Asociaci贸n de Internautas

Logo 1

驴Gasolina gratis con el Internet de las Cosas ("IoT")?


Comienza 2018 con el auge de Internet de las Cosas ("IoT") que se basa en la existencia de una interconexi贸n de todo tipo de objetos de uso cotidiano, como por ejemplo una impresora, una SmartTv, un refrigerador, una persiana inteligente, un libro, un termostato, etc. Para un uso eficaz, postivo y seguro hace falta tener en cuenta el uso de contrase帽as de acceso a estos disp貌stivos, cuesti贸n que no siempre se cumple. Por ejemplo en Espa帽a la seguridad de los medidores de tanques autom谩ticos de las gasolineras est谩n en cuesti贸n porque de las 97 gasolineras o tanques localizados en Espa帽a solo 1 esta protegida por contrase帽a.

Por eso es importante saber que cualquier dispositivo que se conecte a Internet, puede conllevar un riesgo en cuanto a privacidad y la seguridad o, siempre rondar谩 la duda de qu茅 puede ocurrir si un ciberdelincuente tomase el control de alguno de estos dispositivos, o simplemente se hiciera con informaci贸n personal o publica.

Hoy vamos a hablar de un problema que afecta a las gasolineras, que aunque conocido ya desde el a帽o 2015, el experto en Seguridad inform谩tica Claudio Chifa ha investigado y es referente a la seguridad de los medidores de tanques autom谩ticos de las gasolineras y que sorprendentemente no ha sido corregido.

Estos dispositivos se utilizan en las estaciones de servicio y realizan diversas funciones, como monitorizar los niveles de combustible agua, temperatura, o generar alarmas cuando proceda. Estas v谩lvulas se usan en muchas estaciones de servicio en todo el mundo incluido Espa帽a.

Muchas v谩lvulas tienen un puerto en serie incorporado para programaci贸n y monitorizacion. Algunos sistemas tambi茅n tienen una tarjeta TCP / IP o incluso un adaptador de serie a TCP / IP. Estas tarjetas permiten a los t茅cnicos supervisar el sistema de forma remota. El puerto TCP m谩s com煤n utilizado en estos sistemas es el puerto 10001. Algunos de estos sistemas tienen la capacidad de estar protegidos con contrase帽a, pero de las 97 gasolineras o tanques localizados en Espa帽a solo 1 esta protegida por contrase帽a.

A nivel internacional la cosa no esta mucho mejor siendo posible localizar en una sola b煤squeda 5060 dispositivos


Top Paises afectados

Acceder a estos sistemas es relativamente sencillo y se realiza v铆a telnet. Hay m谩s de 600 comandos que se pueden ejecutar, algunos de los cuales incluyen el establecimiento de umbrales de alarma, la edici贸n de configuraciones del sensor y la ejecuci贸n de pruebas de tanques. Mas aun, podemos ver todos los comandos explicados y detallados en el manual que el fabricante proporciona para este dispositivo.

Desde la Asociaci贸n de Internautas  hacemos un llamamiento para que los propietarios de estos sistemas aseguren un nivel de seguridad m铆nimo para evitar tanto una perdida econ贸mica como un desastre ecol贸gico en caso de que alguien remotamente intente manipular estos dispositivos con malas intenciones.

Algunas reflexiones sobre seguridad de Internet de las Cosas en el mundo industrial, por Antonio Fernandes.

Lejos de ser un hecho aislado, la conexi贸n a internet de dispositivos cr铆ticos como el caso de esta gasolineras, es algo mas com煤n de lo que pensamos. La transformaci贸n digital de la industria est谩 llevando a una gran parte de la misma a un crecimiento con cero concienciaci贸n en la seguridad, generando un nuevo ecosistema peligroso e inestable.

Tendemos a creer que la ciberseguridad del ("IoT") recae fundamentalmente en la securizaci贸n de los dispositivos y su conexi贸n a la red, y estamos equivocados. Como punto de partida, vemos que ni la securizaci贸n de los dispositivos, ni su conexi贸n a la red est谩 actualmente en la mente de muchos despliegues industriales, como el caso comentado de gasolineras y dispositivos industriales.

Mucho software de administraci贸n, m茅todos de actualizaci贸n o autentificaci贸n del software embebido de los dispositivos ("IoT") nose est谩 desarrollado teniendo la seguridad de informaci贸n como factor determinante para la salida al mercado, esto dota de todo tipo de vulnerabilidades cl谩sicas a los mismos para que el atacante consiga una intrusi贸n en el mismo. Pero estos dispositivos inseguros, forman parte de una niebla de dispositivos, una colmena electr贸nica que se comunica en multitud de protocolos... Algunos de ellos inseguros.. En multitud de canales.. Algunos de ellos inseguros...

Si esto no fuera poco, estos dispositivos suelen reportar a servicios que est谩n alojados en la nube. Por lo tanto, este es otro 谩rea a la que dedicar esfuerzos en la b煤squeda de tener el menor riesgo posible.

Y por mencionar otro factor de riesgo importante El ser humano revisa, controla y trabaja con estas infraestructuras de IoT desde sus ordenadores que usan para otras tareas ofim谩ticas o desde apps m贸viles en sus smartphones y tabletas. El secuestro, manipulaci贸n o destrucci贸n de sistemas industriales cr铆ticos es mas real de lo que la mayor铆a de las personas tienden a creer, y ha dejado de ser hace tiempo licencia po茅tica para guionistas de Hollywood.