Chrisannapong Detraviar | momento | imágenes falsas
John Hultquist, vicepresidente de análisis de inteligencia de la firma de seguridad cibernética Mandiant, propiedad de Google, compara su trabajo con estudiar las mentes criminales a través de una pajita de refresco. Supervisa los grupos de amenazas cibernéticas en tiempo real en la web oscura, observando lo que equivale a un mercado libre para la innovación criminal en flujos y reflujos.
Los grupos compran y venden servicios, y una idea candente, un modelo comercial de delincuencia, puede despegar rápidamente cuando las personas se dan cuenta de que está funcionando para dañar o ahuyentar a las personas. El año pasado fue el ransomware, donde los grupos de hackers criminales descubrieron cómo apagar los servidores a través de los llamados ataques de denegación de servicio dirigidos. Pero 2022, dicen los expertos, puede haber marcado un punto de inflexión debido a la rápida proliferación de dispositivos IoT (Internet de las cosas).
Los ataques evolucionan desde aquellos que apagan las computadoras o roban datos, hasta aquellos que pueden causar estragos directamente en la vida cotidiana. Los dispositivos IoT pueden ser puntos de entrada para ataques a partes de la infraestructura crítica de los países, como redes eléctricas o tuberías, o pueden ser objetivos específicos para delincuentes, como en el caso de automóviles o dispositivos médicos que contienen software.
“Lo que espero es que las vulnerabilidades de la seguridad cibernética no afecten negativamente las vidas humanas y la infraestructura”, dice Meredith Schnurr, líder de corretaje cibernético de EE. UU. y Canadá en Marsh & McLennan, que asegura a las grandes empresas contra ataques cibernéticos. “Todo lo demás son solo negocios”.
Durante la última década, los fabricantes, las empresas de software y los consumidores se han esforzado por hacer realidad la promesa de los dispositivos IoT. Ahora hay un estimado de 17 mil millones en el mundo, desde impresoras hasta abridores de puertas de garaje, cada uno equipado con software (algunos de ellos software de código abierto) que se pueden piratear fácilmente. En una conversación del 26 de diciembre con el Financial Times, Mario Greco, director ejecutivo del gigante de seguros de Zúrich Group, dijo que los ataques cibernéticos podrían representar una amenaza mayor para las aseguradoras que las pandemias y el cambio climático, si los piratas informáticos tienen como objetivo alterar vidas, en lugar de solo espiar. o robo de datos.
Los dispositivos de Internet de las cosas son un importante punto de entrada para muchos ataques, según el Informe de defensa digital 2022 de Microsoft. “Aunque la seguridad del hardware y software de TI se ha fortalecido en los últimos años, la seguridad de Internet de las cosas (IoT)… no ha seguido el ritmo”, según el informe.
La serie de ataques que han llegado al mundo físico a través del mundo cibernético en el último año muestran los riesgos crecientes. El pasado mes de febrero, Toyota suspendió operaciones en una de sus fábricas debido a un ciberataque. En abril, la red eléctrica de Ucrania fue atacada. En mayo, el Puerto de Londres sufrió un ciberataque. Llegó inmediatamente después de 2021 que incluyó grandes ataques a infraestructura crítica en los Estados Unidos, destruyendo las operaciones de suministro de energía y alimentos de Colonial Pipeline y el conglomerado de empacadoras de carne GPS.
Lo que muchos expertos predicen es el día en que los delincuentes emprendedores o los piratas informáticos vinculados a un estado-nación descubran un esquema fácil de replicar utilizando dispositivos IoT a escala. Un grupo de delincuentes, posiblemente relacionados con un gobierno extranjero, puede descubrir cómo tomar el control de varias cosas a la vez, como automóviles o dispositivos médicos. “Ya hemos visto ataques a gran escala utilizando Internet de las cosas, en forma de redes IoT. En este caso, los actores que aprovechan las vulnerabilidades sin parches en los dispositivos IoT han utilizado el control de esos dispositivos para realizar ataques de denegación de servicio contra muchos objetivos”. Estas vulnerabilidades se encuentran regularmente en productos en todas partes que rara vez se actualizan”.
En otras palabras, la posibilidad ya está ahí. Es solo una cuestión de cuándo un criminal o una nación decide actuar de una manera que apunte al mundo físico a gran escala. “No siempre es el arte de lo posible. Es algo impulsado por el mercado”, dijo Hultquist. “Alguien descubre un esquema exitoso para hacer dinero”.
Además de responder rápidamente a los ataques, la única respuesta a este “juego del gato y el ratón” es la innovación continua, dice Shlomo Kramer, uno de los primeros inversores en Palo Alto Networks y actualmente uno de los principales inversores en ciberseguridad a nivel mundial.
Hay algunas empresas, nuevos enfoques organizacionales, un enfoque creciente en los automóviles como un área particularmente importante y un nuevo movimiento dentro del mundo de la ingeniería de software para hacer un mejor trabajo al integrar la ciberseguridad desde cero.
El Internet de las Cosas tiene un gran problema de actualización
La industria de la seguridad cibernética está mejorando su juego. Las empresas, incluidas ForeScout y Phosphorus, se centran en la seguridad de IoT, lo que pone un gran énfasis en un inventario continuo de “puntos finales”, donde los nuevos dispositivos se conectan a una red.
Pero uno de los principales problemas con la seguridad de IoT es que no existe un buen proceso para actualizar los dispositivos con parches, a medida que se descubren nuevas vulnerabilidades, hacks o ataques, dice Greg Clark, ex director ejecutivo de Symantec y ahora presidente de Forescout. Muchos usuarios están acostumbrados a descargar actualizaciones y parches en computadoras y teléfonos; Incluso en estos casos, una gran cantidad de usuarios ni siquiera se molestan en realizar actualizaciones.
El problema es mucho peor en el Internet de las cosas: por ejemplo, ¿quién se molesta en actualizar un abridor de puerta de garaje? “Muchos dispositivos IoT no tienen un sistema de actualización de código”, dice Clark. Arreglar vulnerabilidades en el Internet de las Cosas se convierte en un problema serio.
Dijo que un área de enfoque para las empresas de ciberseguridad se ha convertido en establecer controles alrededor de los dispositivos para que solo puedan hacer un conjunto específico de cosas. De esta manera, los dispositivos no pueden armarse para lanzar ataques en otras redes. “Hay muchos martillos balanceándose”, dijo Clark, “sobre productos que hacen que el Internet de las cosas sea más seguro).
Los dispositivos médicos, que se consideran particularmente importantes y particularmente vulnerables, son un área de atención. El mes pasado, Palo Alto Networks anunció un nuevo producto dirigido a los fabricantes de dispositivos médicos.
Los fabricantes de dispositivos IoT no están suficientemente regulados
Dado que los desafíos son nuevos y abarcan todas las industrias, las pautas y regulaciones de EE. UU. siguen siendo parcheadas. Eso ha dejado gran parte de la ciberseguridad del Internet de las cosas en manos de los consumidores y las empresas de todos los sectores, en lugar de los muchos fabricantes que fabrican dispositivos IoT.
“Espero que haya nuevos estándares y nuevas reglamentaciones que obliguen a los proveedores a hacer más”, dice Randy Trzyciak, director del Programa de políticas de seguridad y gestión de la información de la Universidad Carnegie Mellon. “Es necesario que haya una discusión nacional sobre cómo garantizar la seguridad de los dispositivos y dónde el fabricante debe tener cierta propiedad y responsabilidad”.
