El Internet of Things y la seguridad del software moderno

Rafael Cárdenas
Jul 10, 2017 · 3 min read

Recientemente una parte de Europa fue afectada por un ataque cibernético de ransomware muy severo conocido como Petya (o más precisamente NotPetya como fue después llamado por Kaspersky). Entre las empresas afectadas hubo plantas nucleares, oficinas de gobierno, bancos, sistemas de transporte, etc.

En pocas palabras, la forma en que funciona este ataque es que cifra todos los archivos de la computadora infectada para que sean completamente inaccesibles a menos que se realice un depósito del equivalente a 300 dólares en Bitcoin a una dirección (cuenta) en particular. De ahí el término ransomware: un programa que secuestra la máquina infectada hasta que se pague un precio por su rescate.

Captura de pantalla de una computadora afectada por el ransomware Petya. Foto: https://www.wordfence.com/blog/2017/06/petya-ransomware/

¿Qué es lo que hace posible que un ataque de esta naturaleza sea exitoso? Muy simple. Un exploit de esta escala funciona y se propaga rápidamente porque afecta versiones específicas de software extremadamente común (como Windows en este caso). Como millones de PCs en el mundo corren esas versiones de Windows, y muchas de ellas nunca son actualizadas, el número de sistemas que pueden verse infectados es enorme.

NotPetya funcionó en el mundo de las PCs, pero ¿habrá otros ejemplos de software muy común que sea vulnerable a este tipo de ataques?

Reconsiderando el “Internet of Things

Muchísimos de los aparatos electrónicos que usamos hoy utilizan software muy común para funcionar, siendo el smartphone el ejemplo más claro. Ya han habido casos de malware que han infectado diferentes modelos y sistemas operativos en móviles en el pasado, pero ahora está creciendo una tendencia que tiene implicaciones importantes en seguridad informática: el Internet of Things.

Imaginemos un mundo (que ya existe) en donde la mayoría de nuestras cosas (things) estén conectadas al Internet en nuestra casa: la televisión, el refrigerador, la lavadora y secadora, el microondas, la puerta principal, el termostato, el cepillo de dientes, etc. Todos estos aparatos necesitan correr y soportar software estándar (como OpenSSL) para comunicarse con otros y así poder enviar un mensaje de texto cuando tu ropa esté lista, por ejemplo.

Retomando lo anterior, ¿qué pasaría si un día somos víctimas de un ataque similar a NotPetya en casa que instala ransomware en alguno de estos aparatos? Los siguientes escenarios se vuelven posibles y relevantes:

  • “No puedes ver tele hasta que pagues”
  • “No puedes lavar ropa hasta que pagues”
  • “Tu refrigerador no va a enfriar hasta que pagues”
  • “No puedes entrar a tu casa hasta que pagues”
  • Y un largo etc…

¿Vale la pena exponerse a esto por un feature novedoso de un electrodoméstico?

Una lavadora Samsung que puede ser controlada con tu smartphone (en caso de que algún día te sea imposible ir físicamente a hacerlo, por supuesto). Foto: https://www.digitaltrends.com/home/demoing-the-app-controlled-samsung-smart-washer-and-dryer/

Un detalle importante del uso de software en cualquier sistema es que tiene que ser constantemente actualizado para que se pueda defender ante nuevos ataques de seguridad. Si ya es complicado que el consumidor promedio actualice su navegador o el sistema operativo de su smartphone o computadora (y aún así se siguen descubriendo nuevas fallas), ¿qué tan seguido se espera que actualicen el software que corre en sus refrigeradores?

Esto es, por supuesto, considerando solamente la responsabilidad del consumidor, pero ¿qué hay de la responsabilidad del fabricante? ¿Cuánto tardaría el fabricante en emitir un parche de seguridad para un microondas o una lavadora? ¿Y si ese aparato no es de última generación? ¿Se molestarían en producir un parche? Ni idea. Todo este tiempo acumulado de rezago en versiones de software sólo llevaría a un mundo en donde siempre existan huecos constantes de seguridad por donde atacantes puedan entrar. De nuevo: ¿valdrá la pena?


Mi intención con este texto no es declarar que la postura correcta a tomar ante esta nueva era de Internet of Things sea la del ludismo, o abstenerse por completo de todo aparato conectado a Internet ahora y hasta el fin de los tiempos, sin embargo, creo que hay que ser bastante cautelosos a la hora de comprar y conectar nuevos aparatos a nuestras redes en casa y estar más informados de cuales pudieran llegar a ser las consecuencias en caso de que estos sistemas sean aftectados por un ataque de seguridad. Para eso bastaría que nos hagamos una pregunta muy simple… ¿realmente es necesario que ese aparato se conecte a Internet?

Rafael Cárdenas

Written by

Software & Computer Engineer, Consultor de Tecnología, CTO en Cívica Digital, ex-iOS Software Engineer en Google. Nacido en Monterrey, México.

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade