El Tiempo
Estado Carreteras
Whatsapp
Encuesta
Directorio Empresas
Juegos
El caso es real. Le sucedió a una familia española que vivía en una casa inteligente, controlada por la domótica. Una de esas viviendas en las que la iluminación, la climatización e incluso la lavadora están conectadas a Internet. Un día, un hacker se coló en su casa. Para ser precisos, tomó el control de su casa. Empezó a encender y apagar las luces, a abrir y cerrar persianas, a cambiar los canales de la televisión... hasta que se puso a emitir un vídeo, con la familia muerta de miedo ante la tele del salón.
En el vídeo, el hacker les contaba que todo lo que había pasado respondía a un ‘script poltergeist’ (una serie de órdenes para emular la posesión de una vivienda) creado por él, y que les recomendaba poner atención a sus vulnerabilidades. El intruso era un ‘hacker ético’, un tipo de hacker (también conocido como ‘hacker romántico’) que busca grietas de seguridad en los sistemas (atacándolos y entrando en ellos) para luego reportarlas a su titular, con el fin de ayudarle. Pero esto no siempre va así.
A diferencia de la década de los noventa, poblada por hackers románticos, hoy prolifera el hackeo con ánimo de lucro. El vendaval mediático de los ciberataques ransomware de los últimos días no ha hecho más que poner focos sobre un fenómeno que va al alza, con un incremento de ciberataques del 40% el pasado año 2016 (según datos de la consultora Grant Thornton), y que tiene en la Internet de las Cosas su próximo gran objetivo.
"Mañana te atacan la nevera y te encuentras con 1.000 euros de compra en el wallet"
Luis Pastor
Grant Thornton
La historia del hacker romántico y la familia aterrorizada la cuenta Luis Pastor, socio director de Consultoría Tecnológica e Innovación de Grant Thornton en España. La pone como ejemplo de lo que está por venir. Y que no se limitará a pegarle sustos a la gente. El objetivo son las empresas, y las fábricas inteligentes (automatizadas, sensorizadas y con dispositivos dedicados y conectados por wifi de corto radio) son la ‘oportunidad de negocio’ más clara que se les presenta a estos ciberdelincuentes.
La perspectiva es que, un día no muy lejano, nuestra fábrica inteligente termine extorsionándonos: o pagamos o no se mueve ni un robot en la línea de producción. También estafándonos: de repente nos llega un facturón, cortesía del wallet de esa línea de fabricación (hackeada) que controla los stocks y solicita de forma autónoma su reposición a los proveedores.
En el caso de la vivienda ‘smart’, como si «mañana viniesen unos tíos a atacarte la nevera y que no sólo te estropean la comida, sino que encima, si esa nevera tiene wallet, a lo mejor te encuentras con que te han comprado 1.000 euros de comida», ejemplifica Luis Pastor, de Grant Thornton.
Se trata de un escenario más que probable, pero que todavía no ha llegado al mundo de la empresa (tampoco a los hogares). Básicamente, porque la transición hacia la Industria 4.0 (y a las smart cities) apenas acaba de arrancar. Aunque ahí está.
«Es un riesgo clarísimo a futuro, pero todavía no hemos visto ataques potentes porque todavía no hay Industria 4.0 como tal», analiza José María Legido, director regional de la empresa de ciberseguridad GMV en Catalunya, especializada en ciberseguridad en infraestructuras críticas y con clientes tan diversos como los Mossos d’Esquadra, el Ministerio de Economía y Hacienda o el BBVA.
«En cuatro o cinco años tendremos aquí los coches conectados –prosigue Legido–. Hoy ya es posible acceder a sus centralitas y detenerlos. Hagamos la progresión a futuro de lo que puede suceder si las cosas no se hacen bien».
"Aún no hemos visto ataques potentes porque todavía no hay Industria 4.0 como tal"
José María Legido
GMV
«Ya hay sistemas de control industrial –explica–, como los que controlan el nivel del agua en una presa, que no son sistemas IT clásicos pero que son tecnología hackeable. Todo este tipo de redes [en instalaciones críticas] están ya hoy sujetas a ataque, y toda la sensórica de la Industria 4.0 o de la Smart City tendrá el mismo tipo de problemática».
«Personalmente –alerta Luis Pastor, de Grant Thornton–, lo que me preocupa es el gran desconocimiento que hay, tanto a nivel personal como empresarial. Cualquier planta industrial ‘conectada’ es una fuente de posibles ciberataques».
