Si trabaja en TI, probablemente esté seguro en casa ahora mismo, aferrado a su portátil en el borde de la red de su empresa. El cambio de la oficina a la casa ha sido trascendental. Pero también es un símbolo de una tendencia mayor: El borde de la red se ha vuelto tan importante como el núcleo de la red. Aparte de los trabajadores remotos, la IoT (Internet de las cosas) es la mayor razón por la que el borde se ha vuelto tan crucial.

Según Gartner, una loca variedad de unos 21 mil millones de «cosas» conectadas están en este momento recogiendo datos y realizando todo tipo de tareas. La mayoría son dispositivos de consumo, desde altavoces inteligentes hasta relojes y cerraduras de puertas. El resto sirve a los negocios: dispositivos médicos, sensores de motor, robots industriales, controladores de HVAC… casi todas las empresas dependen ahora de los dispositivos de IoT de una forma u otra.

Estos dispositivos amplían enormemente el alcance de las redes empresariales y aumentan proporcionalmente la vulnerabilidad, como el ataque de la red de bots Mirai ilustró vívidamente. Pero con la seguridad adecuada, la recompensa puede ser enorme, ya que los dispositivos conectados transmiten grandes cantidades de datos, de los que los profesionales del análisis pueden sacar a la superficie conocimientos y acelerar la transformación de la empresa. Sin mencionar que la capacidad de controlar los dispositivos de forma remota se ajusta a nuestra problemática era COVID-19, durante la cual cualquier tipo de viaje debe ser minimizado.

La creciente multitud de puntos finales de IoT está uniendo cada vez más los mundos digital y físico, mejorando la precisión de las predicciones y entregando mensajes basados en eventos que pueden ser actuados sin intervención humana. Para examinar el impacto de la IoT y proporcionar consejos de implementación, Network World, Computerworld, CSO, CIO e InfoWorld aportan cada uno su propia visión de la tendencia más dominante en la tecnología.

La instrumentación del mundo

Por el momento, no existe un ejemplo más dramático del valor de la IoT que el dispositivo médico, como el termómetro conectado de Kinsa, del que la empresa está agregando datos para señalar posibles brotes de COVID-19.

Escribiendo para Computerworld, el reportero principal Lucas Mearian observa que la IoT ya ha llegado a la corriente principal médica en «Cómo la IoT se está convirtiendo en el pulso de la salud». No solo el 79% de los proveedores de la salud con ingresos superiores a 100 millones de dólares han puesto en producción dispositivos de IoT, sino que Gartner predice un aumento del 13% en el gasto en IoT médica en el próximo año fiscal -y el 75% de los proveedores de salud creen que los proyectos de IoT darán resultados financieros en tres años.

La naturaleza crítica de los dispositivos médicos de IoT aumenta exponencialmente los riesgos de seguridad. Pero como el colaborador de CSO, Jaikumar Vijayan, escribe en «Cómo la IoT cambia su modelo de amenaza: 4 consideraciones clave», los riesgos en torno a la IoT en la tecnología operativa también se vislumbran grandes. Debido a que los dispositivos de IoT se conectan a Internet, abren nuevos vectores de ataque que, digamos, las operaciones de fabricación básicas nunca tuvieron que enfrentar antes. Las empresas necesitan desarrollar marcos de trabajo en toda la empresa para la adquisición, el despliegue, la seguridad y la supervisión de la IoT para minimizar esa exposición.

Sí, los riesgos de seguridad de la IoT son graves, pero también lo son las recompensas, a veces en lugares inesperados. En «La IoT en el campo: Drones y sensores para un mejor rendimiento», el redactor jefe de Network World, Jon Gold, entrevista a tres profesionales agrícolas que utilizan dispositivos de IoT para optimizar sus operaciones. En dos de esos casos, los sensores de humedad del suelo proporcionan los datos necesarios para encontrar un equilibrio entre el riego adecuado y la conservación del agua, con un ahorro de costos potencialmente grande.

Para obtener valor de los datos de IoT -cuyo volumen Cisco predice que superará los 800 zettabytes a finales del 2021- se necesitan las herramientas analíticas adecuadas y una estrategia analítica coherente, que el colaborador de CIO, Bob Violino, esboza en «Analítica de IoT: Obteniendo valor de los datos de la IoT». Los elementos básicos incluyen: Crear una organización analítica discreta; establecer una arquitectura escalable de datos de IoT; desplegar sistemas basados en IA que actúen autónomamente sobre los datos de IoT; y usar servicios públicos de nube para la escala y la reducción del tiempo de comercialización.

