Edificios Inteligentes: Infraestructura en el blanco de los cibercriminales

126 views

En el marco de una nueva edición del Congreso Iberoamericano de Seguridad de la Información -más conocido como Segurinfo- que se llevó a cabo el 23 de abril en la ciudad de Buenos Aires, Argentina, Tony Anscombe, el Global Security Evangelist de ESET, brindó una interesante charla sobre edificios inteligentes en la que explicó los riesgos de seguridad asociados a este tipo de infraestructura. Los edificios inteligentes utilizan tecnología para controlar distintas dinámicas que forman parte de los respectivos entornos con el objetivo de brindar mayor confort, contribuir a la salud y a la productividad de quienes habitan en ellos. Para realizar esto, utilizan lo que se conoce como Sistemas de Automatización de Edificios, conocido en inglés como BAS. Otro ejemplo de automatización mediante el uso de dispositivos inteligentes que mencionó el Security Evangelist de ESET fue el de un supermercado en Reino Unido, el cual instaló en su estacionamiento un sistema inteligente que aprovecha la circulación de los automóviles para genera energía, que luego es utilizada para alimentar las heladeras.

Si bien a simple vista habrá quienes no vean en esto un riesgo para la seguridad en los edificios inteligentes, es probable que en algún momento toda esta red inteligente esté conectada a una única base de datos, y es aquí donde está el riesgo, sobre todo si tenemos en cuenta que muchos dispositivos IoT son fabricados por distintos proveedores que quizás no han tenido en consideración aspectos de seguridad durante el proceso de fabricación. Y si bien muchos pueden pensar que nunca vivirán en este tipo de edificios, Anscombe opinó que «potencialmente es probable que muchos de los que hoy no habitan en un edificio de estas características en algún tiempo sí lo hagan», ya que el crecimiento que presenta en el mercado la construcción de edificios inteligentes que utilizan IoT viene creciendo sustancialmente.

Probabilidad de que un edificio inteligente sea atacado

Actualmente existen herramientas como Shodan que permiten encontrar dispositivos IoT vulnerables y/o no seguros conectados a Internet de manera pública. Según explicó Anscombe, si uno busca por BAS de manera específica en esta herramienta podrá encontrar miles de sistemas de automatización de edificios en estas listas con información que podría ser utilizada por un atacante para comprometer un dispositivo –en febrero de 2019 figuraban en Shodan unos 35,000 sistemas BAS al alcance público en Internet a nivel global. Por lo tanto, alguien podría llegar a tomar control de un BAS luego de haberlo encontrado. Si, por ejemplo, un criminal utiliza Shodan y busca sistemas de automatización de edificios para atacar se encontrará con direcciones IP, que si son colocadas en un navegador, le permitirá encontrarse en muchos casos con una interfaz de acceso en la que deberá colocar nombre de usuario y una contraseña.
En caso de tener una contraseña por defecto o que pueda romperse fácilmente mediante un ataque de fuerza bruta, el atacante logrará acceder al panel de monitoreo del sistema con información similar a la que pueden ver desde sus dispositivos los habitantes del edificio inteligente.

Siegeware: Una amenaza real
 
Esta búsqueda de automatización y el uso de dispositivos inteligentes que recopilan datos para ofrecer confort a sus ocupantes, así como hacer un uso más eficiente de los recursos, como el energético, también está aumentando el riesgo para la seguridad.

Leave your comments

Post comment as a guest

0
terms and condition.

Comments