El fantasma del ciberdelito amenaza a la ciudad inteligente

Terminales para venta entradas cine

El concepto de ciudad inteligente abarca diferentes tecnologías, vanguardistas soluciones y una conectividad cada día más potente, capaces de garantizar comodidad en la recepción de servicios, seguridad de los ciudadanos, consumo racional de recursos, etc. Sin embargo hay un servicio al que no parece prestársele demasiada atención: la seguridad de equipos y sistemas que los conforman. Tema por lo demás casi previsible, ya que la infraestructura de las ciudades inteligentes se está desarrollando con más rapidez que sus métodos de defensa, hecho que deja un vasto espacio para que actúen tanto investigadores curiosos como ciberdelicuentes.

Si bien las ciudades modernas son ecosistemas complejos, formados por distintos componentes tecnológicos cuyo objetivo es hacer la vida de los ciudadanos más cómoda y segura, estos componentes pueden también convertirse en una amenaza para los datos y la seguridad de las personas – tal y como se desprende de las conclusiones de una reciente investigación realizada por Kaspersky Lab.

El panorama es complicado, ya que parques y calles de las ciudades modernas comienzan a estar abarrotados de terminales de pago de estacionamiento, puntos de alquiler de bicicletas y estaciones de carga rápida de dispositivos móviles. Aeropuertos y estaciones de ferrocarril disponen de terminales para compra de pasajes y obtención de información. En los cines se instalan terminales para la compra de entradas. En hospitales e instituciones estatales observamos diariamente colas antes estos dispositivos electrónicos para conseguir citas o alguna información específica. Hasta en los baños públicos se empieza a instalar terminales de pago.

Como si esto fuera poco, expertos en seguridad llevan tiempo advirtiendo de los riesgos asociados a los aparatos domésticos inteligentes. En 2012 por ejemplo, Shaun Cooley, ingeniero informático que trabajaba para Norton, la empresa de seguridad informática estadounidense, tras advertir de este problema predijo en una entrevista: «Pronto habrá malware hasta en la televisión y el frigorífico».

“En 2014 se decía que en 2020 habría 50.000 millones de dispositivos conectados a Internet, ahora se estima que esta cifra queda pequeña y se habla de billones de dispositivos conectados, multiplicando exponencialmente servicios y aplicaciones en todos los ámbitos de la economía. La conexión 4G no puede soportar esa demanda de conectividad, ya que no fue diseñada para ello” declaraba a la BBC Sara Mazur, directora de investigación de Ericsson. En otras palabras, la irrupción de la tecnología 5G está obligando a revisar y replantear todo tipo de previsiones y estudios de prospectiva, pero también de seguridad.

De todas maneras y por el momento, el pirateo de dispositivos inteligentes no parece haber llegado al punto en que consumidores estén demasiado preocupados. Pero, según expertos, el hecho de que haya empezado a ocurrir significa que Internet de las Cosas acabará por tener que ser protegida.

smart_city

Mientras tanto los estudios sobre seguridad digital no paran de dar sorpresas. Hace un par de años, el informe “Consumer Security Risk Survey 2013” realizada por B2B Internacional para Kaspersky Lab., indicaba que el 80% de los españoles introducían  datos confidenciales (incluyendo datos financieros) en páginas web sin comprobar previamente su autenticidad. De los países de Europa subrayaba, España era el más descuidado, casi el triple que la media del continente (28%).

Mientras más complejo es un dispositivo, mayor es la probabilidad de que contenga vulnerabilidades y defectos de configuración. La probabilidad de que los dispositivos de las “ciudades inteligentes” se conviertan en blanco de los ciberdelincuentes no es, ni de lejos, igual a cero. Las formas en que los delincuentes pueden usar estos dispositivos para sus intereses derivan de sus características:

  • Muchos de ellos están ubicados en lugares públicos.
  • Están disponibles las 24 horas del día, los 7 días de la semana.
  • Los dispositivos del mismo tipo tienen la misma configuración.
  • Gozan de un alto nivel de confianza por parte de los usuarios.
  • Procesan los datos de los usuarios: información personal y financiera.
  • Están conectados entre sí y tienen salida a otras redes locales.
  • Como regla, tienen salida a Internet.

De tiempo en tiempo, leemos noticias de que los hackers han alterado otra señal de tráfico electrónica, que en vez de mostrar la consabida advertencia sobre trabajos de reparación de vías muestra ahora la advertencia “Hay zombis más adelante”. O la noticia sobre las vulnerabilidades detectadas en los sistemas de administración de semáforos y de nivel de utilización de las vías públicas. Estas noticias pueden ser material para excelentes reportajes, pero los elementos de la infraestructura de las ciudades inteligentes no se limitan a los semáforos y a las señales de tráfico.