Este último punto fue subrayado en el artículo de Bob por Greg Meyers, CIO del Grupo y director general Digital de Syngenta, una empresa que produce semillas y productos químicos agrícolas. Meyers, que es optimista en la ejecución de análisis de IoT en la nube, lo dijo sin rodeos: «Tratar de manejarlo usted mismo en su propio centro de datos o en su propia infraestructura es enormemente autodestructivo».

Para muchas empresas, ese imperativo de la nube se aplica no solo a los análisis de la IoT, sino también a la supervisión de los puntos finales de la IoT y a la creación de un entorno para la construcción de aplicaciones de IoT. En «Cómo elegir una plataforma de IoT en nube», el editor colaborador de InfoWorld, Martin Heller, se sumerge en una descripción técnica de los beneficios de la IoT en nube, incluidos los que ofrecen las aplicaciones informáticas sin servidores, que conservan los ciclos de pago por uso al ejecutarse solo cuando son activadas por datos o eventos de IoT.

El punto más enfático de Martin: Asegúrese de desplegar una prueba de concepto primero. «Planifique para que su primer esfuerzo falle de manera que pueda aprender de sus errores y construirlo bien la próxima vez», señala. Eso se aplica a casi cualquier proyecto de TI complejo, pero cuando está en el borde de la red, tramando un esquema de IoT de vanguardia, va doble.

En plena crisis pandémica por el nuevo coronavirus, la tecnología puede ser un aliado clave para lograr mejores resultados, tanto para reducir su propagación como para la mitigación y reducción de sus impactos.

Con una penetración móvil cercana al 100% y una penetración de smartphones del 45%, América Latina y el Caribe (ALC) tienen un arma poderosa para combatir esta pandemia que está provocando cambios que probablemente se conviertan en estructurales en nuestra realidad socioeconómica. Efectivamente, la conectividad y el acceso a la tecnología que hoy tenemos, sumados a la coordinación público-privada, pueden convertirse en nuestro “SWAT Team” para prevenir y mitigar el COVID-19, y ayudar a recuperar el desarrollo económico y social de nuestra región.

Coronavirus y la tecnología en Corea

La experiencia de países como Corea en el tratamiento de esta emergencia sanitaria demuestra que a través de soluciones tecnológicas como la que describiremos a continuación se puede lograr aplanar la curva de crecimiento del número de personas afectadas con el coronavirus. Este resultado se basa en dos pilares fundamentales: la identificación de las personas afectadas y la separación de estas (distanciamiento social) al igual que las moléculas de aceite se separan de las moléculas de agua.

En una primera etapa resulta fundamental identificar y tener controladas a las personas que entran en el país procedentes de otros destinos afectados o bien ubicar a aquellas personas que actualmente están ubicadas en áreas geográficas dentro de un país que ya están afectadas con el virus. Para lograr esto, es necesaria una coordinación público-privada entre gobiernos y empresas de tecnología, que permita, a partir de soluciones ágiles como las aplicaciones móviles, que los ciudadanos realicen (como parte de las medidas definidas por las autoridades) una autoevaluación de salud a través de preguntas sencillas, tal como lo implementó Corea en el momento que alcanzó los 1.000 casos.

Tecnología coronavirus corea app

A través de esta aplicación, los ciudadanos tenían que identificarse y responder a preguntas básicas como:

¿Ha tenido fiebre superior a 37,5º C?

¿Tiene usted tos?

¿Siente que le cuesta respirar?

Con estas y otras preguntas, sumado a un monitoreo continuo a lo largo de la duración de la cuarentena, las autoridades pudieron recolectar información fundamental sobre el número de nuevos casos, y con esto acotar y delimitar las personas del entorno. Y más importante aún, ubicar dichos casos.

Información y mitigación con tecnología en América Latina y el Caribe

Si bien en el caso de Corea esta aplicación se implementó en los accesos migratorios al país, es algo que se podría hacer de forma inmediata en los países de ALC, tomando información de los ciudadanos y respondiendo a los mismos cuando los síntomas derivados de la autoevaluación resultaran positivos en dos días consecutivos. La introducción de esta medida como parte de las acciones de los gobiernos en la región supondría por un lado reducir el número de visitas innecesarias a los hospitales al tiempo de acotar geográficamente el problema para definir acciones específicas dirigidas a la mitigación.

