EnPerspectiva.uy

Entrevista central, jueves 27 de octubre: Santiago Paz

Facebook Twitter Whatsapp Telegram

EC —El viernes pasado en Estados Unidos sí hubo un ciberataque que dejó durante varias horas fuera de línea a algunos de los gigantes de internet, por ejemplo Twitter, Spotify, Amazon, y también sitios periodísticos, como The NY Times o CNN, por mencionar algunos. ¿Se sabe en ese caso cuál fue el origen, quién llevó a cabo ese hackeo?

SP —El quién no. Llegar a quién originó el ataque es una tarea muy compleja, lleva aspectos de investigación criminal, que llevan adelante las agencias que se dedican a eso, como el FBI. Los que trabajamos en la parte de ciberseguridad analizamos aspectos técnicos y lo que se sabe claramente es que fue un ciberataque, de hecho fue el ciberataque de negación de servicio más grande de la historia. Se generó tráfico del orden de 1 terabyte por segundo. Uno tiene una conexión de 100 MB, de 1 GB o de 1 TB, que son miles de gigas. El volumen de tráfico es muy alto.

Para ejemplificar qué significan estos volúmenes de tráfico, un ataque de negación de servicios cuando uno tiene un servicio que está dimensionado para recibir tantas peticiones por segundo, imaginemos un supermercado con ocho cajas, que puede atender tantos clientes en determinado momento. Pero si por algún motivo un atacante coordina con 2.000 personas, van todos a ese supermercado y compran un producto de $ 5 todas al mismo tiempo, el supermercado colapsa, y el comprador legítimo que quiere comprar un carrito lleno no va a poder acceder a la caja. Y si van 3 millones es un ataque de negación de servicio. Son muchísimas peticiones no legítimas que impiden que el servicio sea dado a usuarios que quieren usarlo de manera legítima.

Esos ataques de negación de servicio se llaman distribuidos, porque, precisamente, están distribuidos entre varios atacantes. La clave desde el punto de vista del atacante es tener lo que se llaman bots o computadoras zombies, es decir, tener control sobre cientos de miles de dispositivos en internet de manera que cuando yo hago un clic todos al mismo tiempo se conectan al servicio que quiero atacar.

EC —Un ataque como este, un hackeo como este fue llevado a cabo utilizando máquinas, aparatos, dispositivos de una cantidad enorme de gente que no sabía, que no tenía ni idea de que estaba participando en el ataque más grande de la historia, cientos de miles de máquinas en eso.

SP —Históricamente hay casos superemblemáticos por 2007, 2008, en aquel momento estaban muy de moda esos ataques, y luego fue bajando la moda, no la cantidad de ataques. Es decir, si yo tomo una computadora ahora me encuentro con una cantidad de obstáculos, antivirus, porque tengo que lograr instalar un virus, tengo que tener una cantidad de ingeniería para poder tener máquinas zombies y botnets que me permitan hacer ese tipo de ataques.

EC —Con computadoras no es tan fácil, no es lo más fácil.

SP —El nivel de facilidad es bastante subjetivo, hay atacantes que te dicen “es una pavada”, y es real, existen botnets enormes que están desplegadas. Pero aparece algo que es mucho más fácil, que es el concepto de internet de las cosas, dispositivos que no son computadoras que se conectan a internet. Puede ser un televisor que se conecta a internet, una grabadora de video que se conecta a internet, una heladera o una lamparita.

EC —Hay servicios que permiten controlar a distancia la iluminación de una casa.

SP —Las cámaras de videovigilancia, que las saco de la caja, las enchufo, las conecto a internet y puedo vigilar mi casa a distancia.

EC —Eso tiene muchas ventajas, ha ido creciendo mucho, es la moda en este momento.

SP —Es la moda y se especula que por ahí va el crecimiento de internet. Hoy tenemos cerca de 15.000 millones de dispositivos conectados a internet. Dentro de cinco años se estima que van a ser cerca de 30.000 millones. Ese crecimiento se da principalmente en los dispositivos de internet de las cosas. Lo cual es bastante razonable: ya tengo mi celular, ya tengo mi computadora, no voy a estar con tres celulares, cuatro computadoras. Sin embargo sí voy a empezar a incorporar mi heladera a internet, mi cafetera a internet, mi videocámara, y eso es lo que genera el crecimiento más grande, prácticamente una internet del porte de la actual de dispositivos de internet de las cosas.

Estos dispositivos tienen muy poco espacio de memoria, no tienen disco duro –imaginate una lamparita que se conecta a internet–, no tienen una cantidad de elementos. Eso lleva a que esos dispositivos sean muy básicos desde el punto de vista de la ciberseguridad y los hace muy vulnerables.

EC —¿Tú estás diciendo que una lamparita conectada a internet pudo ser uno de los dispositivos utilizados para formar parte de ese ataque masivo?

SP —Exactamente. Se estima que en ese ataque hubo cerca de 150.000 cámaras de videovigilancia, por ejemplo. De hecho, yo compro la cámara, viene con un usuario y contraseña de fábrica, admin, admin, la enchufo, y si otro atacante la ve y yo no le cambié la contraseña, entra y tiene control de la cámara.

EC —Lamentablemente es muy común que quien compra determinados dispositivos no modifique el usuario y la contraseña que vienen de fábrica.

SP —Hay dos planos para mitigar ese problema. Un plano es el tradicional en ciberseguridad, es lo que se conoce como sensibilización, que es decirle al usuario: tenés este riesgo, por favor, cuando compres un dispositivo cambiale la contraseña. Y hay una corriente, que comparto absolutamente, que entiende que en determinado aspecto es necesario hacerlo pero no es suficiente. No se puede delegar en el usuario la responsabilidad de tomar medidas de seguridad con su electrodoméstico. Creo que la responsabilidad es del fabricante. El fabricante debería obligarte a cambiar la contraseña, por ejemplo. Es decir, yo me compro un dispositivo y no puedo conectarlo si no le cambio la contraseña. Yo uso el ejemplo del auto y el ABS: el usuario pisa el freno, que es una computadora, y son los ingenieros que lo fabricaron los que tienen que resolver el resto. Acá es parecido: yo me compré la lamparita y la enchufé; deberían ser los ingenieros los que tomen los recaudos de seguridad asociados a eso. Obviamente hay que sensibilizar y explicarles a los usuarios los riesgos que existen, pero entiendo que es una medida necesaria pero no suficiente.

EC —Lo cierto es que con el avance tan fuerte de internet de las cosas se le ha incorporado a internet una enorme vulnerabilidad.

SP —Absolutamente. En el ejemplo del supermercado, si yo fuera el dueño del supermercado no lo podría detener, no puedo impedir que la gente vaya a comprar y tranque las cajas. Detener ataques de este porte es imposible. Uno puede contener el impacto del ataque pero no lo puede detener. Semanas antes del ataque del viernes se había hecho otro ataque de esa naturaleza y se expuso cómo se había hecho, se explicó y se dio el código: esta fuera la manera de hacerlo. Hay algunas especulaciones acerca de que quien realizó el ataque del viernes pudo haber sido alguien que tomó la información que le habían dado. Entonces eso está en internet, hoy sabemos que los dispositivos están y posiblemente con las contraseñas de fábrica, si uno busca va a poder tener acceso a una cantidad de dispositivos. Es un riesgo, una amenaza que existe.

Comentarios