Si algo puede conectarse a una red, puede hackearse. Las computadoras
y los teléfonos son blancos populares, pero también lo son los autos,
los sistemas de seguridad doméstica, los televisores y hasta las
refinerías petroleras.
Ese fue el mensaje que se transmitió en las conferencias anuales de
seguridad para computadoras Black Hat y DefCon, celebradas la semana
pasada en Las Vegas. Las conferencias anuales atraen a una mezcla de
investigadores sobre computadoras y hackers que presentan los fallos y
las vulnerabilidades que descubrieron recientemente. Es una combinación
de servicio público, negocio y hobby.
Estos son algunos de los blancos más populares de los que se trató en las conferencias de este año. Al llamar la atención sobre ellos, los “hackers de sombrero blanco” esperan animar a los diferentes fabricantes e industrias a aumentar la seguridad y a los consumidores a prestar más atención.
Estos son algunos de los blancos más populares de los que se trató en las conferencias de este año. Al llamar la atención sobre ellos, los “hackers de sombrero blanco” esperan animar a los diferentes fabricantes e industrias a aumentar la seguridad y a los consumidores a prestar más atención.
Típicamente, los presentadores informan a los fabricantes sobre los
fallos antes de dar sus conferencias para que las empresas puedan
arreglar los problemas antes de que los criminales los aprovechen.
1. Autos a control remoto
El que alguien hackee tu computadora puede ser una molestia. El que
alguien hackee tu auto puede ser letal. El viernes pasado se realizaron
dos presentaciones sobre el hackeo de autos en la conferencia DefCon. El
hacker australiano Zoz enumeró los problemas de seguridad a los que se
enfrentarán los autos totalmente autónomos y dijo que su hackeo es
inevitable.
Los vehículos autónomos como autos y drones son esencialmente robots y
dependen de sensores para funcionar. Dijo que en teoría, un hacker
podría apoderarse por completo del control de un auto por medio de las
redes inalámbricas o engañar a los distintos sensores para que muestren
al conductor datos falsos sobre ubicación, velocidad y proximidad de
otros autos u objetos.
Aún faltan varios años para que existan los autos totalmente libres
de conductor, pero ya es común encontrar sistemas computarizados en los
vehículos que circulan actualmente. Las unidades de control electrónico
pueden controlar varias funciones del auto como el frenado, la
aceleración y la dirección. Manejan funciones de seguridad, indicadores
dentro del auto e incluso cinturones de seguridad.
Los investigadores Charlie Miller y Chris Valasek estudiaron el daño
que los hackers podrían hacer a un auto al tomar el control de un Prius,
de Toyota, y de un Escape, de Ford, con apoyo de una beca de la Agencia
de Investigación de Proyectos Avanzados de Defensa del Ejército de
Estados Unidos (DARPA, por sus siglas en inglés).
Para acceder a los sistemas, tuvieron que conectar físicamente una
computadora a los autos por medio de un puerto de diagnóstico.
Escribieron un software a la medida para poder secuestrar los sistemas
de los autos.
Una vez que tuvieron el control, desactivaron los frenos, cambiaron
los indicadores para que mostraran velocidades o niveles de gasolina
incorrectos y manipularon la dirección y los cinturones de seguridad.
Pudieron apagar el motor y jugar con otras características del auto como
la bocina y las luces.
Toyota minimizó la demostración y señaló que se están concentrando en las medidas de seguridad para evitar ataques inalámbricos.
2. Poner en riesgo a los smartphones
Los delincuentes cibernéticos solían ganarse la vida con ataques a
computadoras personales, lo que propició un lucrativo mercado negro de
malware y de los programas antivirus que lo combaten.
El siguiente gran blanco son los smartphones. Los dispositivos
móviles no son inmunes a los ataques aunque las tiendas de aplicaciones
bien defendidas han mantenido a raya a la mayor parte del malware.
Kevin McNamee demostró que un fragmento de malware pude transformar a
un smartphone Android en un “teléfono espía” que vigile a distancia a
su dueño y envíe información sobre la ubicación, comunicaciones y
contenidos —como fotografías— a un tercero.
