A finales de diciembre, un investigador de la empresa de seguridad de la empresa Proofpoint notó algo extraño: una puerta de enlace de seguridad registró cientos de miles de correos electrónicos maliciosos que claramente estaban siendo enviados por más de 100.000 dispositivos que se ejecutaban en Linux, pero no eran PCs. Más bien, eran aparatos de consumo conectados a Internet, incluyendo routers, televisores, centros multimedia, e incluso una nevera.

David Knight, gerente de la unidad de seguridad de información de Proofpoint, comenta que los atacantes habían establecido básicamente una Internet de las cosas al estilo de botnet - algo que estamos más familiarizados con ver en los ordenadores, donde los dispositivos están sin saberlo, secuestrados a fin de hacer cosas como enviar spam o albergar pornografía ilícita. Él espera ver mucho más de lo que él se refiere como "thingbots " ya que los dispositivos conectados repartidos por toda la casa, sobre todo debido a que la seguridad de muchos de estos aparatos es sólo una interfaz Web simple que le pide que configure un nombre de usuario y la contraseña.

"Cualquiera que sea la seguridad era inadecuada", dice Knight, que sospecha que los dispositivos fueron comprometidos simplemente explotando vulnerabilidades conocidas de Linux.

Los hackers han causado muchos estragos en los ordenadores a través de Internet, dando lugar a violaciones de datos y bloqueos de ordenador. Ahora que la fiebre está en para añadir conectividad a todo, desde ollas a bombillas, los riesgos son aún mayores y más personales. El software antivirus ayudó a los PCs, pero no se puede simplemente instalar un paquete de software desarrollado para el escritorio en una tostadora inteligente, y como resultado, los dispositivos domésticos conectados normalmente se basan en que el usuario está en línea y crea un nombre de usuario y la contraseña de protección.

Un número de compañías de alta tecnología y grupos de la industria dicen que los dispositivos "inteligentes" están llegando a las tiendas con poca protección de seguridad. Los expertos en seguridad culpan a una serie de factores para el problema: las startups pueden poner la seguridad en un segundo plano, en su prisa por llevar los productos a la puerta de su casa, y las empresas establecidas que han operado tradicionalmente sin conectividad, como fabricantes de equipos de música o televisores, podrían simplemente no darse cuenta de la necesidad de protección contra las amenazas cuando se trata de aparatos conectados a Internet.

"Ellos no son estupidos" dice Marc Rogers, investigador líder de seguridad en Lookout, empresa de seguridad móvil. "Es que nunca se han enfrentado a ello".

Así, mientras que las empresas despliegan todo, desde luces "inteligentes" y cerraduras de puertas que se pueden controlar con un smartphone, a inodoros conectados y monitores de presión arterial, un movimiento también está en marcha para hacer que estos productos sean lo más seguros posible.

Para Rogers en Lookout, esto significa hackear y a veces desmantelar físicamente los dispositivos conectados a Internet para averiguar dónde están sus fallos de seguridad. El verano pasado, Rogers y su equipo descubrieron un punto débil dentro del ordenador diadema de Google, Google Glass. Más recientemente, Rogers ha estado identificando y comparando las medidas de seguridad en las cámaras con capacidad para Internet y sistemas de entretenimiento.

"Básicamente estoy rompiendo cosas, entonces trabajo en ello: ¿Qué se está haciendo bien? ¿Qué se hace mal? ¿Cuáles son las lecciones a aprender aquí?", comenta.

Al igual que muchas otras empresas de tecnología , Lookout reconoce la creciente influencia de los dispositivos conectados por Internet, un espacio tan caliente que Google dijo la semana pasada que va a pagar 3200 millones de dólares para comprar el fabricante de termostatos y alarmas de humo inteligentes, Nest Labs. El año pasado, hubo más de 10.000 millones de dispositivos conectados, y este número subirá tan alto como a los 50.000 millones en 2020, según una estimación realizada por el fabricante de equipos de redes Cisco.

