Los edificios inteligentes en la mira de los cibercriminales
ESET, compañía líder en detección proactiva de amenazas, acercó su análisis sobre edificios inteligentes donde se detallan los riesgos de seguridad asociados a este tipo de infraestructura. Esto sucedió el pasado mes de abril en el marco del Congreso Iberoamericano de Seguridad de la Información -más conocido como Segurinfo- que tuvo lugar en Buenos Aires, Argentina.
Los edificios inteligentes utilizan tecnología para controlar distintas dinámicas con el objetivo de brindar mayor confort, contribuir a la salud y a la productividad de quienes habitan en ellos. Para realizar esto, utilizan Sistemas de Automatización de Edificios (BAS, por sus siglas en iglés). Con la llegada del Internet de las Cosas (IoT) los edificios inteligentes se han redefinido y el equipamiento tecnológico permite analizar, predecir, diagnosticar y mantener los distintos ambientes, así como automatizar procesos y monitorear en tiempo real variables como la iluminación, las cámaras de seguridad, la temperatura de los ambientes, los elevadores, el estacionamiento, la gestión del agua, entre otras.
Durante la conferencia de Tony Anscombe, el Global Security Evangelist de ESET, mencionó que en Estados Unidos el crecimiento de los edificios inteligentes se estima será del 16.6% para el 2020 con respecto al 2014; y que esta realidad de expansión está ocurriendo también a nivel mundial. Este crecimiento se debe a que la tecnología atraviesa la automatización de procesos y la búsqueda de la eficiencia energética, representando un aporte hacia la sustentabilidad y a una reducción de costos.
Sin embargo, en términos de ciberseguridad, el riesgo en los edificios inteligentes se encuentra en que toda la red inteligente puede estar conectada a una única base de datos. Los dispositivos IoT son fabricados por distintos proveedores y es probable no tengan en consideración aspectos de seguridad durante su proceso de fabricación.
“Potencialmente es probable que muchos de los que hoy no habitan en un edificio de estas características en algún tiempo sí lo hagan, dado el crecimiento de la construcción de edificios inteligentes que utilizan IoT viene en aumento», añadió Anscombe.
El riesgo de sufrir un incidente de ciberseguridad en este tipo de infraestructura está asociado a las motivaciones de los cibercriminales, quienes principalmente buscan obtener un beneficio económico a partir de sus actos, pero también a generar impacto y transmitir miedo. Según explicó Anscombe, si uno busca en la red por BAS de manera específica, podrá encontrar miles de sistemas de automatización de edificios en estas listas con información que podría ser utilizada por un atacante para comprometer un dispositivo. En febrero de 2019 figuraban en Shodan, herramienta que permite encontrar sistemas vulnerables conectados a Internet incluyendo dispositivos IoT, unos 35 mil sistemas BAS en Internet a nivel global y al alcance del público.
Un tipo de ataque que se observó es el denominado Siegeware, mediante el cual un actor malintencionado tiene la capacidad mediante código de realizar una demanda extorsiva a partir de tomar el control de las funcionalidades digitales de un edificio.
El bajo costo de los dispositivos IoT para edificios y el avance de las tecnologías para sistemas de automatización de edificios está generando cambios que afectan a la seguridad. Esta búsqueda de automatización y el uso de dispositivos inteligentes que recopilan datos para ofrecer confort a sus ocupantes, así como hacer un uso más eficiente de los recursos, como el energético, dependiendo de su implementación también podrían aumentar el riesgo para la seguridad. En este sentido, la posibilidad de que un cibercriminal ejecute un ataque del tipo ransomware que afecte a un edificio inteligente ya forma parte de la realidad.
ESET nos comparte las siguientes consideraciones y requerimientos de seguridad que deberían estar presentes:
-Revisar las especificaciones de seguridad de los dispositivos y trabajar alineado al concepto de seguridad por diseño
-Destinar un presupuesto acorde a la seguridad
-Seleccionar socios que tengan conocimientos en el campo de la seguridad
-Contar con un programa de manejo de vulnerabilidades
-Cooperación entre las distintas áreas y/o departamentos
En cuanto a las recomendaciones desde el punto de vista operacional:
-Actualizar los dispositivos de manera regular
-Establecer un plan de reemplazo si el ciclo de vida de un dispositivo finalizó
-Prevención acerca de lo que está conectado
-Monitorear los dispositivos que estén conectados
En Alternativas en Computación le ayudaremos a tomar conciencia de su nivel de ciberseguridad y conocer qué problemas de seguridad son más importantes para su organización. Contamos con un servicio de administración de seguridad y monitorización que le permitirá poner en marcha su estrategia en breve y orientar sus recursos en labores operativas propias del negocio.
Fuente: ESET