Si algo puede conectarse a una red,
puede hackearse. Las computadoras y los teléfonos son blancos populares,
pero también lo
son los autos, los sistemas de seguridad doméstica, los
televisores y hasta las refinerías petroleras.
Ese fue el mensaje que se transmitió en
las conferencias anuales de seguridad para computadoras Black Hat y
DefCon, celebradas la semana pasada en Las Vegas. Las conferencias
anuales atraen a una mezcla de investigadores sobre computadoras y
hackers que presentan los fallos y las vulnerabilidades que descubrieron
recientemente. Es una combinación de servicio público, negocio y hobby.
Estos son algunos de los blancos más
populares de los que se trató en las conferencias de este año. Al llamar
la atención sobre ellos, los “hackers de sombrero blanco” esperan
animar a los diferentes fabricantes e industrias a aumentar la seguridad
y a los consumidores a prestar más atención.
Típicamente, los presentadores informan a
los fabricantes sobre los fallos antes de dar sus conferencias para que
las empresas puedan arreglar los problemas antes de que los criminales
los aprovechen.
1. Autos a control remoto
El que alguien hackee tu computadora
puede ser una molestia. El que alguien hackee tu auto puede ser letal.
El viernes pasado se realizaron dos presentaciones sobre el hackeo de
autos en la conferencia DefCon. El hacker australiano Zoz enumeró los
problemas de seguridad a los que se enfrentarán los autos totalmente
autónomos y dijo que su hackeo es inevitable.
Los vehículos autónomos como autos y
drones son esencialmente robots y dependen de sensores para funcionar.
Dijo que en teoría, un hacker podría apoderarse por completo del control
de un auto por medio de las redes inalámbricas o engañar a los
distintos sensores para que muestren al conductor datos falsos sobre
ubicación, velocidad y proximidad de otros autos u objetos.
Aún faltan varios años para que existan
los autos totalmente libres de conductor, pero ya es común encontrar
sistemas computarizados en los vehículos que circulan actualmente. Las
unidades de control electrónico pueden controlar varias funciones del
auto como el frenado, la aceleración y la dirección. Manejan funciones
de seguridad, indicadores dentro del auto e incluso cinturones de
seguridad.
Los investigadores Charlie Miller y
Chris Valasek estudiaron el daño que los hackers podrían hacer a un auto
al tomar el control de un Prius, de Toyota, y de un Escape, de Ford,
con apoyo de una beca de la Agencia de Investigación de Proyectos
Avanzados de Defensa del Ejército de Estados Unidos (DARPA, por sus
siglas en inglés).
Para acceder a los sistemas, tuvieron
que conectar físicamente una computadora a los autos por medio de un
puerto de diagnóstico. Escribieron un software a la medida para poder
secuestrar los sistemas de los autos.
Una vez que tuvieron el control,
desactivaron los frenos, cambiaron los indicadores para que mostraran
velocidades o niveles de gasolina incorrectos y manipularon la dirección
y los cinturones de seguridad. Pudieron apagar el motor y jugar con
otras características del auto como la bocina y las luces.
Toyota minimizó la demostración y señaló que se están concentrando en las medidas de seguridad para evitar ataques inalámbricos.
2. Poner en riesgo a los smartphones
Los delincuentes cibernéticos solían
ganarse la vida con ataques a computadoras personales, lo que propició
un lucrativo mercado negro de malware y de los programas antivirus que
lo combaten.
El siguiente gran blanco son los
smartphones. Los dispositivos móviles no son inmunes a los ataques
aunque las tiendas de aplicaciones bien defendidas han mantenido a raya a
la mayor parte del malware.
Kevin McNamee demostró que un fragmento
de malware pude transformar a un smartphone Android en un “teléfono
espía” que vigile a distancia a su dueño y envíe información sobre la
ubicación, comunicaciones y contenidos —como fotografías— a un tercero.