La intrusión no es nueva, pero McNamee se las arregló para inyectar
el código malicioso en aplicaciones populares como Angry Birds. Una vez
instalado, el usuario ignoraría que su teléfono está actuando como un
dispositivo de vigilancia a distancia.
Los investigadores de seguridad de iSEC Partners penetraron en las
femtoceldas de Verizon —pequeñas cajas que se usan para extender la
cobertura del servicio celular— e interceptaron llamadas y otros datos
que se enviaron por medio de las redes celulares, como mensajes de
texto, imágenes e historiales de exploración. El proveedor de servicios
inalámbricos publicó una actualización para reparar todas sus
femtoceldas, pero los investigadores dicen que otras redes podrían tener
el mismo problema.
Con un equipo con valor de 45 dólares (580 pesos), los investigadores
Billy Lau, Yeongjin Jang y Chengyu Song transformaron un aparentemente
inofensivo cargador para iPhone en una herramienta para recabar
información como contraseñas; correos electrónicos y otras
comunicaciones, y datos de localización directamente del smartphone.
Apple agradeció a los investigadores y señaló que presentará un remedio
para la falla en su actualización de software del iOS 7 que saldrá este
año.
3. Un hogar demasiado inteligente
3. Un hogar demasiado inteligente
Gracias a los sensores baratos y de bajo consumo de energía,
cualquier cosa en casa puede volverse un dispositivo inteligente y puede
conectarse a internet para que puedas controlarlo desde una computadora
o un smartphone. Los dispositivos de seguridad doméstica tienen el
potencial de causar el mayor daño si se los hackea y en dos
demostraciones independientes se mostró cómo entrar en una casa al abrir
las cerraduras inteligentes de las puertas principales.
Otra tendencia inquietante revelada en las conferencias es la de
espiar a las personas sin que se den cuenta a través de sus propias
cámaras. Cualquiera que quiera entrar en la casa puede desactivar las
cámaras domésticas de seguridad, o las pueden transformar en
dispositivos de vigilancia remota. Un investigador demostró lo fácil que
es tomar el control de la transmisión de video de un juguete infantil
desde una computadora.
Los investigadores Aaron Grattafiori y Josh Yavor encontraron fallos
en el modelo 2012 del televisor Samsung Smart TV que les permitió
encenderlo y ver una transmisión de video desde la cámara del
dispositivo. Samsung señaló que había publicado una actualización de
software para reparar el problema. (Muchos expertos en seguridad
sugieren que coloques un trozo de cinta sobre cualquier cámara si no
quieres que te observen, solo por si acaso).
4. Los hackers se lo toman personal
Incluso tras las revelaciones que la NSA hizo este año, es
perturbador pensar en un dispositivo casero de vigilancia que detecte
fragmentos de datos procedentes de tus diversos dispositivos de cómputo
aún cuando no estén en línea.
Brendan O’Connor, quien dirige una empresa de seguridad y está
terminando la carrera de Derecho, creó ese dispositivo al que llamó
CreepyDOL (DOL significa localizador de objetos distribuidos, creepy
significa perturbador). Fabricar el dispositivo costó 57 dólares (730
pesos) y consiste en una computadora Raspberry Pi, un puerto USB, dos
conexiones para wi-fi, una tarjeta SD y una batería USB dentro de una
caja negra común.
Las computadoras y los teléfonos actúan como dispositivos de rastreo y
filtran información constantemente, de acuerdo con O’Connor. Cuando se
conecta, el CreepyDOL detecta a los teléfonos y computadoras cercanos y
los usa para rastrear la ubicación de las personas y sus patrones,
descubre quienes son, a dónde van y qué hacen en línea.
Para demostrar el dispositivo sin violar la ley, O’Connor mostró cómo
uno de los dispositivos detectó su propia información. Por medio de un
motor de juegos y de Open Street Maps, se colocó sobre su punto en un
mapa. Surgió su nombre, su dirección de correo electrónico, una foto, el
nombre del sitio de citas que usaba, detalles sobre sus dispositivos y
los lugares que frecuenta en la ciudad.