CISA y los Institutos Nacionales de Estándares y Tecnología están trabajando juntos, emitiendo pautas para miles de fabricantes que fabrican dispositivos IoT que cubren cosas como asegurarse de que los dispositivos IoT se identifiquen en las redes cuando se agregan a ellas, dijo Clark. En 2020, el Congreso de EE. UU. convirtió las pautas en ley, pero solo para las empresas que proporcionan dispositivos IoT al gobierno de EE. UU. Un portavoz de los Institutos Nacionales de Estándares y Tecnología dijo que esta es la única ley nacional de la que la agencia tiene conocimiento. También existen algunas leyes estatales y de la industria: por ejemplo, los datos en dispositivos médicos estarían cubiertos por HIPAA, y la Administración Nacional de Seguridad del Tráfico en las Carreteras tiene cierta jurisdicción sobre los automóviles.
Algunos inversionistas y ejecutivos acogen con cautela la mayor participación de los reguladores. “Es simplemente demasiado complicado”, dijo Kramer. “No hay suficiente personal de seguridad calificado y con experiencia”.
¿Cómo se apuntan los coches?
A medida que más piratas informáticos criminales apuntan a ataques en el ámbito físico, los automóviles se han convertido en un objetivo. Esto incluye el robo, donde los atacantes explotan los sistemas de entrada sin llave, pero también los ataques a la información confidencial que ahora se almacena en los automóviles, como mapas y datos de tarjetas de crédito.
Liderados por la Unión Europea, países de todo el mundo están adoptando rápidamente regulaciones de ciberseguridad automotriz, y la UE entró en vigor en julio del año pasado.
La transición a los vehículos eléctricos ha creado una oportunidad para que los reguladores se adelanten a los delincuentes. A medida que la nueva tecnología redujo las barreras de entrada, más empresas automotrices ingresaron al mercado. A su vez, esto ha creado una oportunidad para que los reguladores trabajen con grupos industriales que quieren proteger las industrias locales.
Las preocupaciones sobre los automóviles no son nuevas. En un experimento histórico en 2015, dos piratas informáticos atacaron un Jeep Cherokee. dijo David Barzilai, CEO de una empresa israelí de seis años llamada Karamba Security, que ayuda a las empresas automotrices a hacer que sus dispositivos de Internet de las cosas sean más seguros.
En los últimos 12 meses, dice Barzilai, ha habido docenas de ataques, tanto de bandas criminales serias como de adolescentes. “Cuando empezamos hace seis años, los ataques eran de países, en su mayoría de China”, dice. “En los últimos 12 meses, hay una democratización” en los ataques a autos, dijo, refiriéndose al caso en enero de 2022 de un adolescente que descubrió cómo acceder a los sistemas de control de unas pocas docenas de Teslas a la vez, en enero pasado. previamente hecho así.
Dijo que los automóviles conectados generalmente contienen tarjetas SIM, que los piratas informáticos pueden atacar a través de redes celulares. “Todos los autos del mismo modelo de auto usan el mismo software”, dijo. “Una vez que los piratas informáticos identifican una vulnerabilidad y una forma de explotarla de forma remota, pueden replicar el ataque en otros vehículos”.
La ciberseguridad como industria ha crecido principalmente como un intento posterior a la verdad para reparar el software y el hardware que han estado en el mercado durante mucho tiempo, a medida que los delincuentes y los gobiernos extranjeros descubren vulnerabilidades en los sistemas que pueden explotar. Un estudio realizado por el Instituto de Ciencias de Sistemas de IBM descubrió que cuesta seis veces más reparar una vulnerabilidad en línea durante la implementación del software que cuando está en desarrollo. El Internet de las cosas todavía es relativamente nuevo como industria, lo que brinda a los desarrolladores conscientes de la seguridad la oportunidad de salir adelante en el juego del gato y el ratón, dice Trzeciak, y hay un movimiento creciente de investigadores y desarrolladores que trabajan en esto, incluida la ingeniería de software en la iniciativa Carnegie Mellon DevSecOps del instituto, cuyo objetivo es agregar seguridad a las primeras etapas del desarrollo de software. Esta innovación basada en procesos podría hacer que todo tipo de software, incluidos los de automóviles y dispositivos médicos, sea más seguro y, por extensión, los dispositivos sean más seguros.