Edificios inteligentes: infraestructura que ya está en el blanco de los cibercriminales

En el marco de una nueva edición del Congreso Iberoamericano de Seguridad de la Información -más conocido como Segurinfo- que se llevó a cabo el 23 de abril en la ciudad de Buenos Aires, Argentina, Tony Anscombe, el Global Security Evangelist de ESET, brindó una interesante charla sobre edificios inteligentes en la que explicó los riesgos de seguridad asociados a este tipo de infraestructura.

En países como Estados Unidos, el crecimiento de los edificios inteligentes se estima que habrá sido del 16.6% para el 2020 con respecto al 2014; aunque esta realidad de expansión está ocurriendo a nivel global. En gran medida, este crecimiento se debe a que vivimos en un mundo cada vez más atravesado por la tecnología y en el que la automatización de procesos y la búsqueda de la eficiencia energética representa no solo un aporte hacia la sustentabilidad, sino que supone por sobre todas las cosas una reducción de costos; objetivo que persigue cualquier tipo de industria, desde el sector público hasta el privado, además de las viviendas.

Los edificios inteligentes utilizan tecnología para controlar distintas dinámicas que forman parte de los respectivos entornos con el objetivo de brindar mayor confort, contribuir a la salud y a la productividad de quienes habitan en ellos. Para realizar esto, utilizan lo que se conoce como Sistemas de Automatización de Edificios, conocido en inglés como BAS. Con la llegada del Internet de las cosas (IoT) los edificios inteligentes se han redefinido, y a través de sensores inteligentes, el equipamiento tecnológico de estas construcciones es utilizado para analizar, predecir, diagnosticar y mantener los distintos ambientes, así como automatizar procesos y monitorear en tiempo real distintas variables, como pueden ser: la temperatura de los ambientes, la iluminación, las cámaras de seguridad, los ascensores, el estacionamiento, la gestión del agua, entre otras tantas funcionalidades automatizables que en la actualidad se apoyan en la tecnología.

Para poner en perspectiva lo que representan este tipo de infraestructuras inteligentes, Tony Anscombe puso el ejemplo de un hotel en Las Vegas que hace dos años decidió colocar un sofisticado sistema de automatización para controlar el uso del aire acondicionado (cabe destacar que Las Vegas tiene un clima desértico que se caracteriza por ser cálido y registrar muy pocas lluvias) que solo encendía el aire acondicionado cuando había ocupantes. Esta decisión representó en el primer año de la instalación del sistema inteligente un ahorro de 2 millones de dólares gracias al ahorro energético que significó la automatización de este proceso.

Otro ejemplo de automatización mediante el uso de dispositivos inteligentes que mencionó el Security Evangelist de ESET fue el de un supermercado en Reino Unido, el cual instaló en su estacionamiento un sistema inteligente que aprovecha la circulación de los automóviles para genera energía, que luego es utilizada para alimentar las heladeras.

Si bien a simple vista habrá quienes no vean en esto un riesgo para la seguridad en los edificios inteligentes, es probable que en algún momento toda esta red inteligente esté conectada a una única base de datos, y es aquí donde está el riesgo, sobre todo si tenemos en cuenta que muchos dispositivos IoT son fabricados por distintos proveedores que quizás no han tenido en consideración aspectos de seguridad durante el proceso de fabricación. Y si bien muchos pueden pensar que nunca vivirán en este tipo de edificios, Anscombe opinó que “potencialmente es probable que muchos de los que hoy no habitan en un edificio de estas características en algún tiempo sí lo hagan”, ya que el crecimiento que presenta en el mercado la construcción de edificios inteligentes que utilizan IoT viene creciendo sustancialmente.

Probabilidad de que un edificio inteligente sea atacado

El riesgo de sufrir un incidente de seguridad en este tipo de infraestructura está asociado a las motivaciones de los cibercriminales, quienes principalmente buscan obtener un beneficio económico a partir de sus actos, pero también generar impacto y transmitir miedo.

