Simbiosis de seguridad digital y física
El reto que supone la seguridad hoy en día nos hace pensar en aquel viejo éxito de los Stargazers en 1955 que decía “Close the door – they’re coming through the window” (Cierra la puerta, están entrando por la ventana): en cuanto se ha solucionado un punto débil, aparece otra fisura por otro lugar, y el problema no hace sino agrandarse. Ya se trate de sistemas automáticos domésticos o de grandes centros de datos, la situación parece ser siempre la misma: debemos garantizar la seguridad digital para garantizar la seguridad física, y viceversa. Un claro ejemplo de simbiosis.

“La gente puede ser muy descuidada”, dice Paul Williams, de Control4. “Si abro mi ordenador en casa, me encuentro doce o trece puntos de acceso, y la tercera parte de ellos están completamente abiertos”.
Al parecer, los programas para adivinar contraseñas se han vuelto tan sofisticados que, para ser segura de verdad, una contraseña debe tener 55 caracteres y estar compuesta por números, letras mayúsculas y minúsculas e incluso letras de alfabetos extranjeros. ¡Ah!, y cuanto menos sentido tenga, mejor.
Pero aquel viejo estribillo también resulta relevante de cara a los retos actuales de la seguridad por otro motivo: para que tu mundo digital sea seguro, debes comprobar que las puertas y las ventanas también estén bien cerradas.
Dicho de otro modo, la seguridad digital y física son dos caras de la misma moneda. Y ahora que la seguridad física ya se puede garantizar –o al menos en parte– por medios digitales, esas dos caras de la moneda cada vez son más similares.
Automatismos domésticos seguros
Desde la seguridad física de los grandes centros de datos (major data centers) a la automatización digital de los sistemas de seguridad domésticos (automation of domestic security systems), estamos llegando a una situación en la que, por citar otra canción, “no se puede tener lo uno sin lo otro” (You can’t have one without the other).

La tarea de Spiderlabs es testar sistemas de seguridad, física y digitalmente. Spiderlabs es la compañía que causó un gran revuelo cuando informó en las conferencias sobre “hacking” Def Con y Black Hat de 2013 sobre cómo habían sido “hackeados” varios sistemas de automatización doméstica que operaban dentro de redes domésticas.
Daniel Crowley trabaja para la división de Spiderlabs (Spiderlabs division) de Trustwave, la firma asesora sobre seguridad y cumplimiento en Internet. La tarea de Spiderlabs es testar sistemas de seguridad, física y digitalmente. Él y sus compañeros causaron un gran revuelo cuando informaron en las conferencias sobre “hacking” Def Con y Black Hat de 2013 sobre cómo habían sido “hackeados” varios sistemas de automatización doméstica que operaban dentro de redes domésticas.
“Los sistemas que examinamos son muy vulnerables”, dice. “Hubo un caso en el que cualquiera que estuviera navegando por Internet podía hacerse con todo el control: no había nombre de usuario ni contraseña”.
Ya es bastante malo que alguien pueda subir el volumen de tu equipo de música, o tirar de la cadena de un inodoro conectado (sí, se hizo una prueba con uno de ellos) cuando estás sentado en él, pero la situación es muy grave si las cerraduras de tus puertas y tus cámaras están también en la red. Ya se ha dado el caso de una persona que estaba lanzando insultos a un niño de dos años a través del monitor con cámara instalado en su habitación, y después hizo otro tanto con sus padres cuando estos fueron a ver qué pasaba.
Crowley es partidario de que los sistemas de automatización doméstica estén separados del resto de la red. Deben tener su propio nombre de usuario y contraseña para que, cuando la red sea “hackeada”, no se pueda llegar al sistema: “En un sistema de automatización doméstica segura todo debe ser seguro, incluso si la red es insegura”.
“La gente puede ser muy descuidada”
Paul Williams, vicepresidente de productos de iluminación y confort de la compañía líder de automatismos domésticos, Control4, afirma que eso es exactamente lo que hace su sistema: “Cubre toda la red doméstica con su propia seguridad”.
Ahora bien, en mayo de 2013 Williams ya advirtió en su blog de los riesgos de seguridad que entrañan las redes. Quería insistir a sus distribuidores para que tuvieran cuidado al instalar redes, aun cuando el automatismo doméstico no se viera afectado. Al fin y al cabo, nos dice, con frecuencia deben instalarlos juntos, y Control4 quiere que las dos tareas se hagan como es debido.

