¿Es Shodan el buscador web más peligroso del mundo?

Es probable que a estas alturas la gente asocie internet más con perder el tiempo que con hacer algo productivo, pero lo bueno es que nuestra flojera perpetua nos ha permitido hacer muchas cosas con internet, como conectar la puerta del garaje con el móvil, ajustar la temperatura de la nevera y básicamente controlar todos los elementos de la vida doméstica desde una app. Todos estos aparatos necesitan internet para poder operar y Shodan, un motor de búsqueda privado, ha estado muy ocupado husmeando entre todos estos dispositivos. Este software busca todos los dispositivos que estén conectados a la red, y accede al control de paneles de energía y sistemas de utilidad, equipo científico, etcétera. Esto significa que con el suficiente conocimiento cualquiera puede tener acceso a estos dispositivos y hacer lo que le dé la gana, como cortar la electricidad de una ciudad entera o hacer que una planta de energía se detenga con sólo presionar un botón.

Esto no es algo nuevo. Hace no mucho, un tipo llamado Adrian Hayter le dio al mundo un sitio web que reúne la información de las cámaras CCTV (circuito cerrado) con conexión a internet. Pero los descubrimientos de Shodan presentan problemas que son potencialmente más destructivos que cuestiones de privacidad, así que llamé a John Matherly, creador del motor de búsqueda, para descubrir las posibles consecuencias de su software.

John Matherly.

Vice: Hola John. ¿Cuándo empezaste a trabajar en Shodan?

John Matherly: Comencé con una máquina Dell en mi tiempo libre y seguí lentamente durante tres años. Cuando empecé, creo que añadía diez mil registros en un mes, y ahora estoy añadiendo cientos de millones al mes. La velocidad con la que puedo rastrear en internet ha aumentado mucho.

¡Joder! Eso es mucho. ¿Cuál es el propósito de Shodan?

Bueno, ha terminado siendo utilizado para algo diferente a lo que fue diseñado. Básicamente creé Shodan para que las empresas pudieran rastrear su software, y lo que pasó fue que los investigadores de seguridad fueron capaces de utilizarlo para encontrar todo tipo de software en todos los dispositivos.

Los desarrolladores de software han estado haciendo análisis de vulnerabilidad en plantas de energía y todos estos sistemas por mucho tiempo, pero antes de Shodan ellos no tenían datos reales ni estadísticas como para decir “Esto es una amenaza.” Shodan demuestra que es posible acceder remotamente a cualquier tipo de sistema, como por ejemplo, una central eléctrica.

¿Shodan trabaja de una forma similar a Google?

Es similar, sí. Google rastrea URLs. Lo único que hago es escoger al azar una IP de todas las que existen, ya sea en línea o que no se use, y trato de conectarla con diferentes puertos. Probablemente no es una parte de la web visible en el sentido de que sólo se puede utilizar un navegador. No es algo que puedan descubrir fácilmente la mayoría de las personas, simplemente porque no es visual de la misma manera que es un sitio web.

Controles de un horno crematorio, a los cuales puedes acceder desde tu computadora. Casi nada.

¿A qué tipo de dispositivos conectados a internet se puede acceder? ¿Hay algo que no esperabas encontrar?

Bueno, el ciclotrón, un acelerador de partículas, fue uno. Es equipo de física teórica, es muy, muy volátil y nunca debería haber estado en línea. Luego están todas estas cosas raras, como hornos crematorios. Son realmente espeluznantes. Ves el nombre del paciente aparecer cuando están ajustando la máquina, hay hasta un modo infantil. No necesitas identificarte, ni contraseñas nada.

Sí, es espeluznante. Pero también mórbidamente fascinante. ¿Hay algo más?

Las cámaras de circuito cerrado son muy populares, porque es algo a lo que la persona promedio puede tener acceso. A la gente le gusta la idea de encontrar alguna oficina al azar para poder husmear. En Francia descubrieron una presa hidroeléctrica que estaba online. Curiosamente, esa presa tenía una historial de fallos. Un pueblo cercano tuvo inundaciones debido a los fallos de la presa.

¿Cosas como las centrales eléctricas no deberían tener más seguridad?

Una de las razones por las que tienen este problema es porque intentan ahorrar dinero. Internet ni siquiera existía cuando muchas de estas plantas fueron construidas, ellos sólo compraron un adaptador para conectar su sistema a internet y ahorrar algo de dinero. Así que obviamente no piensan en la seguridad y ahora están luchando con las repercusiones.

Como decías, muchos sistemas no requieren contraseñas, ¿cierto?

Sí, es correcto. E incluso los dispositivos que requieren contraseña utilizan sobre todo credenciales predeterminadas. Sólo tienes que entrar a Shodan y buscar la contraseña y ¡boom!

Controles de una presa hidroeléctrica, a los que también puedes acceder desde tu ordenador.

Así que hoy en día todo está conectado a internet, ¿correcto?

Este año va a ser el año de "el Internet de las cosas", porque la mayoría de los dispositivos ya vienen con conexión. Pero lo que la gente probablemente no sabe es que cuando conectan su webcam a internet para ver a su bebé desde el trabajo o hacen todas estas cosas en su teléfono, esto tiene implicaciones de seguridad. Que no estén en Google, no significa que no sean “buscables” y fáciles de encontrar.

¿Cuáles son sus preocupaciones?

Hay diferentes niveles de problemas de seguridad. Las webcams son probablemente una amenaza mínima, pero obviamente pueden afectar la privacidad. Los pequeños dispositivos no son técnicamente un problema de seguridad nacional por sí mismos. El problema llega cuando puedes acceder a cien mil dispositivos al mismo tiempo, entonces esto se convierte realmente en un problema de seguridad nacional porque, si tienes control sobre muchos dispositivos en un solo país, entonces realmente puede hacer mucho daño. Así que definitivamente se vuelve más crítico dependiendo de los números.

¿No te sorprende que todavía no haya pasado algo grave?

Creo que la gente subestima la cantidad de conocimientos técnicos que realmente se necesitan para ir del descubrimiento a la explotación del éxito. Y lo segundo es que no sabes en realidad por cuánto tiempo el sistema ha sido intervenido. Puedes intervenir estos sistemas y cada vez que quieras utilizarlos para un propósito estratégico, tienes la posibilidad de obtener lo que quieras allí una y otra vez.

¿Entonces ya podría existir un virus latente en un sistema potencialmente importante?

Sí, con toda facilidad. Claro que necesitas un cierto dominio del sistema; no puedes ser un adolescente de 16 años y apoderarte de una planta de energía, no es tan fácil. Es posible que los puedas encontrar con Shodan, pero instalar tu propio código generalmente requiere conocimiento real del dispositivo, especialmente con ese tipo de sistemas.

Entonces, ¿qué detiene a un criminal para usar Shodan y liarla parda?

Las personas que realmente saben lo que están haciendo y que quieren hacer cosas ilegales no usan Shodan, porque no quieren que sus acciones puedan ser rastreadas. Shodan no es un servidor anónimo. Si usas Shodan y quieres más de 50 resultados —y 50 no es nada— tienes que dar información de pago y datos personales. Si alguien quiere hacer algo realmente ilegal, van a usar Botnets para reunir esa información en vez de Shodan.

¡Gracias, John!

Sigue a Sam en Twitter: @sambobclements

Más cosas sobre hackers:

Hablamos con Barrett Brown desde la cárcel

Arabia Saudí vs Israel: ¡Guerra cibernética!