Japón busca exponer la incómoda verdad de la vulnerabilidad de IoT

A mediados de febrero, el gobierno japonés planea comenzar abiertamente piratear más de 200 millones de dispositivos IoT ya instalados en el hogar y en otros lugares de Japón.

Es probable que el plan del gobierno, anunciado hace una semana, exponga la incómoda verdad conocida por muchos expertos pero desconocida por la mayoría de los consumidores:muchos dispositivos de IoT en uso son vulnerables a los ciberataques.

La inseguridad en IoT se desencadena por muchos factores, incluida la indiferencia y la inacción del consumidor. Con demasiada frecuencia, los consumidores no se molestan en cambiar la configuración inicial en un dispositivo de IoT después de la compra e instalación. En segundo lugar, la comunicación entre pares entre dispositivos de IoT, por naturaleza, permanece sin control ni supervisión. En tercer lugar, los proveedores de servicios no realizan actualizaciones automáticas de firmware con la suficiente frecuencia.

Si bien los expertos en seguridad elogian el plan del gobierno japonés como un paso necesario, muchos informes de los medios japoneses se han opuesto y critican la mano dura del gobierno.

Los críticos llaman a la acción una violación de la privacidad de los ciudadanos. De hecho, ¿quién se siente cómodo con la idea de que el gobierno examine cada vida personal? En segundo lugar, la mayoría de la gente no confía en que el gobierno mantenga seguros los datos recopilados. ¿Cómo puede alguien estar seguro de que el gobierno no expondrá algunos datos, incluso sin saberlo? Finalmente, los japoneses albergan el temor innegable de que Japón se esté convirtiendo en una nación de vigilancia en nombre de la seguridad pública. ¿Japón se está convirtiendo en China?

En su anuncio público, el Instituto Nacional de Tecnología de la Información y las Comunicaciones (NICT) dijo que utilizará contraseñas predeterminadas y otras tácticas para intentar piratear dispositivos IoT seleccionados al azar, buscando compilar una lista de dispositivos vulnerables.

Luego, NICT compartirá la información con los proveedores de servicios de Internet, a quienes se les recomendará que avisen a los consumidores y aseguren los dispositivos. El gobierno no ha especificado los dispositivos de IoT específicos, pero lo más probable es que comience con enrutadores y cámaras web. La NTIC dijo que el programa podría durar hasta cinco años.

Por supuesto, el gobierno de Japón tiene una tapadera perfecta. Su excusa para esta escalada de Gran Hermano son los Juegos Olímpicos de Tokio en 2020.

En cualquier evento internacional importante como la Copa del Mundo o los Juegos Olímpicos, no es inusual ver a expertos en seguridad y agencias gubernamentales emitiendo una serie de alertas de ciberseguridad. El ataque de Mirai también está fresco en la memoria nacional. En ese caso, el malware convirtió los dispositivos en red que ejecutan Linux en bots controlados de forma remota, que se convirtieron en una botnet para ataques de red a gran escala. Los objetivos principales de Mirai eran los dispositivos de consumo en línea, como cámaras IP y enrutadores domésticos.

Tanner Johnson, un analista de ciberseguridad centrado en IoT y tecnologías transformadoras en IHS Markit, ve el plan de piratería del gobierno japonés como "una simple precaución proactiva".

Nos dijo:"Se garantiza que un evento como los Juegos Olímpicos dará como resultado una afluencia de millones de personas al país que plantea algunas preocupaciones generales de seguridad". Señaló:“Los individuos tecnológicamente ingenuos o ignorantes pueden poner en riesgo los sistemas tangenciales a los que pueden estar conectados si son atacados. Los piratas informáticos no persiguen a las personas más fuertes dentro de un grupo conectado, ya que es demasiado esfuerzo. Apuntan a los miembros más débiles para infiltrarse en toda la manada ”.

Aún así, los escépticos preguntan si el plan es simplemente un simulacro para los Juegos Olímpicos o si podría servir para otros propósitos del gobierno.

Cuando EE Times le preguntó sobre el plan de pirateo del gobierno japonés, Gaku Ogura, gerente nacional de AnyConnect, planteó una pregunta:"Si esto es para reforzar la seguridad en el período previo a los Juegos Olímpicos de Tokio, me pregunto por qué el gobierno está diciendo que este programa podría durar hasta cinco años ".

¿Por qué cinco años?

AnyConnect ofrece una plataforma diseñada para permitir que los fabricantes de dispositivos y los proveedores de servicios desarrollen y administren dispositivos de video de IoT, incluidas las cámaras conectadas e integradas. Ogura reconoció que en muchos casos los consumidores japoneses no toman los pasos elementales para cambiar las contraseñas predeterminadas de sus dispositivos conectados a Internet.

Otros observadores sospechan que el gobierno japonés realmente podría estar tratando de averiguar qué está pasando con las tecnologías de Huawei utilizadas en la red y los equipos de red.