“Si estás creando un producto para todo el mundo, debes ser consciente de que el usuario no siempre es muy habilidoso”, dice Paul Williams, de Control4, refiriéndose al hecho de que para algunos de ellos puede ser difícil establecer un nivel de seguridad suficiente en los sistemas de control doméstico.
Por tanto, nunca permitáis que se redireccionen puertos a no ser que sepáis muy bien lo que estáis haciendo, escribió, y no hagáis público el SSID de vuestros routers. Y lo más importante: ¡no utilicéis contraseñas muy obvias!
“La gente puede ser muy descuidada”, dice Williams. “Si abro mi ordenador en casa, me encuentro doce o trece puntos de acceso, y la tercera parte de ellos están completamente abiertos”.
Williams escribió aquella entrada en su blog a propósito de las noticias publicadas (media reports) sobre Shodan, una especie de buscador de dispositivos. Así como Google busca páginas en Internet, Shodan busca objetos –cámaras, cerraduras, termostatos o incluso camiones volcadores– ; un hacker consiguió entrar en los sistemas de control incorporados de varios camiones volcadores, utilizando una contraseña muy fácil de adivinar.
Abajo se puede ver el informe de la CNN al que se refiere Williams, en el cual se explica el funcionamiento de Shodan. Este buscador puede revelar qué redes y dispositivos de la red tienen una seguridad deficiente a individuos capaces de utilizarlos con fines sospechosos.
Williams comentó que los sistemas de Control4 ofrecen “los mismos estándares de seguridad que se emplean en el sector de la banca”, con un encriptamiento SSL de 256 bits (256 bit SSL encryption) entre cada dispositivo: “Con un “sniffer” no se puede averiguar lo que está pasando ahí”.
Crowley dice que en seguridad siempre optamos por soluciones intermedias –y nos confiesa que durante esta entrevista no llevaba puesto su chaleco antibalas–.
“La seguridad debe ir en proporción a lo que se está protegiendo”, afirma, pero añade también que las empresas de automatismos domésticos deben ayudar a sus clientes a instalar sus sistemas al nivel más alto posible.
“Si estás creando un producto para todo el mundo, debes ser consciente de que el usuario no siempre es muy habilidoso”.
Asegurando servidores y centros de datos
Las compañías como 1&1 Hosting Germany, que pertenece a United Internet –uno de los mayores proveedores de Internet de Europa– cuentan siempre con muchos técnicos expertos, y según nos dice su director de relaciones públicas Michael d’Aguiar, se basan en sistemas descentralizados.

“Al centro de datos se accede por una puerta de seguridad que permite la entrada a una sola persona cada vez”, dice Michael d’Aguiar, director de relaciones públicas de 1&1 Hosting Alemania. “Hay un lector de tarjetas, se debe introducir un código, el rostro debe ser reconocido e incluso debe coincidir el peso”.
“No hay mandos a distancia”, dice. “Solo se puede acceder al sistema de control del edificio, en el que se encuentra por ejemplo la calefacción, desde el interior del propio edificio”. Las 190 cámaras que protegen su principal centro de datos en Karlsruhe, por ejemplo, se hallan en un sistema cerrado al cual no se puede acceder desde fuera.
Al centro de datos se accede por una puerta de seguridad que permite la entrada a una sola persona cada vez. Hay un lector de tarjetas, se debe introducir un código, el rostro debe ser reconocido e incluso debe coincidir el peso. Solo se permite la entrada a unas cuantas personas: “Ni siquiera el CEO puede entrar sin haber solicitado permiso”, dice d’Aguiar. El principio parece ser: cuanto menor sea el acceso, más seguro será el sistema.
“Un hacker todavía puede capturar el tráfico de la red y volver a enviarlo; para evitarlo, haría falta un sello de tiempo o una contraseña de una sola ocasión”.
Crowley sostiene que hay que sopesar bien si se quiere tener las cerraduras en una red; incluso con un buen encriptamiento de nombre de usuario y contraseña, un hacker todavía puede capturar el tráfico de la red y volver a enviarlo; para evitarlo, haría falta un sello de tiempo o una contraseña de una sola ocasión: “Te puede dar muchos quebraderos de cabeza, y eso es algo que nadie necesita hoy en día”.
Pero, como nos decía anteriormente, se trata de buscar soluciones intermedias: en el mundo digital existe una gran demanda de seguridad integrada, y los proveedores de automatizaciones domésticas más responsables van a hacer todo lo posible por minimizar riesgos.
Por Michael Lawton
Paul Williams es vicepresidente de productos de iluminación y confort de Control4, una marca líder de innovación en sistemas de automatismos comerciales domésticos y para pequeños comercios. Antes de incorporarse a Control4, Paul fue vicepresidente de operaciones en Utah de SonicWall, después de que la compañía en la que había sido vicepresidente de operaciones (Phobos) fuera adquirida por SonicWall en 2000. Y con anterioridad a SonicWall / Phobos, fue director de operaciones del Harman Music Group (una compañía de Harman International) y ocupó varios cargos de responsabilidad en los catorce años que pasó allí. Paul es un profesional muy veterano, con más de 25 años de experiencia en compañías de alta tecnología durante los cuales ha aportado su talento, su personalidad y su alegre estilo como comunicador a todo tipo de proyecto corporativos, colaborativos y del sector en general.