Smartcities vulnerables. Kaspersky Lab analiza algunos de sus puntos débiles

Los expertos de Kaspersky Lab han analizado una serie de servicios y terminales interactivos utilizados en distintas ciudades, como por ejemplo pagar por servicios de entretenimiento, alquiler de bicicleta o sacar una entrada, y han descubierto que muchos contienen vulnerabilidades que pueden exponer los datos privados de los usuarios y utilizarse para espiar o propagar códigos maliciosos. Asimismo, analizaron las cámaras de seguridad utilizadas en algunas ciudades y su infraestructura de apoyo. Como resultado, descubrieron que los cibercriminales pueden acceder fácilmente a estas cámaras y manipular los datos recogidos.

Las ciudades modernas son ecosistemas complejos, formados por distintos componentes tecnológicos con el objetivo es hacer la vida de los ciudadanos más cómoda y segura, pero también pueden convertirse en una amenaza para los datos y la seguridad de las personas - tal y como se desprende de las conclusiones de la investigación realizada por los expertos de Kaspersky Lab.

Los terminales para sacar entradas en las salas de cine, alquiler de bicicletas, atender servicios de organismos públicos, terminales de reservas y de información son muy similares en su interior. Cada uno de los terminales está basado en Windows o en Android y la principal diferencia, en comparación con los dispositivos ordinarios, es el software especial que se ejecuta en estos terminales de uso público y sirve como interfaz de usuario.

Este software ofrece al usuario un acceso sencillo a las funciones específicas del terminal, mientras que al mismo tiempo restringe el acceso a otras opciones del sistema operativo del dispositivo. El acceso a estas funciones proporciona a los ciberatacantes numerosas oportunidades para comprometer el sistema, como si fuera un PC. La investigación mostró que casi cualquier cajero público digital contiene uno o varios fallos de seguridad que permiten a un ciberdelincuente acceder a las funciones ocultas del sistema operativo.

Como resultado, el ciberatacante obtiene acceso a los dispositivos, introduce información (el teclado virtual y el puntero del ratón) y puede utilizar el ordenador para sus propios fines, por ejemplo, poner en marcha programas maliciosos, conseguir información sobre los archivos impresos, obtener contraseñas de administrador, etc. Y estos son sólo algunos de los puntos débiles descubiertos por los analistas de Kaspersky Lab.

"Algunos terminales públicos que hemos analizado procesaban información muy importante, como datos personales del usuario, incluyendo números de tarjetas de crédito y contactos verificados (por ejemplo, números de teléfono móvil). Muchos de estos terminales están conectados entre sí y con otras redes. Para un ciberatacante puede ser una muy buena base para desplegar diferentes tipos de ataques. Por otra parte, creemos que en el futuro los kioscos digitales públicos estarán cada vez más integrados en otras infraestructuras de smartcity, ya que son una forma sencilla de interactuar. Los proveedores necesitan estar seguros de que no se pueden comprometer los terminales a través de las vulnerabilidades descubiertas", afirma Denis Makrushin, experto en seguridad de Kaspersky Lab.

Otra parte del informe se basa en las cámaras de control de velocidad de las ciudades. Utilizando el motor de búsqueda de Shodan, los analistas fueron capaces de identificar varias direcciones IP que pertenecen a este tipo de dispositivos y cuyo acceso era posible desde la web: no requerían contraseñas de acceso y cualquiera sería capaz de ver las imágenes de las cámaras. Los analistas descubrieron que algunas herramientas que se utilizan para el control de estas cámaras están disponibles para cualquiera en la web.

"En algunas ciudades, los sistemas de cámaras de control de velocidad vigilan las carreteras - algo que podría cambiar fácilmente. Si un ciberatacante quiere desconectar el sistema en un lugar concreto durante un período de tiempo, podría hacerlo. Teniendo en cuenta que las cámaras de se utilizan por seguridad y para el cumplimiento de la ley en carreteras, es fácil imaginar lo que una vulnerabilidad puede ocasionar en cuanto a delitos, como el robo de automóviles y otros. Por tanto, es muy importante tener este tipo de redes protegidas, al menos, del acceso web directo", señala Vladimir Dashchenko, experto en seguridad de Kaspersky Lab.