Las brechas de ciberseguridad pueden estar más cerca de lo que crees

Cuando se habla de filtraciones de datos personales, robo de información de cuentas bancarias, ataques de denegación de servicios o ciberataques en general, siempre existe la idea de que tales hechos ocurren lejos de uno, en otras esferas, quizás en ámbitos corporativos o comerciales y que es poco probable que uno se vea afectado en espacios tan íntimos como el hogar.

Sin embargo, las brechas de
seguridad, y por tanto, vulnerabilidades que pueden ser explotadas en
perjuicio directo de cada uno, están más cerca de lo que uno cree. Y
este fenómeno ocurre justamente porque cada vez más dispositivos que
comúnmente utilizamos, como router que nos otorgan acceso a internet,
televisores, impresoras, consolas de juegos, refrigeradores, relojes
inteligentes, lámparas, vehículos y más, se están fabricando y diseñando
para interconectarse entre ellas y conectadas a internet,
convirtiéndolas en lo que se denomina IOT o comúnmente “llamadas
internet de las cosas”.

Un claro ejemplo de estas vulnerabilidades fue la reciente publicación de una investigación que desarrollamos en Nivel4, en la cual informamos sobre
vulnerabilidades en algunos modelos de router D-Link, las cuales al ser
explotadas permiten tomar control remoto del dispositivo. Además de
esta capacidad, la vulnerabilidad permite conocer las distintas
contraseñas configuradas en el dispositivo. Así, se detectaron más de
siete mil de estos aparatos conectados a internet, los cuales son
vulnerables y pueden ser controlados de forma remota por un atacante. Si
bien existen dispositivos a nivel mundial, su principal uso es en
Latinoamérica, incluyendo a usuarios chilenos.

Coincidentemente con esta
investigación, se ha informado de la existencia de un malware denominado
GhostDNS, que busca principalmente aprovechar una vulnerabilidad en
routers hogareños interceptando el tráfico de los usuarios y así
redirigirlos a sitios falsos que suplantan la identidad de varios bancos
con el objetivo de robar sus datos. Brasil, Bolivia y Argentina están
en el top tres de países más afectados por esta campaña. Según se informó,
la cantidad de modelos de routers/firmware atacados superan los 70 y
son más de 100.000 los routers domésticos que fueron intervenidos por
los atacantes para redirigir el tráfico. Entre ellos, hay algunos
modelos de marcas como D-Link, TP-Link, Kaiomy, Huawei, Tenda, Ralink y
MikroTik.

Pero no tan sólo estos sistemas están siendo objeto de ataques de seguridad. Recientemente se informó
que investigadores descubrieron múltiples vulnerabilidades críticas en
televisores inteligente Sony Bravia que permiten también a un atacante
controlar de forma remota quiénes están conectados dentro de la red
local, logrando de esta forma acceder a información contenida de otros
dispositivos, que están conectados a la televisión.

Se considera en general que los
televisores inteligentes son actualmente los electrodomésticos más
esenciales y se estima que casi 760 millones de ellos están conectados a
nivel mundial, he ahí la importancia también de estar atentos a
vulnerabilidades.

Respecto a la legislación, es sabido
que los avances tecnológicos y posibles delitos, fraudes y uso de
vulnerabilidades avanza más rápido que las leyes, que muchas se vuelven
anacrónicas si no tienen la flexibilidad necesaria para considerar
diversos escenarios. En Chile, aún se aplica normativa penal general y
no específica para este tipo de acciones.

Sin embargo ya han comenzado a nivel
comparado a aprobarse leyes que podrían establecer obligaciones a los
fabricantes de dispositivos OIT.

En EEUU, en un intento por hacer más
difícil que los bots se apoderen de la gran cantidad de dispositivos
conectados que se venden específicamente en California, los legisladores
estatales aprobaron la ley SB-327.

El proyecto de ley se promulgará el 1
de enero de 2020 y se aplica a los fabricantes de dispositivos, ya sea
que lo hagan ellos mismos o contraten a otra persona para que fabrique
el dispositivo en su nombre.

Requiere que los fabricantes de
dispositivos conectados a internet vendidos en California “equipen el
dispositivo con características de seguridad razonables”…

  • Apropiado a su naturaleza y función;
  • Adecuado a la información que puede recopilar, contener o transmitir;
  • Diseñado
    para proteger el dispositivo y cualquier información que contenga del
    acceso, la destrucción, el uso, la modificación o la divulgación no
    autorizados.

El proyecto establece que “Si
un dispositivo conectado está equipado con un medio de autenticación
fuera de una red de área local, se considerará una característica de
seguridad razonable (…) si se cumple alguno de los siguientes
requisitos: la contraseña preprogramada debe ser única para cada
dispositivo fabricado, o el dispositivo debe contener una función de
seguridad que requiera que un usuario genere un nuevo medio de
autenticación antes de que se otorgue el acceso al dispositivo por
primera vez”

También dice que “las personas
privadas no pueden iniciar una demanda civil si un fabricante no cumple
con la ley. El Fiscal General, un abogado de la ciudad, un abogado del
condado o un fiscal de distrito tendrán la autoridad exclusiva para
hacer cumplir este título”.

Es un avance en regulación. Lo más seguro es que por motivos de seguridad saldrá una nueva normativa a nivel mundial y local, sin embargo la protección y seguridad parte en casa. Lo mejor es informarse y cuidar la protección de información personal.

Artículo publicado originalmente en sitio web de Nivel4

Deja un comentario