Entre las causas de lo anterior figura la venta generalizada de dispositivos de bajo precio, conectados a la red, que en la práctica nunca recibirán actualizaciones de seguridad. En otras palabras, una vez realizada la venta, el vendedor se desentiende del cliente.
En esta perspectiva, es necesario considerar que incluso aquellos aparatos cuyo firmware es actualizado regularmente por el fabricante, representan un riesgo real de seguridad, según una investigación realizada por Canonical entre 2000 consumidores.
La encuesta puso de relieve que sólo el 31% de los consumidores actualiza el firmware de sus dispositivos cuando hay actualizaciones disponibles. El 40%, en tanto, admite que nunca ha realizado tales actualizaciones. Dos terceras partes de los encuestados indican que no es su responsabilidad actualizar, ya que a su juicio esta tarea corresponde a los desarrolladores del software o al fabricante del producto.
Ya en 2014, una investigación advertía que los routers domésticos exponen a grandes operadores a ataques DDoS masivos basados en DNS.
En octubre, la empresa proveedora de servicios DNS, Dyn, fue objeto de una serie de ataques DDoS, que afectaron las plataformas de Twitter, Netflix, Reddit y Spotify, entre otros. La situación fue interpretada como un intento por convertir IoT en un arma.
El reto de los routers
Los routers son productos con los que la mayoría de los consumidores tienen una relación indiferente, equivalente a la actitud que se tiene frente a la caja de fusibles en una casa. La mayoría de los usuarios da por descontado que funcionará, y si deja de hacerlo la solución suele ser apagarlo y luego encenderlo nuevamente.
La mayoría de los usuarios desconoce que para actualizar el firmware de un router es necesario acceder a la consola administrativa del aparato y comprobar si hay actualizaciones disponibles. Posteriormente, éstas deben ser instaladas, procedimiento que ha sido simplificado en cierta forma durante los últimos años.
A juicio de Canonical, el problema que queda confirmado con la encuesta podría ser solucionado mediante mecanismos y procedimientos automatizados, junto con una prohibición activa frente al uso de contraseñas estándar.
La empresa anuncia que en enero próximo publicará un informe exhaustivo sobre la seguridad de Internet de las cosas.