La buena noticia es que algunos países de la región están aprendiendo rápidamente de estas experiencias. Por ejemplo, el 20 de marzo, el gobierno de Uruguay lanzó una aplicación de este tipo y realizó una fuerte campaña de comunicación para promover su difusión y uso. Esta solución supondría, además de la instalación de la aplicación como medida obligatoria a lo largo de los 14 días de cuarentena, contar con un equipo de big data y análisis en el Gobierno, el cual realizará un seguimiento de las estadísticas y llamadas a los ciudadanos que presenten síntomas como parte del ejercicio de autoevaluación. Pero la tecnología, además de apoyar en la fase de prevención, también podría ser un aliado importante en la fase de mitigación pues uno de los grandes desafíos es que las personas sean consistentes durante las próximas semanas en sus acciones de distanciamiento social.

Dado que los celulares están conectados a antenas móviles que permiten identificar mediante triangulación la ubicación exacta de las personas, estos dispositivos podrían lanzar mensajes de alerta tanto a los ciudadanos potencialmente infectados para que volvieran a la situación de aislamiento bajo implementación de multas o sanciones específicas. Es más, cuando esto ocurriera, los operadores de telefonía móvil podrían enviar mensajes tanto a los servicios de emergencia 911 como a las fuerzas de seguridad para garantizar el aislamiento y el no contagio a otras personas. Es importante tener en cuenta que estas medidas de emergencia sean implementadas dentro de un contexto legal donde los derechos a la privacidad de los ciudadanos sean tomados en consideración para que no ocurran abusos por parte de gobiernos y empresas.

El ejemplo presentado demuestra el potencial de las tecnologías digitales, la conectividad y los datos para el desarrollo socioeconómico y para la gestión de situaciones de crisis. Existe toda una batería de aplicaciones móviles y soluciones digitales en distintas partes del mundo que apoyan diversas áreas de la actividad productiva (agricultura, turismo, energía, logística) y social (salud, educación, gobierno electrónico) que además de contribuir a la reducción de la brecha digital, también contribuyen directamente a la mejora de la calidad de vida de las personas.

Como vemos, la conectividad puede ser una herramienta fundamental no solo en la prevención y mitigación, sino también en la fase de salida de la crisis gracias al aprovechamiento de la infraestructura crítica asociada a sectores estratégicos como energía, transporte (puertos, aeropuertos, etc.), agua y otros, de modo a potenciar el tejido productivo y la integración regional.

Al igual que el agua siempre se separa del aceite, la tecnología tiene la maleabilidad suficiente para primero prevenir el contagio gracias a la identificación y ubicación de las personas afectadas con el coronavirus, pero también mitigar los riesgos de propagación gracias a un seguimiento monitoreado del aislamiento (distanciamiento social) de las personas contagiadas. Tenemos por tanto la oportunidad en América Latina y el Caribe de separar el aceite y quedarnos con el agua, la vida y el desarrollo. Y sobre todo mitigar los impactos de la crisis si ponemos a trabajar a la tecnología utilizando la conectividad. No hay tiempo que perder. ¿Por qué no empezar ya?

Zoom era una aplicación popular para conferencias en línea antes de que COVID-19 infectara al mundo, pero la pandemia llevó el uso del servicio a niveles astronómicos. Antes de que el virus se extendiera, la plataforma reunía unos 10 millones de participantes en las reuniones al día. En marzo, ese número era de 200 millones al día.

«No diseñamos el producto con la previsión de que, en cuestión de semanas, todas las personas del mundo estarían de repente trabajando, estudiando y socializando desde casa», confesó el CEO de Zoom, Eric S. Yuan, en un blog de la empresa. «Ahora tenemos un conjunto mucho más amplio de usuarios que están utilizando nuestro producto en un sinfín de formas inesperadas, presentándonos desafíos que no anticipamos cuando se concibió la plataforma», añadió.

Muchos de ellos eran desafíos de seguridad, algunos de ellos creados por Zoom, otros causados por nuevos usuarios no familiarizados con el mundo de las reuniones online. Sin embargo, la acción de Zoom al abordar algunos de sus evidentes problemas de seguridad, junto con las medidas de seguridad que ya están en vigor, permiten a los usuarios celebrar reuniones en línea de forma segura. He aquí algunas formas de hacerlo.

Ataque a la UNC

Zoom convierte automáticamente las rutas de Conversión de Nombres Universales (UNC, por sus siglas en inglés) intercambiadas en el chat, en enlaces en los que se puede hacer clic. Si un usuario no sabe a dónde conducen esos enlaces, puede terminar en un sitio web malicioso o descargar una carga maligna.

Además, si la UNC envenenada conduce a un servidor controlado por un actor de una amenaza, los usuarios de Windows podrían conseguir que sus credenciales fueran hackeadas. Por defecto, Windows envía el nombre de usuario y la contraseña del NT LAN Manager (NTLM) de Microsoft a un servidor al que se está conectando. Una vez en posesión de esa información, un actor malintencionado puede descifrar la contraseña utilizando una variedad de herramientas disponibles en línea.

