Imaginem que moltes persones entren deliberadament alhora en un ascensor. La porta, que és de dimensions limitades, només permet l'accés simultani d'unes quantes. Òbviament, l'accés es bloquejarà, el mecanisme de tancament quedarà invalidat i l'ascensor deixarà de funcionar. Podem afirmar, usant llenguatge informàtic, que s'hi ha produït un "atac de denegació de servei" o DDoS, (segons les sigles en anglès de Distributed Denial of Service). Aquest exemple tan evident en la quotidianitat també es pot traslladar al món d'Internet. Efectivament, els hackers són capaços d'apoderar-se maliciosament de xarxes amb centenars d'ordinadors interconnectats i programar un atac DDoS contra sistemes de qualsevol tipus d'organització. Només cal que tots els ordinadors es connectin simultàniament als sistemes informàtics per col·lapsar-los, perjudicar-ne l’operativa i danyar la reputació de l'organització afectada.
La irrupció de l'internet de les coses (IoT), que implica la interconnexió de dispositius a través de la xarxa, incrementa el nombre d'objectes que es poden utilitzar per llançar un atac. A part de xarxes d'ordinadors, ara els pirates informàtics poden segrestar una llista infinita de dispositius enllaçats i programar atacs DDoS molt més nocius. Un exemple recent és l’ofensiva llançada el divendres 21 d'octubre passat. Aquell dia, Dyn DNS, empresa proveïdora de serveis d'internet, va ser víctima d’un atac en el qual es van usar dispositius en Iot. El col·lapse de Dyn DNS va afectar clients tan importants i tan coneguts com PayPal, Twitter, GitHub, Amazon, Netflix o Spotify. D’aquesta manera, l'ofensiva va tenir un impacte global.
Per ordir aquests atacs, els hackers identifiquen dispositius en Iot fàcilment vulnerables per prendre’n el control usant, per exemple, l’usuari i la contrasenya per defecte. Per aconseguir-ho, fan servir eines especialitzades a través dels cercadors d'internet on troben models de dispositius concrets amb errors de seguretat. Sens dubte, la lectura que podem fer sobre el que, se sospita, ha estat el primer ciberatac vinculat a l’internet de les coses és que la denegació de servei ha estat, és i seguirà sent un maldecap per a les organitzacions amb visibilitat a la xarxa i, en conseqüència, un aspecte que s'ha de tractar amb tanta professionalitat i responsabilitat com sigui possible.
Aquest incident ha posat de manifest els riscos de seguretat associats a una gran quantitat de dispositius en Iot (termòstats, rellotges intel·ligents, càmeres web, encaminadors (routers), reproductors multimèdia, electrodomèstics, etc.) cada vegada més presents en l'àmbit privat i en el dels negocis. Justament, per reduir aquests riscos i trobar la manera de mitigar-los, Eurecat ha creat aquest any el Laboratori de Ciberseguretat IoT on s'analitzen les vulnerabilitats de seguretat d'aquests dispositius, se n'avaluen les amenaces i s'ofereix assessorament i suport a les empreses per a què adoptin solucions de protecció.
