Universia Knowledge@Wharton

Los ataques cibernéticos del 21 de octubre, que impidieron el acceso de los usuarios a sitios muy populares como Twitter, PayPal, Netflix y otros, saca a relucir, y de manera impactante, la fragilidad de seguridad en un mundo cada vez más impulsado por Internet. Los ataques a los DNS (servicios de nombres de dominios) de Internet del proveedor Dynamic Network Services o Dyn, de Manchester, en New Hampshire, ponen de manifiesto la urgente necesidad de educar al consumidor, de proponer decretos legislativos que fuercen a los fabricantes de equipos a instalar elementos de seguridad adecuados y obliguen a las empresas que dependen de Internet a trasladar las cuestiones de seguridad a la alta dirección.

Los ataques fueron posibles gracias a la movilización de las redes de aparatos domésticos comunes, como los monitores de vigilancia de los niños o cámaras de Internet, para volcar alrededor de 1,2 billones de bits de datos por segundo en los servidores de Dyn, lo que los dejó fuera de servicio. Dyn ayuda a conectar los navegadores de los usuarios de Internet a los sitios web que deseen visitar mediante el establecimiento de la correspondencia entre la dirección del sitio y las direcciones IP que identifican a sus ordenadores. Dyn resolvió el problema al final del día, pero quedó golpeada por la naturaleza sin precedentes del ataque.

“Fue un ataque sofisticado, muy bien distribuido y que se extendió a millones de direcciones IP”, señaló Kyle York, director de estrategia de Dyn, en relación con el llamado ataque de denegación de servicio (DDoS, por sus siglas en Inglés). En un ataque DDoS, una gran cantidad de dispositivos de acceso a Internet envía grandes cantidades de solicitudes a los proveedores de DNS, sobrecargándolos de tal forma que se sienten incapaces de cumplir con las peticiones realizadas.

Un grupo llamado New World Hackers reivindicó los ataques Dyn en un tuit al día siguiente, diciendo: “Acabamos de romper algunos récords y hemos hecho algunas cosas que se pueden volver a hacer otra vez”. Sin embargo, el grupo señaló que podrían no volver a lanzar un ataque: “Estamos cansados de la piratería y estamos pensando en retirarnos”.

Malos augurios iniciales

Para algunos expertos, los New World Hackers son impostores. Su mensaje, sin embargo, estaba claro. Los hackers “han demostrado lo feas que se pueden poner las cosas”, dijo Michael Greenberger, fundador y director del Centro de Salud y Seguridad Nacional de la Universidad de Maryland, que es también profesor en la facultad de derecho de esta institución. “Esto sirve para demostrar a la gente lo vulnerables que somos”, dijo, y advirtió que los futuros ataques podrían ampliarse a los dispositivos que salvaguardan la vida de las personas en los hospitales o a los sistemas eléctricos. “No es el fin del problema. Es sólo el principio”.

Los usuarios de los equipos conectados a Internet deben ser más vigilantes y presionar a los fabricantes para que instalen los elementos de seguridad necesarios, dijo Diana Burley, directora ejecutiva y presidente del Instituto para la protección de la infraestructura de información [Institute for Information Infrastructure Protection] de la Universidad George Washington, donde también es profesora de aprendizaje humano y organizacional.

“Hoy en día, los consumidores están preocupados por la comodidad y por hacer todo lo que creen que deberían ser capaces de hacer lo más rápidamente posible y de la manera más eficaz”, dice Burley. Ella explica que el consumidor parece querer simplemente rapidez y comodidad en su dispositivo sin tener que preocuparse acerca de las vulnerabilidades subyacentes a que se expone cuando utiliza esas máquinas, dice. “Si los consumidores exigen que sus dispositivos sean seguros, y se puedan usar con seguridad, esto hará que sus necesidades se conviertan en parte del ciclo de desarrollo del producto”.

Greenberger y Burley discutieron las formas de hacer frente a los retos que plantean los ataques Dyn en el programa de Knowledge@Wharton de Wharton Business Radio, en el canal 111 de SiriusXM.