Cómo prevenir un ataque UNC: La forma más simple de resolver este problema es actualizar su cliente de Zoom. El problema de la UNC fue abordado en la versión 4.6.9 publicada el 2 de abril.

El problema también puede ser mitigado bloqueando el tráfico en el puerto 445. Dado que las credenciales se envían a través de ese puerto, el bloqueo del tráfico de los hosts que no requieren acceso al intercambio de archivos del Bloque de Mensajes del Servidor (SMB, por sus siglas en inglés) remoto a través de IP evitaría que se explotara la vulnerabilidad UNC.

Una tercera y extrema solución sería prohibir a Windows el envío de credenciales NTLM a servidores desconocidos. Dado que este enfoque podría arruinar el tráfico legítimo a los hosts de confianza, debe aplicarse con cuidado. Microsoft incluye una opción en sus configuraciones de política de grupo llamada «Auditar todo», que puede utilizarse para identificar si se está negando una actividad legítima.

Escalada de privilegios

La escalada de privilegios se produce cuando un intruso penetra en un sistema utilizando las credenciales de un usuario con privilegios de bajo nivel, y aprovecha esa identidad para aumentar sus privilegios. Esto puede ocurrir cuando se instala Zoom en una MacOS.

Durante la instalación, Zoom ejecuta una función que ejecuta un script llamado runwithroot, que tiene privilegios administrativos. Si un actor malintencionado o su malware obtienen acceso local a una Mac, runwithroot puede ser manipulado para aumentar los privilegios de Zoom y usar el programa para hacer travesuras en el sistema.

Cómo prevenir la escalada de privilegios: Este ataque fue arreglado en la versión 4.6.9 de Zoom (19273.0402) del 2 de abril. Ataques como este que requieren acceso local, no se limitan a Zoom. Por eso todos los usuarios deben tener cuidado al descargar o instalar paquetes de fuentes desconocidas o no confiables, especialmente cuando la aplicación pide privilegios administrativos.

Acceso no autorizado a la cámara y al micrófono

Esta es otra falla en la versión MacOS de Zoom. Los creadores de Zoom protegen la seguridad de su código requiriendo que tenga un certificado de firma de código y compilando su código con Hardened Runtime, que, junto con la Protección de Integridad del Sistema, está diseñado para bloquear la inyección de código, el secuestro de la biblioteca de enlace dinámico y la manipulación del espacio de memoria.

Sin embargo, se olvidaron de habilitar el derecho de validación de la biblioteca en el programa, por lo que se pudo cargar en la aplicación un código arbitrario sin firmar. Esto significa que un actor de la amenaza podría cambiar las bibliotecas legítimas de la aplicación y sustituirlas por bibliotecas maliciosas, que podrían interceptar las llamadas que van a las bibliotecas legítimas sin el conocimiento del usuario. Con este tipo de ataque, un actor de la amenaza podría obtener el control de la cámara y el micrófono de una Mac y utilizarlos para grabar la actividad de un usuario sin su conocimiento.

Cómo evitar el acceso no autorizado a la cámara y al micrófono: Esta vulnerabilidad también se corrigió en el Zoom 4.6.9 (193.73.0402).

Bombardeo con zoom o Zoom-bombing

El Zoom-bombing, en el que personas no autorizadas interrumpen una videoconferencia y se comportan de manera inapropiada, le puso un ojo morado a la plataforma en los medios de comunicación, pero el ataque no puede ser bloqueado por una solución de software. Eso es porque está relacionado con la higiene de la seguridad, lo que no debería sorprender considerando el número de nuevos usuarios que se agregaron a la plataforma en cuestión de semanas.

Cómo prevenir el Zoom-bombing: Las videoconferencias son «bombardeadas» cuando el enlace con ellas se comparte públicamente. Para que las sesiones en línea sean a prueba de bombas, aquí hay algunos consejos para los anfitriones de la conferencia.

Compartan los enlaces y las contraseñas de la conferencia solo con las personas a las que se les aconseja no compartir los enlaces con nadie más. Si una reunión está abierta al público, puede ser conveniente bloquear la posibilidad de que su audiencia comparta su audio y video.

No utilice su identificación personal de la reunión para organizar eventos públicos. En su lugar, cree una nueva identificación de la reunión y compártala con su audiencia.

Utilice la función de sala de reuniones para las conferencias. Le permite filtrar a los participantes a medida que llegan, de modo que pueda filtrar a los invitados no invitados. También puede permitir que los invitados participen sin recordar molestas contraseñas. Solo necesitan el enlace a la sala de espera para participar.

