Bruce Schneier "En ciberseguridad, Internet de las Cosas, ya es un término viejo"
En su nuevo libro llamado "Click Here to Kill Everybody" (Haga clic aquí para matar a todo el mundo), el autor Bruce Schneier argumenta que los gobiernos deben intervenir ahora para obligar a las empresas que desarrollan dispositivos conectados a hacer de la seguridad una prioridad, en lugar de una idea de última hora.
El título de su libro parece deliberadamente alarmista. ¿Es solo un intento para vender más?
Puede sonar como un cebo publicista, pero intento demostrar que ahora internet afecta al mundo de manera física directamente, y eso lo cambia todo. Ya no se trata solo del riesgo para los datos, sino para la vida y la propiedad. El título realmente señala que existe un peligro físico y que las cosas son diferentes de lo que eran hace solo cinco años.
¿Cómo afecta este cambio a nuestra noción de ciberseguridad?
Nuestros coches, nuestros dispositivos médicos y nuestros electrodomésticos son ahora ordenadores con cosas adjuntas a ellos. Su nevera es un ordenador que mantiene las cosas frías y el microondas es un computador que las calienta. Su coche es un ordenador con cuatro ruedas y un motor. Los ordenadores ya no son solo una pantalla que encendemos y miramos, y ese es el gran cambio. Lo que era la seguridad informática, en su propio ámbito por separado, ahora es la seguridad de todo.
Ha creado un nuevo término, "Internet +", para englobar este cambio. Pero ya tenemos la denominación "Internet de las cosas" para describirlo, ¿verdad?
No me gustaba tener que crear otra palabra de moda, porque ya existen demasiadas. Pero "Internet de las cosas" es demasiado limitado. Se refiere a los dispositivos conectados, termostatos y otros gadgets. Eso es solo una parte de lo que estamos hablando. Realmente se trata del término "Internet de las cosas" más los ordenadores, más los servicios, más las grandes bases de datos que se están construyendo, más las compañías de internet, más nosotros. He acortado todo esto en "Internet +".
¿No podemos simplemente desenchufarnos un poco para limitar los riesgos?
Eso es cada vez más difícil de hacer. Intenté comprar un coche que no estaba conectado a internet y no lo conseguí. No es que no hubiera coches disponibles de ese tipo, pero los que estaban en el rango que yo quería tenían una conexión a internet. Incluso si se pudiera apagar, no había garantía de que los hackers no pudieran volver a encenderlo de forma remota.
Los hackers también pueden explotar las vulnerabilidades de seguridad en un tipo de dispositivo para atacar a otros, ¿cierto?
Existen muchos ejemplos de esto. El botnet Mirai explotó vulnerabilidades en dispositivos domésticos como DVR y cámaras web. Los hackers los usaron para lanzar un ataque contra un servidor de nombres de dominio, que luego dejó fuera de servicio a muchas páginas web populares. Los hackers que atacaron los almacenes estadounidenses Target entraron en la red de pagos a través de una vulnerabilidad en los sistemas informáticos de un contratista que trabajaba en algunas de sus tiendas.
Es cierto, pero estos incidentes no condujeron a la pérdida de la vida ni de la integridad física, y no hemos visto muchos casos con posibles daños físicos, ¿o sí?
No. La mayoría de los ataques aún implican violaciones de datos, privacidad y confidencialidad. Pero estamos entrando en una nueva era. Obviamente me preocupa si alguien roba mis registros médicos, pero ¿qué sucede si cambian mi grupo sanguíneo en la base de datos? No quiero que alguien piratee la conexión Bluetooth de mi coche y escuche mis conversaciones, pero lo que realmente no quiero es que deshabiliten la dirección. Estos ataques a la integridad y a la disponibilidad de los sistemas son por los que de verdad tenemos que preocuparnos en el futuro, porque afectan directamente a la vida y a la propiedad.
Entonces, ¿qué tenemos que hacer para que la era de Internet+ sea más segura?
No existe ni una sola industria que haya mejorado la seguridad y la protección sin que los gobiernos lo plantearan como obligación. Una y otra vez, las empresas escatiman en seguridad hasta que se ven obligadas a tomarla en serio. Necesitamos que el Gobierno intensifique una combinación de aspectos dirigidos a las empresas que desarrollan dispositivos conectados a internet. Debería incluir estándares flexibles, reglas rígidas y leyes de responsabilidad estrictas cuyas sanciones sean lo suficientemente grandes como para perjudicar seriamente las ganancias de una compañía.
Si querés especializarte en Ciberseguridad con Cisco y Fundación Proydesa, hacé click aquí
