¿Y si la maravilla se convierte en pesadilla? Internet de las cosas IoT está caminando en el filo del desastre.
Imagina que un fabricante, digamos que asiático, desarrolla un producto conectado a Internet basado en opensource. Cómo no existe un estándar, ni regulación, podrá sacar su producto al mercado manteniendo un nivel de compatibilidad mínimo, y en el nivel de madurez de desarrollo que le plazca.
Hasta aquí todo correcto, lo habitual. El mercado es soberano y decidirá si la escasez de horas de desarrollo se justifica con un precio bajo.
Imagina que el producto es una cámara IP, y que copia el firmware literalmente del proyecto opensource en el que se ha inspirado, y por tanto puede vender la cámara a un precio imbatible.
Puestos a imaginar, se hace viral, los blogs echan humo con el correspondiente patrocinio, y arrasa en el mercado. Millones de unidades vendidas.
Como no han dedicado ni un euro, ni un dólar, ni tan siquiera un renminbi, el acceso a la configuración del aparato tiene una críptica combinación imposible de averiguar:
usuario = admin
contraseña = admin (y por si acaso tambien se acepta 0000 o 1234)
Imagina que alguien se aburre y hace un programa que se dedica a configurar automáticamente esos millones de cámaras, para que todas a la vez intenten conectar reiteradamente al mismo servidor.
Una vez superado el límite de conexiones simultáneas que es capaz de gestionar ese servidor, el mismo se pondrá a meditar, practicar yoga, o cualquier otra tarea a la vez que rechaza el tsunami de peticiones de conexión.
Bueno, esto ya supondrá un disgusto para alguien, pero la gracia no acaba aquí. Resulta que para acceder a un servidor no lo hacemos de forma directa, sino que utilizamos otras máquinas que van redirigiendo la comunicación al servidor destinatario. Estas máquinas de enrutado de comunicaciones también verán superados sus límites de peticiones de comunicación y dejarán de dar servicio a otros servidores.
Pues bien, ya tenemos otro montón de máquinas deseando ser expendedoras de café. Además las máquinas son más insistentes que los niños pequeños y no se conforman con una denegación de servicio. Repetirán la petición hasta el infinito y más allá, provocando que los servidores dediquen todos sus recursos a simplemente decir que no. El sistema se ha colapsado, hace falta un informático que apague y encienda.
Algo así como una operadora de centralita telefónica capaz de gestionar 100 llamadas a la hora, pasa a recibir millones y debe responder a todas. Jamás llegará a transferir ninguna, sólo podrá decir "espere por favor".
Toda esta colección de supuestos imaginarios encadenados forman un guión de suspense que se torna en terror al saber que ha ocurrido.
Efectivamente, el software maligno que reconfiguraba todos estos dispositivos conectados se llama Mirai y fué el mayor ciberataque conocido hasta la fecha.
Lo triste es que se superará. Habrá segunda parte.
El origen de la inseguridad en IoT
Poca dedicación al desarrollo (o copia inteligente) con el objetivo de reducir costes para satisfacer una demanda ávida de ofertas.
Inexistentes servicios de actualización. El bajo precio no permite ofrecer una postventa que cumpla con un ciclo de vida que justifique la compra, por barata que sea.
El origen de la seguridad en IoT
Parece lógico pensar que una empresa pequeña no suela tener los recursos para crear sistemas razonablemente seguros y actualizados, en especial si no es esa la principal dedicación de la empresa. La adopción de un estándar mantenido por una comunidad es la única solución posible para todos aquellos fabricantes cuya línea base de negocio no sea el desarrollo de software.
Este estándar debe ser libre de derechos de licencias, sin propietarios, ni depender de un hardware específico, que dicho sea de paso es una de las trampas habituales para desarrolladores.
Los márgenes que han hecho millonarias a tantas empresas tecnológicas son el freno al actual desarrollo de la tecnología.