Los anfitriones deberían familiarizarse con las herramientas de seguridad de Zoom para conferencias. Permiten mantener a los asistentes a la conferencia bajo control. Puede silenciar el sonido de los participantes y bloquear su video, lo que tiene el beneficio adicional de ahorrar en el ancho de banda. También debería desactivar las funciones de colaboración -anotación, chat, transferencia de archivos y compartir la pantalla- hasta que sean necesarias.

Los anfitriones nunca deben entregar sus pantallas a alguien que no conozcan y en quien no confíen.

Chat no encriptado

Cuando se chatea en Zoom, su conversación puede ser vista por los espectadores no invitados en texto plano, a menos que usted indique lo contrario a la aplicación.

Cómo evitar el chat no encriptado: Puede aumentar la protección de sus conversaciones habilitando el chat encriptado avanzado. Eso codificará sus mensajes de chat usando TLS 1.2 y encriptación AES de 256 bits.

Hay algunos inconvenientes en el uso de la encriptación avanzada. No podrá usar la biblioteca GIPHY integrada, editar los mensajes enviados o buscar en el historial de mensajes de chat. Además, algunas versiones antiguas de Zoom tendrán un golpe de funcionalidad cuando se habilite la encriptación avanzada. Sin embargo, podrá seguir compartiendo archivos, fotos, emojis y capturas de pantalla.

El chat cifrado avanzado puede activarse yendo a Administración de cuentas > Gestión de IM y haciendo clic en la pestaña Configuración de IM en la parte superior de la página web.

Autenticación insegura

Por comodidad, las reuniones de Zoom suelen organizarse sin necesidad de autenticación o con una autenticación que no cumple las normas de seguridad de una organización. Esto reduce las barreras para que los malos actores interrumpan una sesión de Zoom.

Cómo evitar una autenticación insegura: Los usuarios de Zoom que deseen la protección del inicio de sesión único (SSO) que utilizan con su empresa pueden hacerlo con la función SSO de la plataforma. Basado en SAML 2.0, Zoom actúa como proveedor de servicios y aprovisiona automáticamente a un usuario corporativo. Una vez que Zoom recibe una respuesta de identidad de un proveedor de identidad, comprueba si el usuario existe. Si no existe, Zoom crea una cuenta automáticamente con la identidad del usuario.

El SSO de Zoom trabaja con otros proveedores de servicios, incluyendo PingOne, Okta, Microsoft Azure, Centrify, Shibboleth, Gluu, G Suite/Google Apps, OneLogin y RSA SecureID. La plataforma también trabaja con implementaciones de ADFS 2.0 SAML.

El tráfico de zoom se enruta a lugares cuestionables

La seguridad de las prácticas de enrutamiento de Zoom fue puesta en duda por Citizen Lab de la Universidad de Toronto a principios de abril. Los investigadores de la universidad encontraron que el tráfico de algunas conferencias originadas fuera de China, estaban siendo enrutadas a través de China. Lo que era peor, sin embargo, era que las claves de encriptación de Zoom estaban siendo generadas en servidores en China donde estaban en riesgo de una potencial interferencia del gobierno.

Cómo evitar que el tráfico sea dirigido a lugares cuestionables: Zoom ha abordado esos problemas permitiendo a los clientes de pago que opten por entrar o salir del centro de datos asignado para albergar sus conferencias. Los clientes que no paguen no tendrán privilegios para elegir una ruta, pero Zoom ha prometido que ninguna conferencia que se origine fuera de China tendrá su tráfico enrutado a través de China.

Zoom tiene centros de datos en ocho regiones: EE.UU., Canadá, Europa, India, Australia, China, América Latina y Japón/Hong Kong.

¿Mejor seguridad de Zoom al vuelo?

En su blog, el CEO Yuan se comprometió a cambiar todos los recursos de ingeniería de su empresa para identificar, abordar y solucionar los problemas de forma proactiva. Esto incluirá estas medidas de seguridad:

Llevar a cabo una revisión exhaustiva con expertos de terceros y usuarios representativos para comprender y garantizar la seguridad de todos los nuevos casos de uso de los consumidores.

Poner en marcha un consejo de CISO en asociación con los principales CISO de toda la industria para facilitar un diálogo continuo sobre las mejores prácticas de seguridad y privacidad.

Emprender una serie de pruebas de penetración de caja blanca simultáneas para seguir identificando y abordando los problemas.

Actualizar su esquema de cifrado, pasando de las claves del Estándar de Cifrado Avanzado (AES) de 128 bits al cifrado AES de 256 bits GCM.