Tu nevera, tu televisor, tu roomba e incluso tus bombillas. El nuevo objetivo de los ciberdelincuentes son los aparatos domésticos hiperconectados, que cada vez ocupan más espacio en los hogares de los españoles. Se trata de máquinas que no solo se interconectan con otras pantallas, sino que también generan un flujo de datos en los que figuran ya elementos tan sensibles como la alimentación personal o el historial médico.
Algunos analistas apuntan que, si el ransomware ha sido la gran amenaza digital durante el Covid-19, los hackeos contra los electrodomésticos podrían marcar un importante repunte a partir de 2023. El riesgo ya no solo está en la oficina, sino también en la cocina.
Rehenes electrónicos
El profesor de la Universitat Oberta de Catalunya (UOC), Jordi Serra, señala que los cibercriminales ya están en condiciones de tomar como rehenes a los enseres electrónicos: "Si los aparatos son lo suficientemente complejos y controlan el funcionamiento del electrodoméstico por completo, podrían inutilizarlo a cambio de un rescate".
Al igual que se secuestra una base de datos --como ha ocurrido en los últimos años con aseguradoras, cadenas hoteleras y organismos públicos--, es posible paralizar el funcionamiento de estos objetos y reclamar un pago a cambio de su liberación.
Así se produce el ataque
Para lograrlo, el aparato debe estar conectado al menos a la red local de una vivienda. Una vez se produce la incursión, la sencillez de la programación de estas máquinas, como apunta Serra, facilita la labor de los ciberdelincuentes. "Casi siempre son simples y con poca capacidad, lo que hace que tengan un sistema operativo muy simplificado por no poder tener recursos, por tener poco espacio físico (una bombilla, por ejemplo) o no encarecer el coste final del producto", explica.
De hecho, ya ha ocurrido. El experto recuerda que ya hay "ejemplos de botnets de dispositivos conectados que han hecho ataques de denegación de servicio a web de grandes empresas", y que incluso se han lanzado malwares como Mirai específicamente contra cámaras de videovigilancia y routers.
Faltan defensas
"Los grandes ataques de navegación de servicio racias a unos aparatos que eran IoT ocurrieron ya en 2016. Este tipo de dispositivos tienen capacidad de red, y si consiguen infectar 20 o 30 millones, tienen capacidad de delegación de servicio o tener acceso a través de otros dispositivos", expone el especialista de Kaspersky, Marc Rivero
Son ejemplos que demuestran cómo la tecnología está al alcance de los malos. Pero no ocurre lo mismo con las defensas de las marcas. "El problema principal de estos sistemas es que en la gran mayoría de los casos, los fabricantes hacen los productos, pero después no siguen un control de vulnerabilidades en sus sistemas. No crean un protocolo para actualizar automáticamente los aparatos", denuncia Serra.
Sin normas claras
Rivero recuerda que la "concienciación de los usuarios es clave" y requiere "la actualización continua de los software y la implantación de contraseñas robustas que dificulten los ataques". Una actitud proactiva para la cual, sin embargo, no existe un esquema de obligaciones para las corporaciones bien definido, como sí existe por contra en los ordenadores y teléfonos móviles.
La Unión Europea ha tomado nota del asunto. De hecho, la presidenta de la Comisión Europea, Ursula von der Leyen, ha propuesto la creación de una denominada ley de resiliencia ciber que marque unos estándares para la industria. "A nivel global, todavía no existe una definición clara de la seguridad por diseño. Ahora mismo la premisa número uno es estar informado antes de comprar de cuáles son las medidas de seguridad que ha aplicado el fabricante. Al final, deberíamos leer los términos de uso", tercia el coordinador del máster de ciberseguridad de La Salle, Jaume Abella.
Mantenerse alerta
Abella enumera cinco factores que todo comprador debería tener en cuenta: el dispositivo, las comunicaciones, la app, el entorno cloud y la recopilación de datos. En cada uno de estos elementos pueden darse vulnerabilidades que pongan en riesgo no solo la información personal, sino que alteren el día a día de los ciudadanos.
Rivero se congratula de que, como mínimo, todavía no existan bandas especializadas en explotar estas brechas. De todos modos, el analista recomienda mantenerse alerta. "Yo le cambiaría a cualquier electrodoméstico conectado los ajustes que vinieran por defecto", concluye. Más vale prevenir que curar.