Auge de “edificios inteligentes” posibilita ransomware y facilita ataques de phishing dirigidos

Fecha: 16-09-2019
Medio: El Mercurio

La nueva tendencia que centraliza la operación y monitoreo de varias funciones de las torres de oficinas y departamentos requiere implementar protocolos muy estrictos de seguridad para evitar ciberataques.

Los llaman 'edificios inteligentes': son aquellos 'que integran dispositivos físicos y sensores con el mundo digital', explica Nicolás Corrado, socio líder de Ciberseguridad de Deloitte. Gracias a la combinación de ambos aspectos, un smart building 'permite controlar distintas funciones, como la temperatura, el agua, los ascensores, las luminarias y la vigilancia', por lo que 'los niveles de seguridad necesarios para una solución de smart building se hacen críticos', dice Cristián Peña, analista de Consumo de IDC.

El software que hace 'inteligente' al edificio son los denominados sistemas de automatización de edificios (BAS), explica el británico Tony Anscombe, embajador de Eset, quien añade que cada vez más edificios, especialmente los nuevos, los incorporan. Los BAS entregan gran control de los dispositivos en un edificio y, también, cada vez manejan más información, indica Ricardo Céspedes, gerente senior de Ciberseguridad de EY. Por eso, agrega, existen crecientes dudas sobre el manejo de la privacidad de la información recolectada, además de la necesidad de implementar estrategias para reforzar la seguridad del sistema.

Infraestructura secuestrada

El gran poder que entrega un BAS conlleva también grandes riesgos. Especialmente el de un acceso no autorizado. Anscombe relata, por ejemplo, el caso de una firma de dispositivos médicos en EE.UU., a la cual le secuestraron su BAS y exigieron un rescate de US$ 50 mil —como ransomware, pero de un inmueble—. Más aún, 'en edificios con varios inquilinos puedes afectar a muchas empresas al mismo tiempo', indica el británico.

Se suma, señala, el que varias compañías en una misma edificación pueden tener protocolos diferentes para sus sistemas —y distintos también del de la administración del edificio— y complicar la defensa de la infraestructura. En efecto, 'la falta de una asignación clara de responsabilidades podría dar lugar a ambigüedades y conflictos de ocurrir un suceso que afecte a la seguridad', asevera Andrés Muñoz, consultor senior en Ciberseguridad de ITQ Latam. Anscombe muestra incluso un buscador online de aparatos conectados a internet, que incluye miles de pantallas de estado y de acceso (o login) a BAS de todo el mundo —35 mil de ellos tan solo en EE.UU.—, asegura.

Criminales pueden acceder fácilmente a ellos cuando tienen claves débiles, con ataques de fuerza bruta —o sea, de ensayo y error—, explica. 'Si tomo control del BAS en tu hospital y subo la calefacción al nivel de que debas evacuarlo, ¿pagarás el rescate?', ejemplifica el británico. Y añade que 'esas pantallas de login deberían estar detrás de un firewall. Se debería exigir VPN, tener autentificación robusta de dos factores y políticas de contraseñas que impidan seguir probando claves tras cierto número de intentos'. De igual modo, Céspedes llama a 'manejar credenciales de acceso únicas por dispositivo, realizar actualizaciones periódicas, usar fabricantes reputados y conectar los aparatos en redes independientes o aisladas'.

Recomienda, asimismo, 'realizar evaluaciones de riesgo, controlar el ciclo de vida de los dispositivos, ejecutar pruebas de vulnerabilidad y mantener un monitoreo con análisis de datos y comportamiento'. Ricardo Dorado, director de Crecimiento de Fundación País Digital, sugiere, a su vez, cambiar las claves que vienen de fábrica en los dispositivos. También hay que tener en cuenta el riesgo interno, recuerda Héctor Gómez, senior manager en Ciberseguridad de PwC Chile, debiéndose controlar a quiénes tienen acceso al BAS y con qué privilegios.

Hay riesgos aunque no se penetre el sistema

Los ciberdelincuentes no necesitan siquiera acceder para atacar una empresa. Basta con la información que muchos administradores descuidadamente dejan visible en internet para 'conocer la dirección IP que usa el BAS, y así saber dónde se ubica, su proveedor de internet y otros datos', señala Anscombe. El trabajo es más simple si a los BAS se les pone el nombre de su empresa o edificio. Eso facilita el spear phishing, argumenta el británico, ataques que buscan que el objetivo baje softwares maliciosos o entregue datos de valor, contactándolos con mensajes personalizados.

Para ello deben saber lo que más puedan de sus víctimas. Los hackers también pueden usar esa información para 'construir una fachada que les permita ingresar al edificio —haciéndose pasar por mantenimiento, por ejemplo— y así acceder a datos personales de los ocupantes de este o para controlar sus rutinas y movimientos', comenta Hugo Soto, investigador del Centro de Estudios del Futuro de la Usach.


Recuadro

35 MIL SISTEMAS de administración de edificios en EE.UU. están expuestos en tan solo un sitio web.

Auge de “edificios inteligentes” posibilita ransomware y facilita ataques de phishing dirigidos

Contáctenos

Síganos en