Los piratas informáticos aman el Internet de las cosas porque la seguridad no vende tostadoras

La frase "violación de datos" no llegó en el lenguaje común, es decir, "una cantidad sustancial de búsquedas mensuales de Google", hasta noviembre de 2013, cuando 110 millones de tarjetas de pago de clientes fueron expuestas por una violación de datos de Target. Ahora, entendemos no solo que nuestra información es vulnerable, sino que es vulnerable por todos lados. Lo que era cierto para Target ahora también lo es para Barbie Dolls, inodoros, máquinas de MRI y el sistema de transmisión de emergencia: estas cosas pueden ser pirateadas. Esta es la razón por la que los medios se han enamorado de las historias sobre cómo los nuevos productos pueden ser hackeados o comprometidos fácilmente. Estas historias son tan comúnmente proféticas como invariablemente confusas. Después de todo, es difícil analizar lo que realmente significa "vulnerable" en la era de la violación.

Probemos porque hay mucho más por venir.

Las autopistas digitales que conectan el mundo ahora se conectan a caminos panorámicos que van a todas partes. Podemos ver un aumento de 30 veces en la cantidad de dispositivos conectados a internet en los próximos cinco años, es decir, 26 mil millones de dispositivos en línea. Ya no se trata solo de teléfonos inteligentes y computadoras, sino de perillas, termostatos, bombillas y más. Si bien no hay necesariamente datos digitales valiosos para ser robados de un pomo de la puerta conectado a Internet, hay muchas cosas que pueden ser robadas de su hogar si alguien aprende a convertirlas. Algunas veces ese proceso es incómodamente fácil para los expertos.

Dan Guido, director general de la firma de investigación y desarrollo de seguridad cibernética Trail of Bits, sugiere que esto se debe a un problema sistémico en la tecnología contemporánea. Considere el sistema operativo de su computadora o teléfono inteligente. Hay nuevos parches y actualizaciones lanzados todo el tiempo para Windows, OS X, iOS y similares. Cada una de estas actualizaciones sirve para corregir errores variados, por muy invisibles que sean para el consumidor, y cada una de estas es una oportunidad para explotarlas.

"Nunca llegas al final", dijo Guido. "Siguen parcheando y arreglando cosas, pero hay un suministro casi ilimitado de vulnerabilidades para que las personas las encuentren". El problema fundamental, dice, es que las personas no están construyendo software para estar seguros desde el principio; Hay demasiado énfasis en la creación de productos que sean rápidos y confiables; la seguridad sigue siendo una idea de último momento.

Resulta que lo más cercano que tienen los consumidores a un perro guardián de la seguridad digital es la FTC, que se ha intensificado en los últimos años para responsabilizar a las empresas por sus reclamos de seguridad. Si una compañía hace afirmaciones sobre la seguridad de sus productos que no se mantienen, se enfrenta a multas. Esto puede ser intimidante para algunas firmas más pequeñas, pero la historia nos dice que los consumidores tienen poca memoria en temas de seguridad, por lo que el mercado tiende a evitar el azote. Las empresas gastan tiempo y dinero en velocidad y conveniencia porque, en última instancia, eso es lo que quieren los consumidores. La seguridad parece importar principalmente cuando falla. Este enfoque podría resumirse mejor como "no hay daño, no hay falta".

Este es un problema porque hace que abrazar la innovación sea una propuesta peligrosa.

Guido dice que muchos dispositivos de Internet de las cosas son tan fáciles de piratear que los internos de su empresa con frecuencia los reutilizan para sus propios proyectos. “Si quieres entrar en un iPhone o en Internet Explorer, lleva meses de esfuerzo. Si quiere entrar en la última escala de Wi-Fi, se necesita una semana sin experiencia previa. "Romper con los dispositivos modernos de IoT es tan poco destacable en el mundo de la seguridad de la red que se ha denominado" piratería basura ".

"El avance de la seguridad no está sucediendo realmente", explica Guido, sugiriendo que es un problema de educación. “Brindar mejores herramientas e incentivos para la seguridad en la educación en informática podría hacer una diferencia. Debería haber normas de seguridad para el código que los estudiantes entregan, pero en este momento es difícil para un maestro evaluar la seguridad ".

Lo que se desprende de la crítica de Guido: todo es vulnerable, pero especies específicas de dispositivos son más susceptibles a una incursión exitosa. Cualquier cosa nueva y promocionada o altamente iterativa será particularmente vulnerable, como lo son los productos de arranque y cualquier producto tecnológico que obtenga valor al aprovechar una marca que no sea de tecnología. ¿Debería esto ser motivo de preocupación o mareo entre los consumidores? Eso depende. Si su pomo de la puerta hackeable presenta un problema de seguridad legítimo, su tostadora hackeable representa un inconveniente potencial pero poco probable. Y puede haber valor a ese inconveniente. Después de todo, una tostadora súper hackeable también es hackeable para su dueño, lo que permite un nuevo y divertido tipo de personalización de cocina.

Las historias sobre la vulnerabilidad van a proliferar. Lo importante para recordar cuando los titulares comienzan a gritar es que no todos los hacks son creados iguales y que no hay cosas como la seguridad absoluta, solo mejores apuestas.