Con la esperanza de reducir al mínimo los riesgos de seguridad planteados por todo este crecimiento, Rogers está desarrollando un conjunto de normas de seguridad que las empresas pueden seguir para el desarrollo de productos conectados. Se niega a ser específico acerca de lo que los estándares del Internet de las cosas podría incluir, pero dice que se inclina por confiar en "las normas más maduras para Internet" y está usando el Proyecto de Seguridad de Aplicaciones de Web Abierta, el "Top 10" de la lista de riesgos de seguridad, como una guía, ya que detalla muchos tipos de riesgos que podrían afectar a todo tipo de dispositivos conectados a Internet.

"En este momento, creo que todo el mundo está un poco haciendo su propia historia, pero hay una voz cada vez mayor para decir, "Vamos todos juntos, vamos a probar y a sincronizarnos en esto", dice.

La Alianza AllSeen, un grupo industrial del Internet de las cosas formado en diciembre para fomentar la interoperabilidad entre los dispositivos conectados, independientemente de su fabricante, piensa que el software de código abierto que está en desarrollo podría ayudar también.

El software del grupo se basará en AllJoyn, que es el fabricante de chips de teléfonos inteligentes (y miembro del grupo) del software de código abierto en Internet de las cosas de Qualcomm. Liat Ben- Zur, presidente de la AllSeen Alliance y jefe de la unidad AllJoyn de Qualcomm, dice que AllJoyn permite a los desarrolladores de aplicaciones decidir qué nivel de seguridad construir en ellas - por ejemplo, si debe o no cifrar los datos transferidos desde un cepillo de dientes inteligente para una aplicación de teléfono inteligente que corresponda. AllJoyn también ofrece las opciones de seguridad más matizadas, dice, como permitir a un amigo de visita controlar el aparato de aire acondicionado de su hogar, pero sólo dentro de un cierto rango de temperaturas, y sólo para los dos días que está en la ciudad.

Los métodos para permitir el acceso temporal ya están apareciendo en algunas cerraduras inteligentes  todavía no lanzadas al mercado - entre los únicos dispositivos conectados que tratan de vender su seguridad - tales como Goji, que le permite establecer los tiempos en que los amigos pueden entrar a su casa mediante el uso de sus teléfonos. Hasta ahora, sin embargo, esto no es lo normal.

Una idea similar a la que describe Ben- Zur está en los trabajos de Mocana, una empresa de seguridad móvil y de Internet de las cosas. Mocana está trabajando en una especie de matriz digital de nombres en código llamada AtoM (para "aplicación a máquina") que el Director de tecnología, James Blaisdell, dice que va a permitir que los diferentes usuarios administren y controlen los dispositivos de seguridad a gran escala, con diferentes niveles de autoridad.

La compañía espera desplegarla a finales de este año. Inicialmente estará orientada hacia aplicaciones industriales, dice Blaisdell, como la de permitir al fabricante de una turbina de viento ver cómo se hace su mantenimiento mientras que deja que una empresa eléctrica vea la cantidad de energía que está generando. Se puede imaginar que está siendo utilizada para otras cosas también, como para aparatos domésticos.

"Es el mismo tipo de cuestiones: ¿cómo conectar todos estos dispositivos de forma segura y hacer que sean capaces de interactuar entre sí de forma segura?", se pregunta.

Incluso si algo así como un equipo de sonido inteligente o cafetera ha sido hackeado, puede ser más complicado de decir que en el caso de un ordenador portátil o un teléfono inteligente. Estos dispositivos a menudo no tienen representación visual, y si están participando en un ataque similar al que se observó en Proofpoint, podrían no mostrar ningún signo de problemas.

En algunos casos , entonces, la solución más simple puede ser simplemente limitar el número de dispositivos que pueden conectarse a Internet. Una cosa que el software AllJoyn de la Alianza AllSeen puede hacer es habilitar dispositivos inteligentes para comunicarse sólo con otros dispositivos en el hogar - un grupo de bombillas de luz, por ejemplo, o una puerta de bloqueo, y no conectarse a Internet más allá. Para algunos adictos a la conexión, puede ser que suene a limitación, pero Ben- Zur lo ve como una forma de mantener los dispositivos más seguros y privados.

"Yo no quiero necesariamente un servicio de nube que sepa cada vez que camino hacia dentro y fuera de mi puerta", dice Ben- Zur.

Fuente: Rachel Metz, MIT.