Vulnerabilidades críticas presentes en sistemas de smart cities

Investigadores han descubierto innumerables vulnerabilidades día cero que se pueden utilizar para interrumpir sistemas críticos

Expertos en seguridad en redes informáticas del Instituto Internacional de Seguridad Cibernética reportan el hallazgo de 17 vulnerabilidades en diferentes sistemas de ciudad inteligente (smart city) que podrían afectar servicios clave.

En un evento llevado a cabo en Las Vegas el lunes pasado, un equipo de expertos en seguridad en redes informáticas demostró cómo las amenazas pasadas están poniendo en riesgo el desarrollo de ambientes de ciudad inteligente en el futuro.

Se estima que la inversión en tecnología de smart city llegará a 80 mil millones de dólares este año y alcanzará los 135 mil millones para el 2021 sólo en Estados Unidos. Los sistemas de agua y drenaje, iluminación inteligente, controladores de tráfico, servicios públicos y más se entrelazarán en las ciudades inteligentes, buscando hacer vida urbana más eficiente en términos de energía, ecología y sustentabilidad.

Sin embargo, conectar todos estos elementos críticos puede tener efectos devastadores si algo sale mal, como un hipotético ciberataque exitoso. Hemos sido testigos del daño que se puede causar cuando los hackers amenazan sistemas centrales de una nación, como en el caso de la red eléctrica de Ucrania, y a menos que se tome en serio la seguridad en redes informáticas para el futuro, cada ciudad inteligente estará bajo amenazas considerables.

Los especialistas de seguridad en redes informáticas encargados de la investigación descubrieron que los sistemas desarrollados por Libelium, Echelon y Battelle son vulnerables a diferentes ataques. Libelium es un fabricante de hardware para redes inalámbricas, mientras que Echelon se especializa en Internet de las Cosas (IoT) industrial, y Battelle desarrolla y comercializa tecnologías relacionadas.

De las 17 vulnerabilidades descubiertas en los sistemas utilizados en cuatro ciudades inteligentes, ocho se consideran de gravedad crítica, muchos de los errores se debieron a prácticas de seguridad deficientes, como el uso de contraseñas predeterminadas, falta de procesos de autenticación e inyecciones de SQL.

  • Los investigadores descubrieron cuatro casos de fallas de inyección críticas previas a la autenticación en la red de sensores inalámbricos de Libelium, Meshlium.
  • Los servidores de Echelon, que se utilizan para la conservación de la energía, contenían dos defectos críticos de autenticación, problemas de comunicaciones sin encriptar, y credenciales predeterminadas.
  • En el caso de Battelle, el concentrador con software versión 2.5.1, presenta también severos problemas de seguridad.

La vulnerabilidad más seria descubierta fue una cuenta de administrador codificada, seguida por el acceso permitido a funcionalidades sensibles en el sistema sin autenticación previa, claves API predeterminadas y omisión de autenticación, fallas de seguridad de inyección SQL y problemas reflejados de XSS.

Después de presentar el informe de vulnerabilidades, el equipo de especialistas en seguridad en redes informáticas descubrió que docenas (y en algunos casos, cientos) de los dispositivos de estos proveedores quedaban expuestos al acceso remoto en línea. Posteriormente, los fabricantes reconocieron sus errores y comenzaron a lanzar los parches de actualización para las vulnerabilidades.