Tal vez el título suene evidente, pero este concepto implica consecuencias a las que merece la pena prestar atención. Todo el mundo entiende el concepto de Internet y las oportunidades que ofrece la interconexión de sistemas a lo largo del planeta: un mundo a tu alcance. Sin embargo, no se presta tanta atención a que la conexión fluye en ambos sentidos, con lo que eso conlleva.
Cuando conectamos algo a esta gran red para aportar ciertas funcionalidades o servicios de forma remota se ha de ser consciente de las implicaciones que eso tiene y qué cosas pueden ser visibles desde el exterior. Cuando un dispositivo accede a Internet a través del router que nos da acceso, se ve expuesto a todo lo que pasa en la red.
Los bots
No todo lo que se mueve por Internet es actividad de personas físicas, gran parte proviene de robots (bots). Si analizáramos todo lo que llega al router que nos da acceso a Internet, veríamos que hay mucha actividad de ellos. Cuando se abre para dar acceso a Internet a un dispositivo, a su vez estos bots también intentarán conectarse al dispositivo.
Entre los bots, hay algunos que son inocuos (por ejemplo los de buscadores como Google, que indexan Internet para que en nuestras búsquedas salgan las webs), y hay otros con propósitos más oscuros. Estos bots malintencionados buscan tener acceso al sistema para poder comprometerlo y tenerlo bajo su control.
Una vez que el sistema es comprometido, los atacantes que estén detrás de ese bot lo podrán usar para un sinfín de posibles acciones. Entre ellas se podrían encontrar, por ejemplo, la minería de criptomonedas, el uso como proxy inverso (para realizar ataques y evitar que pueda ser rastreado) o como parte de un ejército de ordenadores zombi (para ataques masivos de denegación de servicio).
Caso real
Un caso real causado por los bots fue el de la red de ordenadores zombi (botnet) llamada Mirai. Para aquellos que no la conozcan, realizó uno de los mayores ataques masivos conocidos hasta la fecha, que dejó sin Internet (o afectó considerablemente) a gran parte de las principales páginas web. En este sentido, se aprovechó de la carencia de seguridad en dispositivos del Internet de las cosas (IoT) para controlarlos.
Cualquier cosa que se conecta a Internet, por sencilla que sea, se expone a este tipo de riesgos. Uno de los dispositivos más comprometidos son las cámaras IP. Hay tal volumen de cámaras desprotegidas que existen incluso webs que te permiten conectarte a ellas para ver lo que pasa, como por ejemplo: http://www.insecam.org.
Entre los bots que no tienen malas intenciones se encuentran los que intentan localizar dispositivos vulnerables, pero sin ese propósito de hacer actividades ilegítimas. Por ejemplo, la web de cámaras solo identifica y se conecta a esas cámaras. No obstante, el objetivo de este tipo de webs es demostrar el problema que supone el no tomarse la seguridad en serio cuando un dispositivo es accesible desde Internet.
Otra página de este tipo es https://worldofvnc.net, que se basa en VNC, un sistema de acceso a ordenadores remotos parecido en funcionalidad al escritorio remoto de Windows. Esta web intenta entrar en dispositivos desprotegidos usando este sistema y realiza una captura de la pantalla a la que accede. Tiene el mismo objetivo que la página de cámaras anterior, sensibilizar sobre los riesgos de estar expuestos a Internet, pero centrándose en sistemas que usen VNC.
No son las únicas herramientas con ese objetivo. Existe otra llamada Shodan y conocida como “el Google de los hackers”, que analiza las diferentes IP’s comprobando qué puertos y servicios están abiertos y son accesibles desde Internet. Este motor de búsqueda nos permite saber qué estamos exponiendo en Internet para poder gestionar su seguridad de forma apropiada.
Al ver algunos de sus resultados es preocupante lo que se puede llegar a encontrar. Hay ordenadores, cámaras, sistemas de control industrial, frigoríficos, etc. La creciente tendencia de incorporar un acceso a Internet a cada vez más dispositivos ha hecho que crezcan los elementos vulnerables en ese motor de búsquedas. Parece que la seguridad en el Internet de las cosas no es una prioridad para los fabricantes, y muchas veces tampoco para sus propietarios.
Además, el famoso motor de búsqueda de Google puede ser usado con el fin de detectar elementos vulnerables, ya que como hemos indicado antes, indexa Internet para poder realizar búsquedas. Esta técnica se conoce como “Google hacking” y se aprovecha de ciertas búsquedas para poner de manifiesto la falta de protección en algún elemento expuesto a Internet.
Estos catálogos de búsquedas pueden modificarse para centrar más el resultado, pudiendo dirigirse contra organizaciones concretas.
Si esas herramientas que hemos visto pueden encontrar vulnerabilidades en los dispositivos accesibles desde Internet, los bots malintencionados también. Por ello, si se detectase una situación como las anteriores, se deberían aplicar las medidas correspondientes para evitar que los sistemas sean comprometidos (si no lo han sido ya).
Vulnerabilidades
En el caso de que nuestros dispositivos vulnerables estén en la Unión Europea, o tengan datos de ciudadanos europeos, el resultado puede ser mucho más grave. Ya no sólo implicará el problema de que se comprometa uno de nuestros activos, sino que la multa correspondiente por no cumplir el nuevo reglamento de protección de datos (GDPR) podría suponer un impacto aún mayor.
Al margen del Internet de las cosas, otro tipo de dispositivos que los bots suelen encontrar como vulnerables con frecuencia son componentes y máquinas en la nube, a los que se recurre para
poder dar servicios desde Internet sin necesitar infraestructura propia, sobre todo para pequeños componentes.
Sin embargo, muchos propietarios o usuarios de estos servicios de computación en la nube no se preocupan por la seguridad de sus máquinas ni de qué datos están expuestos a Internet. En este caso, los proveedores de estos servicios aportan algo de protección para ayudar a que las máquinas no sean controladas por agentes no autorizados. Sin embargo, parte depende del usuario del servicio, por lo que sólo las medidas del proveedor no son suficientes.
En este tipo de elementos suele ser más frecuente que haya escapes de información que esté colgada en esos componentes. Ha habido varios casos que han salido en las noticias, como el caso de fuga de información clasificada del Ejército de Estados Unidos, en noviembre de 2017, a través de un servidor en la nube de Amazon que no estaba configurado correctamente. Esto demuestra que los elementos o dispositivos colocados en la nube han de ser protegidos para evitar que esos bots puedan comprometer u obtener información sensible.
Conclusión
Cualquier elemento que sea accesible a través de Internet afronta un conjunto de riesgos que no han de ser subestimados. Lo importante es ser consciente de que, si conectamos algo a Internet, Internet se conecta con ese algo, y con ello, todos los bots que lo patrullan.
Da igual si es algo temporal o algún elemento que pensemos que no es importante, el simple hecho de estar conectado a Internet es suficiente para tener la seguridad en mente. Se debe revisar todo aquello que es accesible desde la red para poder estar tranquilos y saber que lo que se conecta con nosotros no traerá sorpresas desagradables.