Tecnología Blockchain
«Si suplantas la identidad –prosigue Pastor–, puedes llegar a manejar el sensor que controla la temperatura de una central nuclear. Si tomas el control de una impresora conectada, todo documento que la gente mande allí a imprimir, te lo llevarás».
Un ataque exitoso, por ejemplo, podría llegar a paralizar un polo petroquímico como el de Tarragona, introduciéndose a través de los dispositivos conectados de las plantas de producción, que se comunicarían entre sí mediante redes wifi de corto alcance. Para evitar escenarios como éste, desde esta consultora proponen «que se cree un estándar de securización para la Internet de las Cosas –explica Luis Pastor–, y yo propongo que se utilice para ello la tecnología Blockchain».
La tecnología Blockchain o de ‘cadena de bloques’ es la que emplean monedas electrónicas como Bitcoin, pero sus aplicaciones van mucho más allá que el uso en criptomonedas. El Blockchain se basa en redes distribuidas, donde la seguridad e integridad de una información se distribuye entre los distintos agentes de la red, sin necesidad de tener una entidad central en la que confiar esa vigilancia. En otras palabras: hay que hackear a todos y cada uno de los miembros de la red para tener el control. Y eso, hoy por hoy, es muy difícil.
«En el caso de un polo petroquímico como el de Tarragona –explica Pastor–, haríamos un Blockchain privado para todas las empresas, con un acuerdo para securizar dispositivos en toda la petroquímica europea». No hay constancia de que este sector esté trabajando en ese escenario, pero sí lo están haciendo, mediante tecnología Blockchain, sectores como el sanitario, el financiero, la construcción, la energía o la automoción.
Un ‘negocio’ al alza
«Esto es algo –analiza José María Legido, de GMV– que ha ido evolucionando con los años en complejidad tecnológica. Esto de crear virus, al principio parecía que era una cosa de frikis que hacían la gracieta, y ahora se ha convertido en una mafia organizada que va a hacer dinero».
Sólo entre enero y septiembre de 2016, los ataques de ransomware a empresas se multiplicaron por tres, según un informe de Kaspersky Lab, empresa dedicada a las soluciones de seguridad para grandes empresas, pymes y particulares. En España, una de cada cinco empresas sufrió un incidente de seguridad como consecuencia de un ataque ransomware. En el caso de las pymes, una de cada cinco no logró recuperar sus archivos, incluso después de pagar.
El método del ransomware, como su nombre indica (’ransom’ en inglés significa ‘rescate’), consiste en encriptar o bloquear el acceso a la información de un usuario y pedirle un rescate (cuya media se sitúa en unos 300 dólares) para ‘liberarle’ del ataque.
"Utilizan la ingeniería social: hoy, la forma más fácil es engañar a las personas"
Albert Auqué
Grupo Castilla
Albert Auqué, director de Sistemas e Innovación de Grupo Castilla, empresa de Riudoms dedicada a proveer software de Recursos Humanos y de gestión de nóminas, no tiene constancia de que ninguno de sus clientes haya sido afectado por el reciente ataque masivo de WannaCry, pero sí recuerda muchos casos de ataques por ransomware el año pasado, coincidiendo con el auge de este método de cibercrimen: «Tuvimos cantidad de clientes con virus como el WannaCry, en todos los sectores y con empresas de toda dimensión, tanto grandes como pymes, tanto públicas como privadas».
«En el caso de pequeñas empresas como asesorías o tiendas –prosigue–, la destroza es que se quedan sin datos, porque el nivel de realización de copias de seguridad es mucho más bajo. Alguno ha intentado pagar, pero no lo ha conseguido».
¿Por qué pagan? Pues, en muchos casos, porque sienten que ha sido su error y quieren arreglarlo a toda costa. «Utilizan la ingeniería social –explica Auqué–, que no es otra cosa que engañar al usuario para que haga algo [que vaya a una página, que se descargue algo], que es la forma más fácil hoy de llevar a cabo un ciberataque».
Hoy, estos ataques se producen a través de dispositivos de sobremesa (PC y Mac), pero también mediante móviles con sistema Android e iOS liberados. Los próximos en llegar serán los dispositivos conectados de la Internet de las Cosas. Y ahí ya no engañarán a personas, sino al brazo robótico, al sensor de gases o a nuestra nevera ‘inteligente’.