Lo que el usuario debe hacer

“Es importante hacer una limpieza del computador”, dice Greenberger. Los aparatos domésticos como los sistemas de monitoreo de los niños, las cámaras web y las grabadoras digitales conectadas a Internet a menudo vienen con contraseñas preestablecidas a las que los hackers pueden acceder fácilmente, dice.

Cuando los usuarios no sustituyen las contraseñas establecidas por defecto por contraseñas propias, los hackers pueden asumir sin dificultad el control de sus dispositivos y hacer que envíen señales de IP en un ataque, dice. “Comienzan a controlar estas cosas y las convierten en armas”. Burley añade: “Tal vez no imaginábamos que nuestras grabadoras digitales, o nuestros coches o nuestras cámaras funcionaran como las computadoras, pero efectivamente eso es lo que son, por eso no podemos simplemente utilizarlos como si usáramos una máquina vieja y sin conexión a Internet”.

Implicaciones legales

Greenberger dice que la carga de proporcionar la seguridad adecuada está más vinculada al fabricante del dispositivo que al consumidor. “El producto tiene que ser desarrollado de una manera que no lo torne vulnerable”. Él dice que se está empezando a desarrollar una “teoría de la negligencia, o lo que llamamos de ley ilegal”. Si, de acuerdo con esta ley, el fabricante no deja claro al consumidor que tiene que cambiar la contraseña, se le puede considerar “responsable por la negligencia de cualquier daño causado”. La posibilidad de incurrir en esta pérdida ha llevado a algunas empresas a ser más conscientes de sus obligaciones y a utilizar la seguridad apropiada en sus productos, agregó.

Anteriormente, los gestores de las empresas a menudo relegaban la seguridad de Internet a sus departamentos de TI. Sin embargo, cada vez más los directores generales de las empresas están empezando a tratar la cuestión en el ámbito de toda la empresa, de manera que reciba la atención que debería tener, dice Greenberger. La magnitud de este cambio es enorme. Greenberger dice que las estadísticas muestran que sólo el 25% de las empresas cuentan con expertos en informática internos para hacer frente a estos problemas.

Según Burley, identificar donde recae la responsabilidad es importante. El dice que el proceso de desarrollo de software es complejo, ya que el fabricante puede utilizar diferentes tipos de código de software de numerosos proveedores.

Burley también señala que, si bien el último ataque se ha centrado más en la costa este de EEUU, el problema de seguridad en Internet va más allá. “Este es un problema global, Internet no tiene fronteras”.

Programa de acción

Greenberger dice que se debe prestar más atención a los controles de seguridad regulados. Y señala que el Gobierno federal y muchos gobiernos estatales han estado “discutiendo” con los fabricantes de equipos privados para la introducción de las mejores prácticas en sus productos, y agregó que el 85% de la infraestructura de Internet es de propiedad privada. “Estamos instando a la gente a que haga lo correcto, y se ha prestado mucha más atención a la determinación de que se introduzcan mejores prácticas”, añadió. “Por ejemplo, cuando se lanza un nuevo medicamento al mercado, usted no discute con el fabricante para que lo haga con seguridad. Nos encontramos en la misma situación aquí”.

Greenberger también dijo que duda del beneficio que tienen los aparatos domésticos conectados a Internet para los consumidores. “El análisis de la relación coste-beneficio de la conexión de los aparatos domésticos a Internet es perjudicial para el consumidor […] No tiene sentido conectarse a Internet con estas cosas”.

La responsabilidad de fabricar dispositivos que se conectan a Internet con más seguridad debe ser compartida por los consumidores, los gobiernos y los fabricantes, dice Burley. “No se trata de una situación del tipo esto o aquello, todo lo anterior debe tenerse en cuenta”.

Sin embargo, Burley cree que sólo un acontecimiento dramático podría impulsar los cambios necesarios. “Cuando empecemos a pensar en la repercusión de la denegación del servicio de suministro de equipos médicos o cosas que pueden tener como resultado la pérdida de vidas, veremos un mayor número de personas prestando atención al caso”, dice ella. “Nadie quiere que se produzca un evento catastrófico, pero la forma de llamar la atención es a través de eventos catastróficos”.

Greenberger está de acuerdo. “Al final, sucederá algo equivalente a los ataques del 11 de septiembre, y ahí los decretos comenzarán a surgir”.