La intrusión no es nueva, pero McNamee
se las arregló para inyectar el código malicioso en aplicaciones
populares como Angry Birds. Una vez instalado, el usuario ignoraría que
su teléfono está actuando como un dispositivo de vigilancia a distancia.
Los investigadores de seguridad de iSEC
Partners penetraron en las femtoceldas de Verizon —pequeñas cajas que se
usan para extender la cobertura del servicio celular— e interceptaron
llamadas y otros datos que se enviaron por medio de las redes celulares,
como mensajes de texto, imágenes e historiales de exploración. El
proveedor de servicios inalámbricos publicó una actualización para
reparar todas sus femtoceldas, pero los investigadores dicen que otras
redes podrían tener el mismo problema.
Con un equipo con valor de 45 dólares
(580 pesos), los investigadores Billy Lau, Yeongjin Jang y Chengyu Song
transformaron un aparentemente inofensivo cargador para iPhone en una
herramienta para recabar información como contraseñas; correos
electrónicos y otras comunicaciones, y datos de localización
directamente del smartphone. Apple agradeció a los investigadores y
señaló que presentará un remedio para la falla en su actualización de
software del iOS 7 que saldrá este año.
3. Un hogar demasiado inteligente
3. Un hogar demasiado inteligente
Gracias a los sensores baratos y de bajo
consumo de energía, cualquier cosa en casa puede volverse un
dispositivo inteligente y puede conectarse a internet para que puedas
controlarlo desde una computadora o un smartphone. Los dispositivos de
seguridad doméstica tienen el potencial de causar el mayor daño si se
los hackea y en dos demostraciones independientes se mostró cómo entrar
en una casa al abrir las cerraduras inteligentes de las puertas
principales.
Otra tendencia inquietante revelada en
las conferencias es la de espiar a las personas sin que se den cuenta a
través de sus propias cámaras. Cualquiera que quiera entrar en la casa
puede desactivar las cámaras domésticas de seguridad, o las pueden
transformar en dispositivos de vigilancia remota. Un investigador
demostró lo fácil que es tomar el control de la transmisión de video de
un juguete infantil desde una computadora.
Los investigadores Aaron Grattafiori y
Josh Yavor encontraron fallos en el modelo 2012 del televisor Samsung
Smart TV que les permitió encenderlo y ver una transmisión de video
desde la cámara del dispositivo. Samsung señaló que había publicado una
actualización de software para reparar el problema. (Muchos expertos en
seguridad sugieren que coloques un trozo de cinta sobre cualquier cámara
si no quieres que te observen, solo por si acaso).
4. Los hackers se lo toman personal
Incluso tras las revelaciones que la NSA
hizo este año, es perturbador pensar en un dispositivo casero de
vigilancia que detecte fragmentos de datos procedentes de tus diversos
dispositivos de cómputo aún cuando no estén en línea.
Brendan O’Connor, quien dirige una
empresa de seguridad y está terminando la carrera de Derecho, creó ese
dispositivo al que llamó CreepyDOL (DOL significa localizador de objetos
distribuidos, creepy significa perturbador). Fabricar el dispositivo
costó 57 dólares (730 pesos) y consiste en una computadora Raspberry Pi,
un puerto USB, dos conexiones para wi-fi, una tarjeta SD y una batería
USB dentro de una caja negra común.
Las computadoras y los teléfonos actúan
como dispositivos de rastreo y filtran información constantemente, de
acuerdo con O’Connor. Cuando se conecta, el CreepyDOL detecta a los
teléfonos y computadoras cercanos y los usa para rastrear la ubicación
de las personas y sus patrones, descubre quienes son, a dónde van y qué
hacen en línea.
Para demostrar el dispositivo sin violar
la ley, O’Connor mostró cómo uno de los dispositivos detectó su propia
información. Por medio de un motor de juegos y de Open Street Maps, se
colocó sobre su punto en un mapa. Surgió su nombre, su dirección de
correo electrónico, una foto, el nombre del sitio de citas que usaba,
detalles sobre sus dispositivos y los lugares que frecuenta en la
ciudad.
