El despertar del ej¨¦rcito de ¡®ultracuerpos¡¯ o el peligro de conectar cosas a internet que no protegemos

A cualquier fan de la serie Homeland, el ataque a los buscas de Hezbol¨¢ les resultar¨¢ familiar. En el d¨¦cimo cap¨ªtulo de su segunda temporada, titulado de una manera nada original ¡°Broken hearts¡± (¡°Corazones rotos¡±), un grupo de terroristas induce un paro card¨ªaco al vicepresidente de ficci¨®n William Walden manipulando su marcapasos inal¨¢mbrico. Un episodio claramente inspirado en Dick Cheney, vicepresidente de EE UU, este de verdad, durante el ataque a las Torres Gemelas. Cheney contaba en una entrevista en el programa de CBS 60 minutes c¨®mo su m¨¦dico personal hab¨ªa ordenado la desactivaci¨®n de la funci¨®n inal¨¢mbrica de su marcapasos por temor a un posible ataque. ¡°Me parec¨ªa una mala idea que el vicepresidente llevara un dispositivo que alguien, en la habitaci¨®n de al lado o en la planta de abajo, pudiera hackear¡±, cont¨® su cardi¨®logo, Jonathan Reiner. El propio Cheney afirm¨® que la amenaza era ¡°cre¨ªble¡±. Estamos hablando de 2007, hace casi 20 a?os.

La ¡°an¨¦cdota Cheney¡± ha sido recurrente en los foros, encuentros y congresos de ciberseguridad de la IoT (internet de las cosas, en su abreviatura en ingl¨¦s), esto es, de las cosas conectadas, implantables o vestibles. Como buenos conspiranoicos que vivimos en un mundo amenazante, nos resultaba sorprendente que nadie tomara medidas efectivas para minimizar el riesgo de una de las posibilidades de ataque m¨¢s sencillas y con m¨¢s impacto en la integridad f¨ªsica de las personas. Pensemos en todas las cosas que hay a nuestro alrededor que tienen mecanismos que les permiten hacer algo, desde lavar nuestra ropa hasta inyectarnos insulina desde un dispositivo subcut¨¢neo.

A alguien, en uno de estos hypes que vivimos constantemente en el mundo tecnol¨®gico, se le ocurri¨® que ser¨ªa una idea sensacional conectar a internet la tostadora, el frigor¨ªfico, la puerta de casa o el termostato de la calefacci¨®n. O un coche. O los sistemas de navegaci¨®n de un avi¨®n. Si de m¨ª dependiera, antes pondr¨ªa una estatua al inventor de la fregona que quien pens¨® en lo c¨®moda que ser¨ªa su vida encendiendo desde la cama la cafetera con un simple tuit. Esa misma persona no pens¨® en el riesgo que supon¨ªa conectar a internet cualquier cosa enchufada a la electricidad o con una bater¨ªa, con el potencial evidente de provocar un incendio o una explosi¨®n. La misma que convirti¨® un riesgo individual de siniestro, sujeto a circunstancias concretas de fabricaci¨®n o entorno, en un riesgo planetario.

Porque lo que marca la diferencia es la conectividad: el acceso universal, en tiempo real, y a gran escala. Si hay un error en un componente o una vulnerabilidad que puede ser aprovechada, al ser la misma en todos los productos o en los mismos componentes instalados en distintos productos, lanzando un solo ataque se alcanzan millones de dispositivos y, por tanto, a sus due?os. A diferencia de ataques dirigidos como el de Cheney o el de la ficci¨®n de Homeland, una vulnerabilidad en un dispositivo conectado podr¨ªa afectar a millones de usuarios simult¨¢neamente, como hemos comprobado en el ataque a Hezbol¨¢ (tambi¨¦n dirigido, pero de car¨¢cter masivo).

Imaginemos un escenario en el que un atacante pudiera tomar el control de millones de termostatos inteligentes en medio de una ola de calor, elevando las temperaturas a niveles peligrosos, al mismo tiempo que bloquea las puertas conectadas de las casas. O las consecuencias de un ataque coordinado a los sistemas de frenos de veh¨ªculos conectados durante la hora punta en una gran ciudad. O a todos los marcapasos de St. Jude Medical (ahora parte de Abbott) implantados en pacientes (aproximadamente 465.000) que fueron retirados en 2016 por la agencia del medicamento de EE UU. Ciertos modelos de marcapasos implantables y desfibriladores card¨ªacos de la marca ten¨ªan un fallo de seguridad que permit¨ªa, mediante un ataque remoto, alterar el funcionamiento del dispositivo y causar un shock el¨¦ctrico letal o agotar la bater¨ªa prematuramente. Homeland en estado puro.

Este aviso cambi¨® la producci¨®n de dispositivos m¨¦dicos en EE UU, pero no tuvo ning¨²n impacto en c¨®mo se fabrican las cosas que se conectan. Las mismas que tienen sensores para percibir la realidad (la temperatura, la luz, la orientaci¨®n, detectar una bajada de glucemia o una arritmia) y actuadores para intervenir en el mundo f¨ªsico (apagar luces, girar en una calle, dar una descarga a un coraz¨®n o inyectar insulina); fabricadas todas ellas, de manera directa o indirecta, en China. Lo que nos lleva al control de la cadena de suministro, otra de las cuestiones que han quedado al descubierto en los recientes incidentes de cosas que explotan por control remoto. Cada componente de un dispositivo conectado, desde los chips hasta el software, pasa por m¨²ltiples manos antes de llegar al consumidor final. Cada etapa de este proceso representa una oportunidad para la introducci¨®n de vulnerabilidades, ya sean accidentales o maliciosas. O para adherirles una capa de explosivo indetectable.

En Europa, diversas iniciativas legislativas como la Directiva NIS2 o DORA (Digital Operational Resilience Act) establecen la obligaci¨®n de las empresas de los sectores afectados (bancos, servicios digitales, transportes, aseguradoras, etc.) a controlar a la cadena de proveedores que les prestan servicios o productos digitales. Esto, que parece de lo m¨¢s sencillo, empieza por la complicaci¨®n de que en nuestro pa¨ªs, por ejemplo, los diversos ministerios no se ponen de acuerdo en qui¨¦n ha de ser el supervisor de las empresas. Hasta el punto de que estamos al borde del plazo de adaptaci¨®n y la misma no se ha producido, ni tiene pinta de que se produzca. Pero aunque tuvi¨¦ramos la legislaci¨®n mejor redactada y la administraci¨®n m¨¢s eficaz, no solventar¨ªamos un ataque como el producido en el L¨ªbano porque no se aplica a los dispositivos conectados que se rigen por una norma de seguridad de los productos antediluviana. Sin mencionar el desaf¨ªo monumental que supone la trazabilidad de sus componentes, considerando la naturaleza global y compleja de las cadenas de suministro modernas.

En definitiva, conectamos cosas a internet que no protegemos y que son susceptibles de volverse contra nosotros como un ej¨¦rcito de ultracuerpos dirigido por alguien que no necesita grandes conocimientos para provocar el colapso. Y luego nos llaman alarmistas.