.
Una investigación presentada en BlackHat 2013 así lo
demuestra: “Los Smart TV tienen prácticamente los mismos vectores de ataque que
los teléfonos inteligentes”. En este sentido es posible en un futuro no muy
lejano se puedan observar amenazas diseñadas para estos equipos.
Casas Inteligentes
El diseño e implementación de casas inteligentes se trata de
un conjunto de sistemas que posibilitan que una casa o espacio cerrado cuente
con una gestión energética eficiente, elementos de confort, seguridad,
bienestar, etc. También conocida como “domótica” podría entenderse como la
integración de la tecnología dentro de una casa, edificio, u otro tipo de
construcción. Por lo que se entiende que existen varios dispositivos
convencionales que han evolucionado y que en la actualidad forman parte de un
hogar inteligente. Por ejemplo: inodoros, heladeras, sistemas de iluminación,
cámaras IP, entre otros.
En los siguientes párrafos se mencionan algunos de estos
dispositivos y cómo un cibercriminal podría perpetrar un ataque informático en
contra de estos aparatos tecnológicos:
Inodoros inteligentes
Algunos inodoros inteligentes incluyen sistemas de limpieza,
sistema de deodorización e incluso medidores de presión y glucosa en la sangre.
Debido a estas características, investigadores de Trustwave lograron alterar el
comportamiento normal de un excusado inteligente haciendo que este rocíe agua
en la persona y que se abra y cierre automáticamente la tapa.
Sistemas inteligentes de iluminación
Los sistemas de iluminación también han evolucionado al
punto de poder ser controlados desde cualquier lugar utilizando un teléfono
inteligente con conexión a Internet. En el mercado ya existen algunos productos
que cumplen esta función y permiten cambiar la intensidad y color de la
iluminación en base a las preferencias del usuario.
Pese a la comodidad que puede otorgar un sistema como este,
un investigador demostró mediante el desarrollo de un exploit, que puede robar
las credenciales de la víctima para poder manipular el sistema de iluminación
inteligente sin su consentimiento. Dicha situación no solo puede convertirse en
una molestia, sino también en un peligro para la seguridad física del lugar.
Heladeras
Los refrigeradores también han tenido un avance tecnológico
importante llegando hasta el punto de tener una conexión a Internet. Esto
posibilita que el usuario pueda conocer el estado y cantidad de los alimentos,
buscar recetas en línea, entre otras acciones. Empresas como LG han lanzado al
mercado refrigeradores que utilizan el sistema Android que ofrece al usuario
características de valor agregado lo que posibilita que un tercero pueda
desarrollar códigos maliciosos diseñados para alterar el correcto
funcionamiento de este tipo de tecnología.
Cámaras IP
En los últimos tiempos el uso de cámaras IP es cada vez más
común, por lo que puede convertirse en blanco de los cibercriminales son
las cámaras IP. Este tipo de tecnología permite monitorear y ver en tiempo real
a través de Internet, lo que está sucediendo en un lugar determinado.
Investigadores de Core Security descubrieron diversas
vulnerabilidades en una línea de cámaras IP que permitían que un atacante
pudiera no solo obtener las filmaciones sin el consentimiento de la víctima,
sino también la ejecución de comandos arbitrarios en la interfaz web de
administración de estos dispositivos.
La vulneración de esta tecnología puede tener un gran
impacto si se considera que un tercero podría acceder a filmaciones privadas
que muestren los puntos de acceso de un lugar, el horario en que las personas
se encuentran fuera de casa, etc.
Cerradura digital
Las Cerraduras digitales pueden incluir un registro de
las personas que ingresan a un inmueble, facilitar el acceso al contemplar el
uso de tarjetas electrónicas, e incluso en los últimos tiempos hasta por medio
de un dispositivo móvil se puede abrir una cerradura. Por lo que se hace
posible ataques como la clonación de tarjetas de acceso, la apertura del
cerrojo, etc.
De lo anterior en una investigación presentada en Black Hat
2013 demostró la factibilidad de que un tercero pueda capturar los paquetes que
son transmitidos a través de Bluetooth cuando se utilizan algunos sistemas de
cerraduras inalámbricas.
Google Glass y otros accesorios inteligentes
Uno de los dispositivos que revolucionó el mercado durante
2013 fue Google Glass, el cual se trata de unas gafas que ofrecen la
experiencia de la realidad aumentada y la posibilidad de conectarse a Internet
a través de comandos por voz. Pero al igual que cualquier dispositivo que se
conecta a internet es propenso a ataques.
