¿Es Shodan el buscador web más peligroso del mundo?

En este punto la gente probablemente asocie internet más con perder el tiempo que con hacer algo productivo, pero lo bueno es que nuestra flojera perpetua nos ha permitido hacer muchas cosas con el internet, como conectar la puerta de la cochera con tu celular, ajustar la temperatura de tu refri y básicamente controlar todos los elementos de la vida doméstica directo desde una app. Todos estos aparatos necesitan internet para poder operar y Shodan, un motor de búsqueda privado, ha estado muy ocupado husmeando entre todos estos aparatos.

Este software busca todos los dispositivos que estén conectados a la red, y accede al control de paneles de energía y sistemas de utilidad, equipo científico, etcétera. Esto significa que con el suficiente conocimiento cualquiera puede tener acceso a estos dispositivos y hacer lo que se le dé la gana como cortar la electricidad de una ciudad entera o hacer que una planta de energía se detenga con sólo presionar un botón.

Encontrar las conexiones a internet no es cosa nueva. Hace no mucho un sujeto llamado Adrian Hayter le dio al mundo un sitio web que coteja la conexión a internet con cámaras CCTV (circuito cerrado). Pero los descubrimientos de Shodan presentan problemas que son potencialmente más destructivos que cuestiones de privacidad, así que llamé a John Matherly, creador del motor de búsqueda, para descubrir las posibles implicaciones de su software.

John Matherly.

Vice: Hola John, ¿cuándo empezaste a trabajar en Shodan?
John Matherly: Comencé con una máquina de Dell en mi tiempo libre y seguí lentamente durante tres años. Cuando empecé, quizás añadiría diez mil registros en un mes, y ahora estoy añadiendo cientos de millones al mes. La velocidad con la que puedo rastrear en internet ha aumentado mucho.

¡Órale! eso es mucho. ¿Cuál es el propósito de Shodan?
Bueno, se terminó utilizando para algo diferente a lo que fue diseñado. Básicamente creé Shodan para que las empresas pudieran rastrear su software, y lo que pasó fue que los investigadores de seguridad fueron capaces de utilizarlo para encontrar todo tipo de software en todos los dispositivos.

Okey.
Los desarrolladores de software han estado haciendo análisis de vulnerabilidad en plantas de energía y todos estos sistemas por mucho tiempo, pero antes de Shodan ellos no tenían datos duros ni estadísticas como para decir “Así está la onda actualmente.” Shodan prueba que es posible acceder remotamente a cualquier tipo de sistema plantas de energía.

¿Shodan trabaja en alguna manera similar a Google?
Es similar, sí. Google rastrea URLs. Lo único que hago es escoger al azar una IP de todas las que existen, ya sea en línea o que no se use, y trato de conectarla con diferentes puertos. Probablemente no es una parte de la web visible en el sentido de que sólo se puede utilizar un navegador. No es algo que puede descubrir fácilmente la mayoría de las personas, simplemente porque no es visual de la misma manera que es un sitio web.

Controles de un horno crematorio, a los cuales puedes acceder desde tu computadora.

¿A qué tipo de dispositivos conectados a internet se puede acceder?  ¿Hay algo que no esperabas encontrar?
Bueno, el ciclotrón, un acelerador de partículas, fue uno. Es equipo de física teórica, es muy, muy volátil y nunca debería haber sido en línea. Luego están todas estas cosas raras, como hornos crematorios. Son realmente espeluznantes. Ves el nombre del paciente aparecer cuando están haciendo los settings de la máquina, hay hasta un setting infantil. No necesitas identificarte, ni contraseñas nada.

Sí, es espeluznante. Pero también mórbidamente fascinante. ¿Hay algo más?
Las cámaras de circuito cerrado son muy populares, porque es algo a lo que la persona promedio puede tener acceso. A la gente le gusta la idea de encontrar alguna oficina al azar para poder husmear. También hubo una represa hidroeléctrica de muchos megavatios descubierta en Francia que estaba disponible. Curiosamente, esa presa tenía una historia de fracasos. El pueblo cerca de él tuvo inundaciones debido a fallas de la presa.

¿Cosas como las plantas eléctricas no deberían tener más seguridad?
Una de las razones por las que están en este problema en primer lugar es porque ellos están tratando de ahorrar dinero. Internet ni siquiera existía cuando muchas de estas plantas fueron construidas, ellos sólo compraron un adaptador para conectar su sistema a internet y ahorrar algo de dinero. Así que obviamente no piensan en la seguridad y ahora están batallando con las repercusiones de eso.

Como decías, muchas cosas no requieren contraseñas, ¿cierto?
Sí, es correcto. E incluso los dispositivos que requieren contraseña utilizan sobre todo credenciales predeterminadas. Sólo tienes que entrar a Shodan y buscar la contraseña y ya.

Controles de una represa hidroeléctrica, a los que también puedes acceder desde tu computadora.

Así que hoy en día estamos viendo que todo está conectado a internet, ¿correcto?
Este año va a ser el año del "Internet de las cosas". Porque en la mayoría de los dispositivos ya vienen con conexión. Pero lo que la gente probablemente no sabe es que cuando conectan su webcam a internet para ver a su bebé desde el trabajo o hacen todas estas cosas en su teléfono, esto tiene implicaciones de seguridad.

Que no estén en Google, no significa que no sean “buscables” y fáciles de encontrar.

¿Cuáles son sus preocupaciones?
Hay diferentes niveles de problemas de seguridad. Las webcams son probablemente una amenaza mínima, pero obviamente que puedan afectar la privacidad. Los pequeños dispositivos no son técnicamente un problema de seguridad nacional por sí mismos. El problema llega cuando puedes acceder a cien mil dispositivos al mismo tiempo, entonces esto se convierte realmente en un problema de seguridad nacional porque, si tienes control sobre muchos dispositivos en un solo país, entonces realmente puede hacer mucho daño. Así que definitivamente se vuelve más crítico dependiendo de los números.

¿No te sorprende que algo grave no haya pasado hasta ahorita?
Creo que la gente subestima la cantidad de conocimientos técnicos que realmente se necesita para ir del descubrimiento a la explotación del éxito. Y lo segundo es que no sabes en realidad por cuanto tiempo el sistema ha sido intervenido. Puedes intervenir estos sistemas y cada vez que quieras utilizarlos para un propósito estratégico, tienes la posibilidad de obtener lo que quieras allí una y otra vez.

¿Entonces ya podría ser un virus latente en un sistema potencialmente importante?
Sí, fácil podría haber. Claro que necesitas un cierto dominio del sistema; no puedes ser un adolescente de 16 años y apoderarte de una planta de energía, no es tan fácil. Es posible que los puedas encontrar con Shodan, pero instalar tu propio código generalmente requiere conocimiento real del dispositivo, especialmente con ese tipo de sistemas.

¿Entonces que detiene a un criminal empedernido para usar Shodan y hacer un desmadre?
Las personas que realmente saben lo que están haciendo y que quieren hacer cosas ilegales no usan Shodan, porque no quieren que sus acciones puedan ser rastreadas. Shodan no es un servidor anónimo. Si usas Shodan y quieres más de 50 resultados —y 50 no es nada— tienes que dar información de pago y datos personales. Si alguien quiere hacer algo realmente ilegal, van a usar Botnets para reunir esa información en vez de Shodan.

¡Gracias, John!