Cuando hasta el termostato de una pecera pone en riesgo tu seguridad

Era un 'simple' termostato, un sistema que regulaba automáticamente la temperatura de las peceras que decoraban el casino de un popular hotel de Londres. Su presencia, obviamente, pasó totalmente desapercibida para los acaudalados clientes que asistieron al establecimiento aquel 12 de abril de 2018… hasta que días después saltó la alarma: unos avezados cibercriminales habían conseguido acceder a la red del casino a través de ese termostato conectado a internet. Y con un saldo nada desdeñable: se habían hecho con la información de miles de clientes, con el consiguiente riesgo para todo tipo de cuentas, tarjetas de crédito, etc.

Ver para creer pero… no es un caso aislado. Y no hace falta tirar de hemeroteca para recordar ataques de denegación de servicio a gran escala o malware que secuestra servicios y empresas públicas de todo el mundo. Basta con bajar al 'mundo real' y focalizar nuestra mirada en el hogar. Robots aspiradores que pueden diseñar el plano de tu casa a la vez que limpian el polvo; muñecos de peluche con cámara incorporada que monitorizan tus movimientos; asistentes personales que graban tus conversaciones; webcams que se activan en remoto para espiarte; marcapasos que pueden causar efectos indeseados, móviles, smartTV, robots de cocina… cualquier dispositivo conectado a internet supone un riesgo (controlado) que puede convertirse en la puerta de entrada de los amigos de lo ajeno a tu hogar, tu información personal y hasta tu propia intimidad. Para muestra, un botón: hace cuatro años una compañía canadiense que vendía consoladores fue multada con 3,75 millones de euros por recopilar los datos de cuándo y cómo utilizaban sus clientes sus propios juguetes sexuales...

«Todo lo que está conectado está accesible a priori de forma remota a través de las redes - explica Xabier Mitxelena, director de ciberseguridad de Accenture-Iberia y presidente de Cybasque-. Y estos dispositivos IoT (del Internet de las Cosas), al igual que en el ámbito industrial, son una fuente de peligro. De hecho, cualquiera es susceptible de ser utilizado como una vía de acceso a otros elementos: una vez llevas a cabo un escalado de privilegios puedes acceder al lugar que quieras».

La industria del cibercrimen no descansa, como bien reflejan unos números que asustan y sorprenden a partes iguales: para finales de año se prevé que sea capaz de generar un coste de 6 billones de dólares (cinco veces el PIB de España) y de hasta once para 2025. Para ello, se centra en aquellos aspectos que directamente simplifican su trabajo: analiza todos los dispositivos que van surgiendo en el mercado y aprovecha sus defectos y vulnerabilidades (algunas tan simples como configuraciones débiles -o inexistentes-, contraseñas reutilizadas, etc.). «Cuando años atrás se configuraban los routers se dejaban las claves por defecto y tenías el control de toda la red interna. Esto ha ido cambiando en el ámbito de las redes porque se ha ido creando una cultura de seguridad. Sin embargo, en el ámbito del IoT a priori no se ha tenido en cuenta», afirma.

De ahí que Xabier Mitxelena apuesta por que cualquier dispositivo que se esté conectando deba cumplir una serie de estándares de seguridad. Y para ello, pone de ejemplo al coche comunicado, donde una de los aspectos que más se están trabajando es la securización de toda la tecnología. «Si alguien tuviera un control remoto, podrías tener un problema. Por ello, acaba de salir un reglamento que exige que todos los coches que salgan a partir de 2022 tengan que pasar una evaluación del nivel de seguridad que tienen sus comunicaciones y software».

Bombillas inteligentes, enchufes con conexión WiFi, asistentes personales de voz, persianas programables, webcams… cada vez son más los hogares que apuestan por unos dispositivos conectados que nos ayudan a mejorar nuestra calidad de vida y nos aportan un mayor bienestar en el día a día. La pregunta resulta obligada: ¿A más domótica, más riesgo? «A más comunicación, más ventajas a nivel de comodidad y servicio… y riesgos adicionales que tenemos que considerar. Soy de los que piensa que no me hace falta conectar mi frigorífico simplemente por saber si tengo leche o no. De ahí que tenemos que medir el balance entre la comodidad y el nivel de seguridad... y aún nos falta. Ahora mismo internet es una gran autopista que tiene muchísimos ejes, donde no existe un modelo de gestión del tráfico y donde no existe una percepción del riesgo. Por ello, su utilización debe llevar asociado un conocimiento claro de qué riesgos se producen o se pueden producir con un uso inadecuado», concreta.

Prudencia. Es la clave que debe aplicar cualquier usuario a la hora de hacer uso de sus dispositivos en un ámbito tan cambiante como el de la tecnología, algo que se resume en dos conceptos: entender cómo funciona la tecnología y qué nivel de seguridad ofrece: routers, contraseñas, etc.. Xabier Mitxelena añade un aspecto igual de relevante: el de saber gestionar correctamente la información que ofrecemos en internet. «En el mundo de la interconectividad, hay que entender los datos que doy y no doy. Nos piden permisos para todo y por ello tenemos que aplicar el principio de prudencia: mejor no darlos, salvo en casos excepcionales y por el canal adecuado. En internet los vencedores son las grandes plataformas tecnológicas a la que hemos cedido los datos de forma gratuita y, en muchos casos, inconscientemente. Nos hemos dejado llevar por las emociones, las apps nos ofrecen opciones increíbles, nos abren las puertas al ocio… pero hay que huir de que usen nuestros datos y, sobre todo ponérselo, más difícil. Hemos de tener una verdadera cultura de la seguridad y ser capaces de exigir responsabilidades».