Jornada 25 Aniversario Asociacion de Internautas


¿Gasolina gratis con el Internet de las Cosas ("IoT")?


Comienza 2018 con el auge de Internet de las Cosas ("IoT") que se basa en la existencia de una interconexión de todo tipo de objetos de uso cotidiano, como por ejemplo una impresora, una SmartTv, un refrigerador, una persiana inteligente, un libro, un termostato, etc. Para un uso eficaz, postivo y seguro hace falta tener en cuenta el uso de contraseñas de acceso a estos dispòstivos, cuestión que no siempre se cumple. Por ejemplo en España la seguridad de los medidores de tanques automáticos de las gasolineras están en cuestión porque de las 97 gasolineras o tanques localizados en España solo 1 esta protegida por contraseña.




Por eso es importante saber que cualquier dispositivo que se conecte a Internet, puede conllevar un riesgo en cuanto a privacidad y la seguridad o, siempre rondará la duda de qué puede ocurrir si un ciberdelincuente tomase el control de alguno de estos dispositivos, o simplemente se hiciera con información personal o publica.

Hoy vamos a hablar de un problema que afecta a las gasolineras, que aunque conocido ya desde el año 2015, el experto en Seguridad informática Claudio Chifa ha investigado y es referente a la seguridad de los medidores de tanques automáticos de las gasolineras y que sorprendentemente no ha sido corregido.

Estos dispositivos se utilizan en las estaciones de servicio y realizan diversas funciones, como monitorizar los niveles de combustible agua, temperatura, o generar alarmas cuando proceda. Estas válvulas se usan en muchas estaciones de servicio en todo el mundo incluido España.

Muchas válvulas tienen un puerto en serie incorporado para programación y monitorizacion. Algunos sistemas también tienen una tarjeta TCP / IP o incluso un adaptador de serie a TCP / IP. Estas tarjetas permiten a los técnicos supervisar el sistema de forma remota. El puerto TCP más común utilizado en estos sistemas es el puerto 10001. Algunos de estos sistemas tienen la capacidad de estar protegidos con contraseña, pero de las 97 gasolineras o tanques localizados en España solo 1 esta protegida por contraseña.

A nivel internacional la cosa no esta mucho mejor siendo posible localizar en una sola búsqueda 5060 dispositivos


Top Paises afectados

Acceder a estos sistemas es relativamente sencillo y se realiza vía telnet. Hay más de 600 comandos que se pueden ejecutar, algunos de los cuales incluyen el establecimiento de umbrales de alarma, la edición de configuraciones del sensor y la ejecución de pruebas de tanques. Mas aun, podemos ver todos los comandos explicados y detallados en el manual que el fabricante proporciona para este dispositivo.

Desde la Asociación de Internautas  hacemos un llamamiento para que los propietarios de estos sistemas aseguren un nivel de seguridad mínimo para evitar tanto una perdida económica como un desastre ecológico en caso de que alguien remotamente intente manipular estos dispositivos con malas intenciones.

Algunas reflexiones sobre seguridad de Internet de las Cosas en el mundo industrial, por Antonio Fernandes.

Lejos de ser un hecho aislado, la conexión a internet de dispositivos críticos como el caso de esta gasolineras, es algo mas común de lo que pensamos. La transformación digital de la industria está llevando a una gran parte de la misma a un crecimiento con cero concienciación en la seguridad, generando un nuevo ecosistema peligroso e inestable.

Tendemos a creer que la ciberseguridad del ("IoT") recae fundamentalmente en la securización de los dispositivos y su conexión a la red, y estamos equivocados. Como punto de partida, vemos que ni la securización de los dispositivos, ni su conexión a la red está actualmente en la mente de muchos despliegues industriales, como el caso comentado de gasolineras y dispositivos industriales.

Mucho software de administración, métodos de actualización o autentificación del software embebido de los dispositivos ("IoT") nose está desarrollado teniendo la seguridad de información como factor determinante para la salida al mercado, esto dota de todo tipo de vulnerabilidades clásicas a los mismos para que el atacante consiga una intrusión en el mismo. Pero estos dispositivos inseguros, forman parte de una niebla de dispositivos, una colmena electrónica que se comunica en multitud de protocolos... Algunos de ellos inseguros.. En multitud de canales.. Algunos de ellos inseguros...

Si esto no fuera poco, estos dispositivos suelen reportar a servicios que están alojados en la nube. Por lo tanto, este es otro área a la que dedicar esfuerzos en la búsqueda de tener el menor riesgo posible.

Y por mencionar otro factor de riesgo importante El ser humano revisa, controla y trabaja con estas infraestructuras de IoT desde sus ordenadores que usan para otras tareas ofimáticas o desde apps móviles en sus smartphones y tabletas. El secuestro, manipulación o destrucción de sistemas industriales críticos es mas real de lo que la mayoría de las personas tienden a creer, y ha dejado de ser hace tiempo licencia poética para guionistas de Hollywood.


pdfprintpmail