Actualmente existen herramientas como Shodan que permiten encontrar dispositivos IoT vulnerables y/o no seguros conectados a Internet de manera pública. Según explicó Anscombe, si uno busca por BAS de manera específica en esta herramienta podrá encontrar miles de sistemas de automatización de edificios en estas listas con información que podría ser utilizada por un atacante para comprometer un dispositivo –en febrero de 2019 figuraban en Shodan unos 35,000 sistemas BAS al alcance público en Internet a nivel global.

Por lo tanto, alguien podría llegar a tomar control de un BAS luego de haberlo encontrado. Si, por ejemplo, un criminal utiliza Shodan y busca sistemas de automatización de edificios para atacar se encontrará con direcciones IP, que si son colocadas en un navegador, le permitirá encontrarse en muchos casos con una interfaz de acceso en la que deberá colocar nombre de usuario y una contraseña. En caso de tener una contraseña por defecto o que pueda romperse fácilmente mediante un ataque de fuerza bruta, el atacante logrará acceder al panel de monitoreo del sistema con información similar a la que pueden ver desde sus dispositivos los habitantes del edificio inteligente. Algunas veces, ni siquiera es necesario un usuario y contraseña, ya que estos paneles de monitoreo están accesibles para cualquiera en Internet sin necesidad de credenciales.

A partir de tener acceso a esta información pública y monitorear, por ejemplo, el funcionamiento del aire acondicionado, un atacante podría hacer una llamada y hacerse pasar por la empresa de mantenimiento y decir que enviarán a un técnico porque observaron que los ventiladores están funcionando al máximo. En ese instante, el atacante puede aprovechar la ocasión para solicitar que le brinden acceso remoto y de esta manera logrará tener acceso al servidor y controlar el edificio. Una vez que tenga el control podrá alterar los sistemas de calefacción o aire acondicionado de un edificio o modificar el funcionamiento de otro sistema automatizado, y pedir el pago de un rescate en bitcoins para evitar que los atacantes no cierren el edificio.

Siegeware: una amenaza real

Tal como mencionó el especialista en seguridad de ESET Stephen Cobb en un artículo publicado en febrero de este año en el que narró los detalles de un ciberataque a un edificios inteligentes, este fenómeno no se trata de un hecho aislado, sino que a partir de un hecho concreto y luego de solicitar asistencia a las autoridades, éstas le dijeron para su sorpresa que “ya habían visto esto anteriormente”. Esto significa que es una práctica que los cibercriminales ya han estado realizando en varias oportunidades. Este tipo de ataque, denominado Siegeware, es aquel mediante el cual un actor malintencionado tiene la capacidad mediante código de realizar una demanda extorsiva a partir de tomar el control de las funcionalidades digitales de un edificio, explicó Cobb.

En conclusión, el bajo costo de los dispositivos IoT para edificios y el avance de las tecnologías para sistemas de automatización de edificios está generando cambios que afectan a la seguridad. Esta búsqueda de automatización y el uso de dispositivos inteligentes que recopilan datos para ofrecer confort a sus ocupantes, así como hacer un uso más eficiente de los recursos, como el energético, también está aumentando el riesgo para la seguridad. En este sentido, la posibilidad de que un cibercriminal ejecute un ataque del tipo ransomware que afecte a un edificio inteligente ya forma parte de la realidad.

Consideraciones a tener en cuenta

Al finalizar su presentación, Tony Anscombe comentó algunas consideraciones ý requerimientos de seguridad que deberían estar presentes:

Revisar las especificaciones de seguridad de los dispositivos y trabajar alineado al concepto de seguridad por diseño
Destinar un presupuesto acorde a la seguridad
Seleccionar socios que tengan conocimientos en el campo de la seguridad
Contar con un programa de manejo de vulnerabilidades
Cooperación entre las distintas áreas y/o departamentos

En cuanto a las recomendaciones desde el punto de vista operacional: