The Economist: Computadoras integradas

Ya llega la Internet de las cosas. Es tiempo de hablar de sus defectos de seguridad.

Foto: Bloomberg

Por: Redacción Gestion.pe

La seguridad informática es complicada. Basta preguntarle a la Agencia del Servicio Civil de Estados Unidos: el 9 de julio admitió que hackers habían hurtado información confidencial de 22 millones de empleados gubernamentales. O a la Agencia de Seguridad Nacional del mismo país, que en el 2013 sufrió la mayor filtración de documentos secretos de su historia, por obra de Edward Snowden. O a la aseguradora Anthem, que en enero reportó el robo de 80 millones de archivos de sus clientes.

Es de lamentar que se volverá más complicada. Las computadoras se han expandido de los escritorios de las personas hasta sus bolsillos y hoy están integradas en toda suerte de aparatos, desde automóviles y televisores hasta juguetes, refrigeradoras y aplicaciones industriales. El fabricante de equipos de redes informáticas Cisco estima que existen 15,000 millones de dispositivos conectados y que para el 2020 dicho número podría crecer hasta 50,000 millones.

Los optimistas prometen que un mundo de computadoras integradas en redes y de sensores será un lugar de comodidad y eficiencia sin paralelos, y le llaman la “Internet de las cosas”. Pero quienes trabajan en seguridad informática le llaman un desastre en ciernes.

A estas personas les preocupa que las compañías digitales, en su carrera por introducir “ciberaparatos” al mercado, no han aprendido las lecciones de los primeros años de Internet. Es que en las décadas de 1980 y 1990, las grandes empresas del rubro consideraron que la seguridad era un asunto adicional.

Solo cuando las amenazas se hicieron evidentes —virus, ataques de hackers, etc.—, Microsoft, Apple y el resto comenzaron a reparar los problemas. Pero solucionar las fallas cuando estas ya se han manifestado es mucho más difícil que construir sistemas de seguridad para prevenirlas.

El mismo error se está repitiendo con la Internet de las cosas y ya están surgiendo ejemplos de los riesgos que los objetos cotidianos están imponiendo en las computadoras. En uno de esos casos, un hacker descubrió que podía controlar por vía remota su dosificador de medicinas, mientras que otros han desactivado los frenos y la dirección asistida de autos nuevos.

Los criminales cibernéticos son gente creativa. En el futuro, una lavadora o una refrigeradora computarizada podría ser manipulada para enviar correo electrónico basura (“spam”), por ejemplo, o almacenar pornografía infantil. O de repente, una puerta computarizada podría rehusarse a dejar entrar al dueño de la casa hasta que le pague un soborno en bitcoins.

¿Qué hacer? Tres temas de defensa podrían ayudar a hacer menos vulnerable la Internet de las cosas. La primera consiste en la elaboración de estándares regulatorios básicos que obliguen a los fabricantes de aparatos electrónicos a garantizar que sus productos cuentan con componentes que permiten reparar vacíos de seguridad que podrían no estar cubiertos luego de su venta.

Además, si un aparato puede ser administrado por vía remota, debe forzarse a los usuarios a cambiar el nombre de usuario y la contraseña que vienen con la compra, a fin de prevenir que los hackers los utilicen para obtener acceso. Las leyes sobre violaciones de seguridad informática, que ya existen en la mayoría de estados estadounidenses, deben obligar a las compañías a reconocer sus errores en lugar de ocultarlos.

La segunda defensa es un adecuado régimen de responsabilidades. Por décadas, los fabricantes de software han tenido contratos de licencia que les libran de responsabilidad por cualquier mala consecuencia que surja por el uso de sus productos. A medida que las computadoras se integran en todo, desde autos hasta equipos médicos, dicha posición resulta indefendible.

Así, los desarrolladores de software tendrían que aceptar la presunción de cómo deberían funcionar los equipos que utilizan sus productos, por ejemplo, de modo que si surge alguna violación de la seguridad, podrían ser considerados sujetos de ser demandados judicialmente. Es que nunca es demasiado pronto para que las aseguradoras, fabricantes y desarrolladores de software comiencen a darles largas a estos asuntos.

Tercero, las compañías de todos los sectores deben prestar atención a las lecciones que las empresas informáticas aprendieron hace mucho. Es casi imposible redactar un código de seguridad completo, de modo que la mejor defensa es una cultura de apertura, puesto que ayuda a expandir las soluciones.

Cuando unos investigadores académicos contactaron a un fabricante de chips para Volkswagen para informarle que habían hallado una vulnerabilidad en un sistema de encendido remoto, la respuesta incluyó una acción legal. Pero matar al mensajero no es bueno y, en efecto, compañías como Google ahora ofrecen recompensas monetarias a los hackers que les contactan para brindarles detalles de las vulnerabilidades que han descubierto.

Hace 30 años, los fabricantes de computadoras que fracasaron en tomar en serio la seguridad podían apelar a la ignorancia, pero esa defensa ahora no sirve. La Internet de las cosas brindará muchos beneficios y ahora es el momento de hacer planes con respecto a sus inevitables defectos.

Traducido para Gestión por Antonio Yonz Martínez
© The Economist Newspaper Ltd,
London, 2015

Las leyes sobre violaciones de seguridad informática, que ya existen en la mayoría de estados estadounidenses, deben obligar a las compañías a reconocer sus errores en lugar de ocultarlos.