Si algo puede conectarse a una red, puede hackearse. Las computadoras y los teléfonos son blancos populares, pero también lo son los autos, los sistemas de seguridad doméstica, los televisores y hasta las refinerías petroleras.
Ese fue el mensaje que se transmitió en las conferencias anuales de seguridad para computadoras Black Hat y DefCon, celebradas la semana pasada en Las Vegas. Las conferencias anuales atraen a una mezcla de investigadores sobre computadoras y hackers que presentan los fallos y las vulnerabilidades que descubrieron recientemente. Es una combinación de servicio público, negocio y hobby.
Estos son algunos de los blancos más populares de los que se trató en las conferencias de este año. Al llamar la atención sobre ellos, los “hackers de sombrero blanco” esperan animar a los diferentes fabricantes e industrias a aumentar la seguridad y a los consumidores a prestar más atención.
Típicamente, los presentadores informan a los fabricantes sobre los fallos antes de dar sus conferencias para que las empresas puedan arreglar los problemas antes de que los criminales los aprovechen.
1. Autos a control remoto
El que alguien hackee tu computadora puede ser una molestia. El que alguien hackee tu auto puede ser letal. El viernes pasado se realizaron dos presentaciones sobre el hackeo de autos en la conferencia DefCon. El hacker australiano Zoz enumeró los problemas de seguridad a los que se enfrentarán los autos totalmente autónomos y dijo que su hackeo es inevitable.
Los vehículos autónomos como autos y drones son esencialmente robots y dependen de sensores para funcionar. Dijo que en teoría, un hacker podría apoderarse por completo del control de un auto por medio de las redes inalámbricas o engañar a los distintos sensores para que muestren al conductor datos falsos sobre ubicación, velocidad y proximidad de otros autos u objetos.
Aún faltan varios años para que existan los autos totalmente libres de conductor, pero ya es común encontrar sistemas computarizados en los vehículos que circulan actualmente. Las unidades de control electrónico pueden controlar varias funciones del auto como el frenado, la aceleración y la dirección. Manejan funciones de seguridad, indicadores dentro del auto e incluso cinturones de seguridad.
Los investigadores Charlie Miller y Chris Valasek estudiaron el daño que los hackers podrían hacer a un auto al tomar el control de un Prius, de Toyota, y de un Escape, de Ford, con apoyo de una beca de la Agencia de Investigación de Proyectos Avanzados de Defensa del Ejército de Estados Unidos (DARPA, por sus siglas en inglés).
Para acceder a los sistemas, tuvieron que conectar físicamente una computadora a los autos por medio de un puerto de diagnóstico. Escribieron un software a la medida para poder secuestrar los sistemas de los autos.
Una vez que tuvieron el control, desactivaron los frenos, cambiaron los indicadores para que mostraran velocidades o niveles de gasolina incorrectos y manipularon la dirección y los cinturones de seguridad. Pudieron apagar el motor y jugar con otras características del auto como la bocina y las luces.
Toyota minimizó la demostración y señaló que se están concentrando en las medidas de seguridad para evitar ataques inalámbricos.
2. Poner en riesgo a los smartphones
Los delincuentes cibernéticos solían ganarse la vida con ataques a computadoras personales, lo que propició un lucrativo mercado negro de malware y de los programas antivirus que lo combaten.
El siguiente gran blanco son los smartphones. Los dispositivos móviles no son inmunes a los ataques aunque las tiendas de aplicaciones bien defendidas han mantenido a raya a la mayor parte del malware.
Kevin McNamee demostró que un fragmento de malware pude transformar a un smartphone Android en un “teléfono espía” que vigile a distancia a su dueño y envíe información sobre la ubicación, comunicaciones y contenidos —como fotografías— a un tercero.
La intrusión no es nueva, pero McNamee se las arregló para inyectar el código malicioso en aplicaciones populares como Angry Birds. Una vez instalado, el usuario ignoraría que su teléfono está actuando como un dispositivo de vigilancia a distancia.
Los investigadores de seguridad de iSEC Partners penetraron en las femtoceldas de Verizon —pequeñas cajas que se usan para extender la cobertura del servicio celular— e interceptaron llamadas y otros datos que se enviaron por medio de las redes celulares, como mensajes de texto, imágenes e historiales de exploración. El proveedor de servicios inalámbricos publicó una actualización para reparar todas sus femtoceldas, pero los investigadores dicen que otras redes podrían tener el mismo problema.
Con un equipo con valor de 45 dólares (580 pesos), los investigadores Billy Lau, Yeongjin Jang y Chengyu Song transformaron un aparentemente inofensivo cargador para iPhone en una herramienta para recabar información como contraseñas; correos electrónicos y otras comunicaciones, y datos de localización directamente del smartphone. Apple agradeció a los investigadores y señaló que presentará un remedio para la falla en su actualización de software del iOS 7 que saldrá este año.
3. Un hogar demasiado inteligente
Gracias a los sensores baratos y de bajo consumo de energía, cualquier cosa en casa puede volverse un dispositivo inteligente y puede conectarse a internet para que puedas controlarlo desde una computadora o un smartphone. Los dispositivos de seguridad doméstica tienen el potencial de causar el mayor daño si se los hackea y en dos demostraciones independientes se mostró cómo entrar en una casa al abrir las cerraduras inteligentes de las puertas principales.
Otra tendencia inquietante revelada en las conferencias es la de espiar a las personas sin que se den cuenta a través de sus propias cámaras. Cualquiera que quiera entrar en la casa puede desactivar las cámaras domésticas de seguridad, o las pueden transformar en dispositivos de vigilancia remota. Un investigador demostró lo fácil que es tomar el control de la transmisión de video de un juguete infantil desde una computadora.