En el peor de los casos —como lo imaginó O’Connor— un malhechor
podría conectarse a alguno de los dispositivos que haya en cualquier
Starbucks cerca de un edificio en la capital para detectar a un senador y
esperarlo a que haga algo comprometedor.
“Encuentras a alguien que tenga poder y lo explotas”, dijo O’Connor.
La sencillez de la creación es notable. Es probable que otras
personas tengan conocimientos y equipos similares que exploten las
mismas fallas de seguridad en aplicaciones, sitios web, dispositivos y
redes.
5. Complejos industriales
Lo más atemorizante fue que en la conferencia se puso énfasis en blancos totalmente diferentes a las personas.
La infraestructura estratégica, como las tuberías de petróleo y gas o
las plantas de tratamiento de agua son blancos potenciales para los
hackers. Muchas industrias se controlan con sistemas de control de
supervisión o de adquisición de datos (SCADA).
Los sistemas son más viejos, fueron instalados en una época en la que
no se temía a los ataques cibernéticos y se conectan a internet por
medio de un protocolo de red no seguro.
La primera razón por la que los sistemas están conectados es para que
sean fáciles de monitorizar. Algunos, como las tuberías de petróleo, se
encuentran en lugares remotos.
En varias demostraciones en las conferencias se demostró lo sencillo que es hackear los sistemas de energía.
Los investigadores Brian Meixell y Eric Forner hicieron una
representación de un hackeo a un pozo petrolero falso y usaron unas
bombas y un contenedor lleno con un líquido color azul verdoso. Entraron
al sistema, apagaron y encendieron las bombas e hicieron que se
desbordaran los contenedores al introducir datos falsos en el sistema.
Si eso ocurriera en un pozo petrolero real, el hackeo podría provocar
una catástrofe ambiental, según los investigadores.
Es posible apagar todo un complejo industrial a 65 kilómetros de
distancia por medio de un radiotransmisor, de acuerdo con los
investigadores Carlos Penagos y Lucas Apa. En su demostración
introdujeron medidas falsas, lo que provocó que el dispositivo que las
recibió se comportara de forma extraña. Por ejemplo, alguien podría
provocar que un tanque de agua desbordara al fingir una temperatura
anormalmente elevada.
Las industrias y el gobierno estadounidenses están conscientes de la
vulnerabilidad de los sistemas industriales, pero la lejanía y la
antigüedad hacen que la actualización sea costosa y difícil. No hay un
sistema integrado por medio del que se pueda transmitir software de
reparación como en el caso de las computadoras personales.
En varias demostraciones en las conferencias se demostró lo sencillo que es hackear los sistemas de energía.
Los investigadores Brian Meixell y Eric Forner hicieron una
representación de un hackeo a un pozo petrolero falso y usaron unas
bombas y un contenedor lleno con un líquido color azul verdoso. Entraron
al sistema, apagaron y encendieron las bombas e hicieron que se
desbordaran los contenedores al introducir datos falsos en el sistema.
Si eso ocurriera en un pozo petrolero real, el hackeo podría provocar
una catástrofe ambiental, según los investigadores.
Es posible apagar todo un complejo industrial a 65 kilómetros de
distancia por medio de un radiotransmisor, de acuerdo con los
investigadores Carlos Penagos y Lucas Apa. En su demostración
introdujeron medidas falsas, lo que provocó que el dispositivo que las
recibió se comportara de forma extraña. Por ejemplo, alguien podría
provocar que un tanque de agua desbordara al fingir una temperatura
anormalmente elevada.
Las industrias y el gobierno estadounidenses están conscientes de la
vulnerabilidad de los sistemas industriales, pero la lejanía y la
antigüedad hacen que la actualización sea costosa y difícil. No hay un
sistema integrado por medio del que se pueda transmitir software de
reparación como en el caso de las computadoras personales.
No hay comentarios:
Publicar un comentario