Es por esto que un investigador descubrió una vulnerabilidad
que posibilita el robo de información a través de una conexión Wi-Fi manipulada
especialmente con dicho propósito por lo que si el usuario utiliza Google Glass
y envía información sin cifrar, esta podrá ser obtenida por un tercero.
Asimismo, otro agujero de seguridad, que ya fue solucionado,
permitía que un código QR manipulado específicamente, conectara el dispositivo
del usuario de modo automático a un Wi-Fi malicioso, por lo que si este
dispositivo se masifica y empieza a ser utilizado para acceder al banco, pagar
servicios, etc., es altamente probable que aparezcan códigos maliciosos
diseñados para robar información.
Android en otros dispositivos (consolas, relojes, home
appliance, entre otros)
Como se mencionó anteriormente, muchos de los dispositivos
no convencionales utilizan Android como sistema operativo, lo que evita que las
empresas tengan que desarrollar software propietario, lo cual ocasiona que se
disminuya el costo de dichos aparatos.
Por lo que al contar con un sistema operativo conocido
aumenta la disponibilidad de aplicaciones en comparación a una plataforma cuyo
desarrollo está centrado para una compañía en particular. Lo cual resulta
positivo con respecto a la disminución de los costos, la asequibilidad y la
estandarización, pero también puede influir negativamente en la seguridad
del usuario. Esto se debe a que el uso del mismo sistema operativo en una
amplia gama de dispositivos diferentes, posibilita que un atacante pueda
desarrollar códigos maliciosos capaces de funcionar en diversos aparatos
tecnológicos.
Conclusión: ¿es posible la privacidad en Internet?
Hasta cierto punto sí, puesto que las personas pueden
adoptar medidas que vayan encaminadas en pos de la seguridad y privacidad de la
información, sin embargo, ningún sistema informático está exento de sufrir
ataques
Asimismo, el tema de la seguridad también plantea un desafío
al momento de implementar tecnologías de protección y planes de concientización
para aumentar el nivel de privacidad y seguridad en Internet. En este sentido,
se podría adoptar un método de protección estricto que le pregunte al usuario
frente a cualquier acción que pudiera poner en riesgo la integridad de la
información, como la ejecución de programas, navegación en Internet, etc. Sin
embargo, la falta de usabilidad y practicidad de un método como este
probablemente provocaría que la mayoría de los usuarios lo desactivaran y ya no
lo utilicen, como ocurrió con UAC (User Account Control) que implementó
Microsoft a partir de Windows Vista. Fue tal la molestia experimentada por los
usuarios que Microsoft se vio obligado a modificar UAC en Windows 7 para
hacerlo menos “intrusivo”.
Considerando los puntos anteriores, la primera medida
efectiva para resguardar la privacidad de la información tiene que ver con el
cifrado de los datos. En este caso, existen programas destinados a cifrar los
archivos del usuario por lo que la implementación de este método de protección
puede lograrse a través de la instalación de programas destinados a tal
propósito; asimismo, la seguridad de este método varía de acuerdo al nivel de
robustez del algoritmo de cifrado.
Otra medida que se puede adoptar para mejorar la privacidad
en Internet, es el uso de Tor, aplicación diseñada para navegar de forma anónima.
Tal como aparece en el sitio del programa: “Tor es un software libre y una red
abierta que le permite al usuario defenderse del análisis de tráfico, una forma
de vigilancia que afecta la libertad personal, la privacidad de los usuarios y
las empresas, y la seguridad de los Estados”. El cliente de Tor consiste en una
versión modificada del navegador Mozilla Firefox con ciertos parámetros y
extensiones destinadas a otorgar un mayor nivel de anonimato mientras se navega
por Internet. Otras de las funciones que incluye este programa es la
posibilidad de navegar a través de la Deep Web33 (Internet profunda).
La Deep Web es todo el contenido de Internet que no son
indexados por los motores de búsqueda como Google. Parte de la Deep Web la
componen los pseudodominios .onion que se utilizan con el objetivo de facilitar
el acceso anónimo a páginas que abarcan distintas temáticas como abusos, venta
de estupefacientes, foros de cibercriminales y otros tópicos generalmente
ilegales o que traspasan la barrera de lo ético y legal.