Los investigadores Aaron Grattafiori y Josh Yavor encontraron fallos en el modelo 2012 del televisor Samsung Smart TV que les permitió encenderlo y ver una transmisión de video desde la cámara del dispositivo. Samsung señaló que había publicado una actualización de software para reparar el problema. (Muchos expertos en seguridad sugieren que coloques un trozo de cinta sobre cualquier cámara si no quieres que te observen, solo por si acaso).
4. Los hackers se lo toman personal
Incluso tras las revelaciones que la NSA hizo este año, es perturbador pensar en un dispositivo casero de vigilancia que detecte fragmentos de datos procedentes de tus diversos dispositivos de cómputo aún cuando no estén en línea.
Brendan O’Connor, quien dirige una empresa de seguridad y está terminando la carrera de Derecho, creó ese dispositivo al que llamó CreepyDOL (DOL significa localizador de objetos distribuidos, creepy significa perturbador). Fabricar el dispositivo costó 57 dólares (730 pesos) y consiste en una computadora Raspberry Pi, un puerto USB, dos conexiones para wi-fi, una tarjeta SD y una batería USB dentro de una caja negra común.
Las computadoras y los teléfonos actúan como dispositivos de rastreo y filtran información constantemente, de acuerdo con O’Connor. Cuando se conecta, el CreepyDOL detecta a los teléfonos y computadoras cercanos y los usa para rastrear la ubicación de las personas y sus patrones, descubre quienes son, a dónde van y qué hacen en línea.
Para demostrar el dispositivo sin violar la ley, O’Connor mostró cómo uno de los dispositivos detectó su propia información. Por medio de un motor de juegos y de Open Street Maps, se colocó sobre su punto en un mapa. Surgió su nombre, su dirección de correo electrónico, una foto, el nombre del sitio de citas que usaba, detalles sobre sus dispositivos y los lugares que frecuenta en la ciudad.
En el peor de los casos —como lo imaginó O’Connor— un malhechor podría conectarse a alguno de los dispositivos que haya en cualquier Starbucks cerca de un edificio en la capital para detectar a un senador y esperarlo a que haga algo comprometedor.
“Encuentras a alguien que tenga poder y lo explotas”, dijo O’Connor.
La sencillez de la creación es notable. Es probable que otras personas tengan conocimientos y equipos similares que exploten las mismas fallas de seguridad en aplicaciones, sitios web, dispositivos y redes.
5. Complejos industriales
Lo más atemorizante fue que en la conferencia se puso énfasis en blancos totalmente diferentes a las personas.
La infraestructura estratégica, como las tuberías de petróleo y gas o las plantas de tratamiento de agua son blancos potenciales para los hackers. Muchas industrias se controlan con sistemas de control de supervisión o de adquisición de datos (SCADA).
Los sistemas son más viejos, fueron instalados en una época en la que no se temía a los ataques cibernéticos y se conectan a internet por medio de un protocolo de red no seguro.
La primera razón por la que los sistemas están conectados es para que sean fáciles de monitorizar. Algunos, como las tuberías de petróleo, se encuentran en lugares remotos.
En varias demostraciones en las conferencias se demostró lo sencillo que es hackear los sistemas de energía.
Los investigadores Brian Meixell y Eric Forner hicieron una representación de un hackeo a un pozo petrolero falso y usaron unas bombas y un contenedor lleno con un líquido color azul verdoso. Entraron al sistema, apagaron y encendieron las bombas e hicieron que se desbordaran los contenedores al introducir datos falsos en el sistema. Si eso ocurriera en un pozo petrolero real, el hackeo podría provocar una catástrofe ambiental, según los investigadores.
Es posible apagar todo un complejo industrial a 65 kilómetros de distancia por medio de un radiotransmisor, de acuerdo con los investigadores Carlos Penagos y Lucas Apa. En su demostración introdujeron medidas falsas, lo que provocó que el dispositivo que las recibió se comportara de forma extraña. Por ejemplo, alguien podría provocar que un tanque de agua desbordara al fingir una temperatura anormalmente elevada.
Las industrias y el gobierno estadounidenses están conscientes de la vulnerabilidad de los sistemas industriales, pero la lejanía y la antigüedad hacen que la actualización sea costosa y difícil. No hay un sistema integrado por medio del que se pueda transmitir software de reparación como en el caso de las computadoras personales.
En varias demostraciones en las conferencias se demostró lo sencillo que es hackear los sistemas de energía.
Los investigadores Brian Meixell y Eric Forner hicieron una representación de un hackeo a un pozo petrolero falso y usaron unas bombas y un contenedor lleno con un líquido color azul verdoso. Entraron al sistema, apagaron y encendieron las bombas e hicieron que se desbordaran los contenedores al introducir datos falsos en el sistema. Si eso ocurriera en un pozo petrolero real, el hackeo podría provocar una catástrofe ambiental, según los investigadores.
Es posible apagar todo un complejo industrial a 65 kilómetros de distancia por medio de un radiotransmisor, de acuerdo con los investigadores Carlos Penagos y Lucas Apa. En su demostración introdujeron medidas falsas, lo que provocó que el dispositivo que las recibió se comportara de forma extraña. Por ejemplo, alguien podría provocar que un tanque de agua desbordara al fingir una temperatura anormalmente elevada.
Las industrias y el gobierno estadounidenses están conscientes de la vulnerabilidad de los sistemas industriales, pero la lejanía y la antigüedad hacen que la actualización sea costosa y difícil. No hay un sistema integrado por medio del que se pueda transmitir software de reparación como en el caso de las computadoras personales.