Internet de las Cosas Inseguras
28/06/2018
Con este título sorprendió Bob Hinden en LACNIC 29. Es que para este experto, la mayoría de los miles de dispositivos de la llamada Internet de las cosas no son seguros y se pueden controlar simplemente si un atacante inicia una sesión con una contraseña predeterminada.
El especialista alertó que ni las personas ni las organizaciones piensan en la seguridad en Internet, y tampoco los ejecutivos invierten adecuadamente en tecnología para evitar el trabajo de los atacantes.
En una extensa charla con LACNIC News, Hinden abordó los principales obstáculos que observa para el despliegue de IPv6, y muy especialmente se refirió a los problemas de seguridad con Internet de las Cosas.
En su presentación en LACNIC29 usted habló sobre la historia de IPv6 y sobre todas las consideraciones que tuvieron que tener en cuenta para desarrollar la nueva versión de IP. ¿Cuáles son las consultas y comentarios que más suele recibir sobre las características de IPv6?
Antes solían preguntarnos por qué era necesario desplegar IPv6. Ahora que los registros regionales de Internet se han quedado sin direcciones IPv4 y que ha crecido la implementación de IPv6, este tipo de pregunta ha desaparecido. Ahora la pregunta es ¿cómo hago para desplegar IPv6?
IPv4 e IPv6 no son compatibles. ¿Usted cree que, para los que deben implementar IPv6, esta incompatibilidad es una de las mayores preocupaciones? ¿Cree que la incompatibilidad de las versiones ha influido en la velocidad del despliegue de IPv6?
El problema fue que IPv4 no estaba diseñado para ser compatible con versiones futuras. No tenía capacidad de cambio, por ejemplo, para soportar direcciones más largas. La única característica de IPv4 con compatibilidad hacia adelante era el número de versión de cuatro bits. Eso sí lo usamos (de ahí es de donde viene el “6” de IPv6). Esto permite ejecutar IPv6 en paralelo con IPv4. Está funcionando bastante bien y es la principal estrategia de transición empleada hoy en día. Este es el enfoque que soportaba IPv4 y ha funcionado bien en la práctica.
El principal obstáculo para el despliegue de IPv6 ha sido el cambio de los modelos de negocio en Internet. Hoy en día, es difícil desplegar algo que no tenga un beneficio a corto plazo y es mucho más difícil todavía desplegar algo que no tendrá beneficios antes de alcanzar un nivel de despliegue masivo.
¿Cuál es su visión sobre la evolución del IPv6 en el mundo y, en especial, en nuestra región?
Creo que va bastante bien. Dada la amplia implementación en los sistemas operativos de los hosts, se suele ver un gran crecimiento del uso cada vez que un nuevo ISP despliega IPv6. En Estados Unidos hay algunos grandes operadores (fijos y móviles) que tienen la mayor parte de su tráfico en IPv6. De forma similar, los grandes proveedores de contenido, como Facebook y Google, ven que una gran parte de su tráfico es tráfico IPv6.
Creo que IPv6 es muy importante en la región de LACNIC. Ustedes tienen la oportunidad de superar a las demás regiones. Sería una gran ventaja no tener que enfrentar el obstáculo del alto costo de obtener direcciones IPv4, algo que se debe tanto al costo de adquirir las direcciones como a las limitaciones que impone un espacio de direcciones pequeño. IPv6 permite diseñar diferentes tipos de redes, redes más eficientes que evitan las dificultades que impone el limitado espacio de direcciones IPv4 y el tener que lidiar con una combinación de direcciones IPv4 públicas y privadas.
¿Cree que los desafíos planteados al desarrollar IPv6 fueron alcanzados?
Sí, aunque todavía queda mucho más por hacer. El nivel actual de implementación significa que se han superado los obstáculos técnicos y que las implementaciones están maduras. Si no fuera así, no veríamos este nivel de utilización. Se trata de un tema de voluntad, no de problemas tecnológicos.
¿Cuál es tema de mayor preocupación respecto a la seguridad de Internet?
Las personas. Las personas que no piensan en la seguridad, que usan sistemas antiguos; las organizaciones que no protegen sus datos internamente y cuando están en tránsito; las personas que creen que los problemas de seguridad solo afectan a los demás; y los ejecutivos que no invierten adecuadamente en tecnología de seguridad. También las personas que atacan a las redes. Obviamente sabemos que mucha gente se gana la vida creando herramientas para atacar dispositivos de red y muchos otros ofrecen servicios para facilitar el trabajo de los atacantes.
La carrera armamentista entre atacantes y defensores continuará, pero siempre será un problema relacionado con las personas. Tenemos que encontrar formas de llevar a los atacantes a la justicia y de desalentar a otras personas para que no se conviertan en atacantes. En este momento, no hay demasiadas consecuencias para los responsables de un ataque.
Debemos educar a la gente sobre la necesidad de contar con tecnología de seguridad adecuada y a considerar la seguridad a la hora de pensar cómo se almacenan y transmiten los datos.
¿Qué quiere decir con “Internet de las cosas inseguras”? ¿Qué ejemplos podría darnos?
Me refiero a que la mayoría de los dispositivos de la Internet de las cosas no son seguros. De ahí el término “Internet de las cosas inseguras”. En muchos dispositivos, los problemas son tan graves que para controlar el dispositivo alcanza con que un atacante inicie una sesión usando la contraseña predeterminada. El año pasado escribí un artículo sobre este tema para el Internet Protocol Journal (IPJ). Este artículo está disponible en:
http://ipj.dreamhosters.com/wp-content/uploads/issues/2017/ipj20-1.pdf
Puedes ver la presentación completa de Bob Hinden durante LACNIC 29 aquí.