En el peor de los casos —como lo imaginó
O’Connor— un malhechor podría conectarse a alguno de los dispositivos
que haya en cualquier Starbucks cerca de un edificio en la capital para
detectar a un senador y esperarlo a que haga algo comprometedor.
“Encuentras a alguien que tenga poder y lo explotas”, dijo O’Connor.
La sencillez de la creación es notable.
Es probable que otras personas tengan conocimientos y equipos similares
que exploten las mismas fallas de seguridad en aplicaciones, sitios web,
dispositivos y redes.
5. Complejos industriales
Lo más atemorizante fue que en la conferencia se puso énfasis en blancos totalmente diferentes a las personas.
La infraestructura estratégica, como las
tuberías de petróleo y gas o las plantas de tratamiento de agua son
blancos potenciales para los hackers. Muchas industrias se controlan con
sistemas de control de supervisión o de adquisición de datos (SCADA).
Los sistemas son más viejos, fueron
instalados en una época en la que no se temía a los ataques cibernéticos
y se conectan a internet por medio de un protocolo de red no seguro.
La primera razón por la que los sistemas
están conectados es para que sean fáciles de monitorizar. Algunos, como
las tuberías de petróleo, se encuentran en lugares remotos.
En varias demostraciones en las conferencias se demostró lo sencillo que es hackear los sistemas de energía.
Los investigadores Brian Meixell y Eric
Forner hicieron una representación de un hackeo a un pozo petrolero
falso y usaron unas bombas y un contenedor lleno con un líquido color
azul verdoso. Entraron al sistema, apagaron y encendieron las bombas e
hicieron que se desbordaran los contenedores al introducir datos falsos
en el sistema. Si eso ocurriera en un pozo petrolero real, el hackeo
podría provocar una catástrofe ambiental, según los investigadores.
Es posible apagar todo un complejo
industrial a 65 kilómetros de distancia por medio de un radiotransmisor,
de acuerdo con los investigadores Carlos Penagos y Lucas Apa. En su
demostración introdujeron medidas falsas, lo que provocó que el
dispositivo que las recibió se comportara de forma extraña. Por ejemplo,
alguien podría provocar que un tanque de agua desbordara al fingir una
temperatura anormalmente elevada.
Las industrias y el gobierno
estadounidenses están conscientes de la vulnerabilidad de los sistemas
industriales, pero la lejanía y la antigüedad hacen que la actualización
sea costosa y difícil. No hay un sistema integrado por medio del que se
pueda transmitir software de reparación como en el caso de las
computadoras personales.
En varias demostraciones en las conferencias se demostró lo sencillo que es hackear los sistemas de energía.
Los investigadores Brian Meixell y Eric
Forner hicieron una representación de un hackeo a un pozo petrolero
falso y usaron unas bombas y un contenedor lleno con un líquido color
azul verdoso. Entraron al sistema, apagaron y encendieron las bombas e
hicieron que se desbordaran los contenedores al introducir datos falsos
en el sistema. Si eso ocurriera en un pozo petrolero real, el hackeo
podría provocar una catástrofe ambiental, según los investigadores.
Es posible apagar todo un complejo
industrial a 65 kilómetros de distancia por medio de un radiotransmisor,
de acuerdo con los investigadores Carlos Penagos y Lucas Apa. En su
demostración introdujeron medidas falsas, lo que provocó que el
dispositivo que las recibió se comportara de forma extraña. Por ejemplo,
alguien podría provocar que un tanque de agua desbordara al fingir una
temperatura anormalmente elevada.
Las industrias y el gobierno
estadounidenses están conscientes de la vulnerabilidad de los sistemas
industriales, pero la lejanía y la antigüedad hacen que la actualización
sea costosa y difícil. No hay un sistema integrado por medio del que se
pueda transmitir software de reparación como en el caso de las
computadoras personales.
FUENTE: CNN
