La portada de mañana
Acceder
Peinado multiplica los frentes del ‘caso Begoña’ sin lograr avances significativos
El miedo “sobrenatural” a que el cáncer vuelva: “Sientes que no consigues atraparlo”
OPINIÓN | 'En el límite', por Antón Losada

La 'Hiedra del demonio' hackea al ojo del Internet de las Cosas

Bosch, Canon, D-Link, Panasonic, Sharp, Siemens, Sony, Toshiba y así hasta 500 compañías. La 'Hiedra del demonio' (Devil's Ivy) les afecta a muchas de ellas pero no es una planta. Se trata de una brecha de seguridad que existe en millones de dispositivos conectados al Internet de las Cosas (IoT) y que tiene su razón de ser en una línea de código abierto mal escrito. Una entrada, miles de salidas.

Dio el aviso Senrio, una empresa de ciberseguridad en el ámbito del Internet de las Cosas (IoT) que llevaba un mes investigando el fallo. El martes, después de ponerse en contacto con la compañía que programa el código (Genivia), lo anunció al mundo: “Hicimos este descubrimiento en una única cámara, pero el código se usa en un amplio rango de productos de seguridad físicos. Cualquiera que haya usado alguno de estos dispositivos va a verse afectado de una forma u otra”, dijo el jefe de operaciones de Senrio, Michael Tanji.

Genivia, que trabaja con 34 fabricantes en los que implementa gSOAP (una librería de código C/C++ donde se encuentra el fallo), dice que ya han sacado un parche de seguridad pero que no pueden hacer más. Devil's Ivy se ha extendido tanto y tan rápido que las brechas podrían permanecer largo tiempo sin parchear en una gran cantidad de dispositivos. Según Tanji, tanto Microsoft como IBM también se encuentran expuestos.

El fallo de seguridad permite a un atacante obtener acceso remoto a una cámara conectada al IoT, instalar una puerta trasera en el dispositivo o bloquear al propietario del mismo para que no pueda entrar. Imaginemos neveras con sensores ávidas de saber cuántos yogures quedan. Drones que vuelan identificando sus objetivos. Ositos de peluche que en realidad sirven para vigilar a quien cuida el bebé. Y así una larga lista de cosas: el ojo de Internet ha sido hackeado y, con él, cualquier cosa conectada al IoT.

“Estaban todos los dispositivos afectados”

Senrio descubrió el bug cuando probaba una cámara de seguridad de la empresa sueca Axis. Investigaban una vulnerabilidad que permitía a un atacante sobrecargar la cámara con datos basura y reescribir el firmware del producto para, en última instancia, tomar el control. Luego descubrieron que no solo afectaba a esa cámara, sino a los 249 tipos de cámaras que los suecos comercializan. “Es una vulnerabilidad crítica”, dice Axis a Motherboard.

“Estaban todos [los dispositivos] afectados”, dice un portavoz de la marca a Motherboard. Los suecos sabían que el fallo no estaba en su código, sino en el de su distribuidor: Genivia. La librería gSOAP estaba mal hecha e iba incluida en el firmware de millones de dispositivos. Al ser código abierto, probablemente estará incluida en aún más objetos.

Además, y para darle mayor gravedad al asunto, la pieza de código es utilizada por algunos miembros del ONVIF Consortium (Open Network Video Interface Forum - Foro de la interfaz de vídeo en la red abierta). Esta organización “provee y promociona interfaces estandarizadas para la efectiva interoperatividad de los productos de seguridad básicos conectados con una IP”, según su página web. En pocas palabras: procuran implementar lenguajes de red comunes para las cámaras de seguridad y los objetos conectados al IoT.

gSOAP: la librería más usada

Al consorcio pertenecen más de 500 miembros, entre ellos Netgear, Cisco, Fortinet, Hitachi y las empresas mencionadas al comienzo de este artículo. En declaraciones a Motherboard, el ONVIF dice que “así como SOAP es la base de la API [plataforma para desarrolladores] de ONVIF, es posible que los miembros del consorcio se hayan visto afectados”. Si bien es cierto que no todos ellos utilizan esa librería.

Para hacernos una idea de la magnitud de Devil's Ivy basta con hacer una búsqueda en Shodan, que recopila todos los dispositivos conectados al IoT en tiempo real. Solo buscando la marca “Axis” existen unas 14.000 direcciones IP, una por cada objeto en línea. Imaginen repetir la acción con cada una de las marcas que utilizan la librería gSOAP.

Stephen Ridley, el fundador de Senrio, considera que haya “decenas de millones de productos [entre software y dispositivos conectados] afectados por Devil's Ivy. La seguridad es uno de los principales problemas del IoT que viene: es por eso que el INCIBE explicaba a este diario el pasado enero que ”los métodos de autenticación tienen que ser lo suficientemente seguros para que solamente el propietario pueda acceder, hay que crear contraseñas seguras y robustas y asegurarse de que los protocolos de comunicación estén siempre cifrados“.