A cualquier fan de la serie Homeland, el ataque a los buscas de Hezbolá les resultará familiar. En el décimo capítulo de su segunda temporada, titulado de una manera nada original “Broken hearts” (“Corazones rotos”), un grupo de terroristas induce un paro cardíaco al vicepresidente de ficción William Walden manipulando su marcapasos inalámbrico. Un episodio claramente inspirado en Dick Cheney, vicepresidente de EE UU, este de verdad, durante el ataque a las Torres Gemelas. Cheney contaba en una entrevista en el programa de CBS 60 minutes cómo su médico personal había ordenado la desactivación de la función inalámbrica de su marcapasos por temor a un posible ataque. “Me parecía una mala idea que el vicepresidente llevara un dispositivo que alguien, en la habitación de al lado o en la planta de abajo, pudiera hackear”, contó su cardiólogo, Jonathan Reiner. El propio Cheney afirmó que la amenaza era “creíble”. Estamos hablando de 2007, hace casi 20 años.
El internet de las cosas implica que muchas de nuestras tecnologías son susceptibles de volverse contra nosotros como un arma dirigida por alguien que no necesita grandes conocimientos para provocar el colapso
A cualquier fan de la serie Homeland, el ataque a los buscas de Hezbolá les resultará familiar. En el décimo capítulo de su segunda temporada, titulado de una manera nada original “Broken hearts” (“Corazones rotos”), un grupo de terroristas induce un paro cardíaco al vicepresidente de ficción William Walden manipulando su marcapasos inalámbrico. Un episodio claramente inspirado en Dick Cheney, vicepresidente de EE UU, este de verdad, durante el ataque a las Torres Gemelas. Cheney contaba en una entrevista en el programa de CBS 60 minutes cómo su médico personal había ordenado la desactivación de la función inalámbrica de su marcapasos por temor a un posible ataque. “Me parecía una mala idea que el vicepresidente llevara un dispositivo que alguien, en la habitación de al lado o en la planta de abajo, pudiera hackear”, contó su cardiólogo, Jonathan Reiner. El propio Cheney afirmó que la amenaza era “creíble”. Estamos hablando de 2007, hace casi 20 años.
La “anécdota Cheney” ha sido recurrente en los foros, encuentros y congresos de ciberseguridad de la IoT (internet de las cosas, en su abreviatura en inglés), esto es, de las cosas conectadas, implantables o vestibles. Como buenos conspiranoicos que vivimos en un mundo amenazante, nos resultaba sorprendente que nadie tomara medidas efectivas para minimizar el riesgo de una de las posibilidades de ataque más sencillas y con más impacto en la integridad física de las personas. Pensemos en todas las cosas que hay a nuestro alrededor que tienen mecanismos que les permiten hacer algo, desde lavar nuestra ropa hasta inyectarnos insulina desde un dispositivo subcutáneo.
A alguien, en uno de estos hypes que vivimos constantemente en el mundo tecnológico, se le ocurrió que sería una idea sensacional conectar a internet la tostadora, el frigorífico, la puerta de casa o el termostato de la calefacción. O un coche. O los sistemas de navegación de un avión. Si de mí dependiera, antes pondría una estatua al inventor de la fregona que quien pensó en lo cómoda que sería su vida encendiendo desde la cama la cafetera con un simple tuit. Esa misma persona no pensó en el riesgo que suponía conectar a internet cualquier cosa enchufada a la electricidad o con una batería, con el potencial evidente de provocar un incendio o una explosión. La misma que convirtió un riesgo individual de siniestro, sujeto a circunstancias concretas de fabricación o entorno, en un riesgo planetario.
Porque lo que marca la diferencia es la conectividad: el acceso universal, en tiempo real, y a gran escala. Si hay un error en un componente o una vulnerabilidad que puede ser aprovechada, al ser la misma en todos los productos o en los mismos componentes instalados en distintos productos, lanzando un solo ataque se alcanzan millones de dispositivos y, por tanto, a sus dueños. A diferencia de ataques dirigidos como el de Cheney o el de la ficción de Homeland, una vulnerabilidad en un dispositivo conectado podría afectar a millones de usuarios simultáneamente, como hemos comprobado en el ataque a Hezbolá (también dirigido, pero de carácter masivo).
Imaginemos un escenario en el que un atacante pudiera tomar el control de millones de termostatos inteligentes en medio de una ola de calor, elevando las temperaturas a niveles peligrosos, al mismo tiempo que bloquea las puertas conectadas de las casas. O las consecuencias de un ataque coordinado a los sistemas de frenos de vehículos conectados durante la hora punta en una gran ciudad. O a todos los marcapasos de St. Jude Medical (ahora parte de Abbott) implantados en pacientes (aproximadamente 465.000) que fueron retirados en 2016 por la agencia del medicamento de EE UU. Ciertos modelos de marcapasos implantables y desfibriladores cardíacos de la marca tenían un fallo de seguridad que permitía, mediante un ataque remoto, alterar el funcionamiento del dispositivo y causar un shock eléctrico letal o agotar la batería prematuramente. Homeland en estado puro.
Este aviso cambió la producción de dispositivos médicos en EE UU, pero no tuvo ningún impacto en cómo se fabrican las cosas que se conectan. Las mismas que tienen sensores para percibir la realidad (la temperatura, la luz, la orientación, detectar una bajada de glucemia o una arritmia) y actuadores para intervenir en el mundo físico (apagar luces, girar en una calle, dar una descarga a un corazón o inyectar insulina); fabricadas todas ellas, de manera directa o indirecta, en China. Lo que nos lleva al control de la cadena de suministro, otra de las cuestiones que han quedado al descubierto en los recientes incidentes de cosas que explotan por control remoto. Cada componente de un dispositivo conectado, desde los chips hasta el software, pasa por múltiples manos antes de llegar al consumidor final. Cada etapa de este proceso representa una oportunidad para la introducción de vulnerabilidades, ya sean accidentales o maliciosas. O para adherirles una capa de explosivo indetectable.
En Europa, diversas iniciativas legislativas como la Directiva NIS2 o DORA (Digital Operational Resilience Act) establecen la obligación de las empresas de los sectores afectados (bancos, servicios digitales, transportes, aseguradoras, etc.) a controlar a la cadena de proveedores que les prestan servicios o productos digitales. Esto, que parece de lo más sencillo, empieza por la complicación de que en nuestro país, por ejemplo, los diversos ministerios no se ponen de acuerdo en quién ha de ser el supervisor de las empresas. Hasta el punto de que estamos al borde del plazo de adaptación y la misma no se ha producido, ni tiene pinta de que se produzca. Pero aunque tuviéramos la legislación mejor redactada y la administración más eficaz, no solventaríamos un ataque como el producido en el Líbano porque no se aplica a los dispositivos conectados que se rigen por una norma de seguridad de los productos antediluviana. Sin mencionar el desafío monumental que supone la trazabilidad de sus componentes, considerando la naturaleza global y compleja de las cadenas de suministro modernas.
En definitiva, conectamos cosas a internet que no protegemos y que son susceptibles de volverse contra nosotros como un ejército de ultracuerpos dirigido por alguien que no necesita grandes conocimientos para provocar el colapso. Y luego nos llaman alarmistas.
Feed MRSS-S Noticias
