A la compañía china Hangzhou Xiongmai Technologies se le atribuye la responsabilidad del cíber ataque del 23 de octubre, el que desactivó a los principales sitios de Internet en Estados Unidos y Europa.
Según investigadores de seguridad, la empresa acusada construyó hardware y software para cámaras de seguridad conectadas a Internet que eran inseguras Luego un grupo de hackers instaló una cadena de malware llamada Mirai en esas cámaras para dirigir una enorme cantidad de tráfico a Dyn, al sistema proveedor de nombres de dominio (DNS) que sirve como primera parada para las computadoras que se conectan a sitios en Internet.
Esa negligencia de Xiongmai, que tan graves consecuencias tubo, es solamente parte de un problema más grande de seguridad.
A medida que las cadenas de suministro de la manufactura se han ido fragmentando cada vez más y los productos electrónicos se vuelven commodities, los niveles de seguridad se fueron quedando atrás. Así como ese ataque dejó fuera de servicio a los sitios más populares, también peligra la información personal de los usuarios, desde los datos de sus tarjetas de crédito hasta los videos familiares que guardan en los dispositivos. Y, a medida que los hospitales, los aviones y los autos incorporen dispositivos conectados a internet, ya no será la información personal la que peligre, sino también la vida humana.
Los analistas dicen que Hangzhou Xiongmai Technologies es una de las líderes en fabricación de módulos de cámaras para protocolo de internet (IP). Pero más allá de su página web, se sabe poco de la empresa. Fabrica una serie de cámaras conectadas a Internet y sus accesorios, todo con su propia marca: XM, y también componentes de cámaras que vende a “revendedores de valor agregado”. Esos intermediarios empaquetan los componentes en cubiertas elegantes, ponen su nombre en la caja y luego los venden a minoristas como Walmart o Amazon.
Hace algunos meses Chen Jinsheng, CEO de Hangzhou Xiongmai Technologies, dijo en público que su compañía está empeñada en recortar costos para bajar los precios de los dispositivos al consumidor final. Eso significa, dijo, recortar drásticamente las actividades de investigación y desarrollo.
Si bien Xiongmai tiene algo de responsabilidad en que se realizaran los ataques, es solo una de las muchas fabricantes de cámaras que cometen errores similares. Las raíces del problema de seguridad están en la estructura de la seguridad de la industria de las cámaras y en todo el negocio de electrónicos para el consumidor. A los proveedores de componentes como Xiongmai se les paga para hacer y entregar una cierta cantidad de hardware por un precio fijo, que luego se vende casi siempre con la marca de otra compañía. La compañía que les pone la marca hace el marketing a los consumidores, se hace responsable por los productos defectuosos y cosecha las ganancias de ahí en más. Como Xiongmai no gana nada una vez que los productos abandonan sus depósitos, no tiene muchos incentivos para preocuparse por la excelencia con que los hace más allá de lo que le exige la compañía que pone la marca.
Si además, a la fragmentación del negocio se le suma el hecho de que la competencia es feroz entre fabricantes chinos de componentes el panorama para los consumidores es de una gran inseguridad. Ellos no compran cámaras porque sean seguras, sino porque son resistentes al agua, porque tienen una buena resolución de imagen o porque son pequeñas. Por su lado, los fabricantes gastan lo menos posible en seguridad para que los márgenes de ganancias sean mayores.
Para la mayoría de los consumidores el ataque a Dyn significó un inconveniente menor. Spotify o Twitter no estuvieron accesibles durante algunas horas pero no hubo grandes daños. Pero si la misma táctica se puede usar para robar la información de la tarjeta de crédito o los datos personales en el correo electrónico, para espiar a alguien en su casa o para algo peor. Esto se puede convertir en un problema de proporciones si los dispositivos forman parte de grande sistemas de control industrial, en sistemas de defensa en hospitales y en dispositivos que vuelan a bordo de un avión. Las consecuencias, en esos casos, serán mucho más importantes que un ataque al DDoS en Internet.