A estos efectos, Kaspersky  ha decidido estudiar algunos elementos específicos de la ciudad moderna:

  • Las terminales táctiles para el pago de servicios (pasajes, entradas, estacionamiento, etc.);
  • Las terminales de información y distracción en los taxis;
  • Las terminales de información en los aeropuertos y las estaciones de trenes;
  • Los elementos de la infraestructura vial (cámaras de radares de velocidad y routers viales).

Los terminales de las “ciudades inteligentes”

Para empezar está el aspecto técnico. Casi todos los terminales de pago y de prestación de servicios, sin importar su fin, son simples ordenadores con pantallas táctiles. Su principal diferencia es se configuran en un modo de “quiosco”, un entorno visual interactivo que impide al usuario el acceso a las funciones habituales del sistema operativo, dejándole solo un limitado conjunto de posibilidades, necesarias para que el terminal cumpla su función. Pero eso es en teoría, ya que como demostró la investigación “de campo” de la multinacional rusa, la mayoría de estos terminales carece de una protección fiable contra la salida del modo de “quiosco” y la obtención de acceso a las funciones del sistema operativo.

Vladimir Dashchenko
Vladimir Dashchenko experto en seguridad y coautor del estudio

En el estudio Cómo embaucar a las “ciudades inteligentes que recientemente presentaron los expertos de Kaspersky Lab., Denis Makrushin y Vladimir Dashenko, quedó claro que los pagos por servicios de entretenimiento, alquiler de bicicleta o sacar una entrada a través de terminales, no son del todo seguros, ya que muchos de estos contienen vulnerabilidades que pueden exponer los datos privados de los usuarios y utilizarse para espiar o propagar códigos maliciosos. Asimismo, analizaron las cámaras de seguridad utilizadas en algunas ciudades y su infraestructura de apoyo. Como resultado, descubrieron que los cibercriminales pueden acceder fácilmente a estas cámaras y manipular los datos recogidos.

Todos estos terminales son muy similares en su interior. Cada uno de ellos está basado en Windows o en Android y la principal diferencia, en comparación con los dispositivos ordinarios, estriba en el software especial que se ejecuta en estos terminales de uso público y sirve como interfaz de usuario.

Este software ofrece al usuario un acceso sencillo a las funciones específicas del terminal, mientras que al mismo tiempo restringe el acceso a otras opciones del sistema operativo del dispositivo. El acceso a estas funciones proporciona a los ciberatacantes numerosas oportunidades para comprometer el sistema, como si fuera un PC. La investigación mostró que casi cualquier cajero público digital contiene uno o varios fallos de seguridad que permiten a un ciberdelincuente acceder a las funciones ocultas del sistema operativo.

Como resultado, el ciberatacante obtiene acceso a los dispositivos, introduce información (el teclado virtual y el puntero del ratón) y puede utilizar el ordenador para sus propios fines, por ejemplo, poner en marcha programas maliciosos, conseguir información sobre los archivos impresos, obtener contraseñas de administrador, etc. Y estos son sólo algunos de los puntos débiles descubiertos por estos analistas.

Denis Makrushin
Denis Makrushin, experto en seguridad de Kaspersky Lab

«Algunos terminales públicos que hemos analizado procesaban información muy importante, como datos personales del usuario, incluyendo números de tarjetas de crédito y contactos verificados (por ejemplo, números de teléfono móvil). Muchos de estos terminales están conectados entre sí y con otras redes. Para un ciberatacante puede ser una muy buena base para desplegar diferentes tipos de ataques. Por otra parte, creemos que en el futuro los kioscos digitales públicos estarán cada vez más integrados en otras infraestructuras de smartcity, ya que son una forma sencilla de interactuar. Los proveedores necesitan estar seguros de que no se pueden comprometer los terminales a través de las vulnerabilidades descubiertas», afirma Denis Makrushin, experto en seguridad de Kaspersky Lab, y uno de los autores del estudio

Otra parte del informe se basa en las cámaras de control de velocidad de las ciudades. Utilizando el motor de búsqueda de Shodan, los analistas fueron capaces de identificar varias direcciones IP que pertenecen a este tipo de dispositivos y cuyo acceso era posible desde la web: no requerían contraseñas de acceso y cualquiera sería capaz de ver las imágenes de las cámaras. Los analistas descubrieron que algunas herramientas que se utilizan para el control de estas cámaras están disponibles para cualquiera en la web.

«En algunas ciudades, los sistemas de cámaras de control de velocidad vigilan las carreteras – algo que podría cambiar fácilmente. Si un ciberatacante quiere desconectar el sistema en un lugar concreto durante un período de tiempo, podría hacerlo. Teniendo en cuenta que las cámaras de se utilizan por seguridad y para el cumplimiento de la ley en carreteras, es fácil imaginar lo que una vulnerabilidad puede ocasionar en cuanto a delitos, como el robo de automóviles y otros. Por tanto, es muy importante tener este tipo de redes protegidas, al menos, del acceso web directo»,  concluye Vladimir Dashchenko, experto y coautor del informe.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.