Cuando los objetos ciberatacan, hay que delegar responsabilidades

El escenario: Un hacker malicioso tuvo acceso no autorizado a la red wifi doméstica de un usuario. El intruso instaló un software malicioso conocido como ransomware, que encripta los datos y permite a los delincuentes pedir un rescate a cambio de la liberación de la información. Y el acceso ocurrió a través de una televisión conectada a Internet, con deficientes protocolos de seguridad cibernética.

¿El único culpable en esta escena es el hacker malicioso que atacó al usuario? No, dice Mikko Hyppönen, director de Investigación de la firma de ciberseguridad F-Secure y uno de los principales gurús de la seguridad informática.

No importa si es un televisor, una lavadora o una cámara conectados a Internet, el experto considera que los fabricantes de objetos conectados a Internet deben responsabilizarse también de los ataques que se generan por la débil protección que integran en sus productos. Y esto, en su opinión, es lo que debería perseguir una regulación alrededor del llamado Internet de las cosas.

NOTICIA: Política de ciberseguridad en México tiene un camino sinuoso

Ahora puedes comprar una lavadora Philips, y si se incendia, son los grandes responsables de que se incendie tu casa. Así que también debemos hacerlos responsables de problemas cibernéticos así que si la lavadora conectada a la red filtra la contraseña de tu Wifi, alguien obtiene acceso a tu red e instala un ransomware en tu estación de trabajo, es su problema, no el tuyo , dijo durante su visita a la ciudad de México.

La firma de análisis Juniper Research pronostica que en el 2021 existirán 46,000 millones de objetos en la red, lo que representará un aumento del 200% respecto al 2016. Pero este crecimiento exponencial del llamado Internet de las cosas ocurre a costa de que los fabricantes sacrifican la seguridad de los usuarios para reducir los costos de fabricación.

El experto en ciberseguridad reconoce que los fabricantes no invierten en ciberseguridad porque no es un factor que el consumidor busque cuando compra un dispositivo conectado, además de que esto representaría un aumento en los precios.

Estos dispositivos son el punto más débil de las redes y tenemos estos problemas porque la ciberseguridad no es un punto de venta para electrodomésticos. Cuando compras una lavadora, no preguntas por cortafuegos o VPN o seguridad para los clientes, pero la compras por el precio, el tamaño y el color. La ciberseguridad nunca está en discusión , alertó.

NOTICIA: Ciberseguridad e Internet de las cosas preocupan a los reguladores

El órgano regulador de Estados Unidos, la Comisión Federal de Comercio de Estados Unidos (FTC), marcó un antecedente a inicios de enero, cuando anunció que procederá legalmente en contra de la firma taiwanesa D-Link por comercializar ruteadores y cámaras IP bajo el argumento de poner en peligro la privacidad de los consumidores estadounidenses debido a las inadecuadas medidas de seguridad adoptadas por la empresa en sus productos.

Terrell McSweeny, comisionada de la FTC, alertó durante un panel celebrado en el CES 2017, en Las Vegas, incluso consideró que la falta de un marco normativo puede colocar en desventaja competitiva entre los fabricantes que sí invierten en seguridad.

Tenemos muchas compañías realizando las inversiones correctas y tratando de asegurar sus productos y se colocan en desventaja cuando sus productos seguros se conectan a otros inseguros. Eso es uno de los grandes desafíos , dijo.

La seguridad de los objetos conectados han estado en las preocupaciones de los reguladores desde hace un par de años, pero las alertas aumentaron tras el ataque a la compañía estadounidense Dynamic Network Services (Dyn), proveedor de Sistema de Nombres de Dominio (DNS) que permite que los usuarios accedan a los sitios de Internet, y que dejó sin acceso a grandes servicios como Twitter, Netflix o Amazon.

El ataque, ocurrido a finales de octubre, se perpetró a través de una red zombie de objetos conectados, llamada Mirai, donde los ciberdelincuentes utilizaron vulnerabilidades en la seguridad de las cosas para efectuar la ofensiva. Hyppönen asegura que más de 200,000 objetos participaron en el mayor ataque de negación de servicio distribuido (DDos) que se tenga registro.

NOTICIA: Virus que atraca los cajeros automáticos vuelve recargado

El debate está en crear una regulación que no inhiba la innovación, que permita establecer procesos y buenas prácticas en torno a la ciberseguridad en el desarrollo del Internet de las cosas, y que no establezca protocolos que se vuelvan obsoletos tan pronto se emitan las reglas.

No me gusta la regulación. En muchos casos la regulación falla, pero aquí hay lugar y es importante: si vamos a regular la seguridad de las máquinas, no debemos regular cómo deben protegerlas sino simplemente debemos hacer responsables a los fabricantes , comentó Hyppönen.

julio.sanchez@eleconomista.mx